一、架設 Certificate Services

在要安裝 CA的那一台機器，先到控制台 ->新增或移除程式 ->新增或移除 Windows元件：

勾選 Certificate Services，並按確定。 ( 如果沒有安裝 IIS，同時必須要勾選 IIS)

選擇獨立根 CA

輸入 CA的名稱，取正式的名稱

都用預設值

開始安裝

安裝完畢

這個時候，我們自己架設的 CA已經架設完畢。

控制台 ->系統管理工具 ->憑證授權單位，可以看到 CA發出的授權等等，目前都是空的。

二、產生憑證申請

在我們自己的機器，打開 IIS的管理介面，在預測的 web網站上按右鍵 ->內容

在要安裝的憑證網站上右鍵，選擇內容

選擇目錄安全設定 ->伺服器憑證

下一步

建立新憑證

準備要求但稍後傳送

為您的網站取一個正式的名稱，位元長度選擇預設的 1024

輸入公司正式的名稱及部門名稱

這個名稱算是整個申請步驟最重要的一步：如果我網站的位址是 www.xxx.aa.cc，就要在這裡輸入www.xxx.aa.cc 。輸入後未來若更改，就要再跟 CA申請一次不要輸入 www.xxx.aa.cc/bbb/這種目錄名稱。

若你的網址為www.xxx.aaa.cc，在這裡就必須輸入www.xxx.aaa.cc

輸入所在位置

IIS將會產生一個憑證的要求，把他存起來。

輸入產生憑證要求的檔名和位置

如果資料沒問題的話，就按下一步

完成。申請憑證要求的檔案已經建立完成。

此時去剛剛存檔的地方，把那個文字檔打開，裡面應該會看到一堆亂碼，待會需要用到這個喔 !!

三、向 CA申請憑證

在我們的機器上，輸入 CA的網址： http://ca機器名稱 /CertSrv/，點選「要求憑證」。

輸入 http://CA位置 /CertSrv/

點選「要求憑證」

點選「進階憑證要求」。

點選「用 Base-64 編碼的 CMC 或 PKCS #10 檔案來提交憑證要求，或用 Base-64 編碼的 PKCS #7 檔案提交更新要求」

把我們之前產生的那個文字檔貼上來 (1)

貼上文字檔路徑

把我們之前產生的那個文字檔貼上來 (2)

將剛剛我們在 IIS內產生的憑證要求內的文字(C://certreq.txt)，貼到這裡

申請完了，接下來就等 CA把憑證發給我們。我們再回來這裡下載。

已經向 CA提出憑證申請

回到 CA的首頁： http://ca機器名稱 /CertSrv/，點選「檢視擱置中的憑證要求狀態」

可以看到我們剛剛提出的申請，點選「已儲存要求的憑證」。

擱置的要求狀態內，已經有我們剛剛提出的申請

可以看到我們的申請還在擱置中，代表還沒處理好。繼續等吧。

接下來我們必須等CA發行此憑證

四、 CA核發憑證

在 CA那台機器上，控制台 ->系統管理工具 ->憑證授權單位，擱置的要求裡面，多了一個我們剛剛提出的申請。

擱置要求內，有一個我們剛剛向 CA提出申請

在要發行的項目上面，按右鍵 ->所有工作 ->發行。

剛剛那個項目就已經跑到「已發出的憑證」裡面了

已發出的憑證內，就可以看到我們剛剛發出的憑證

五、下載憑證

在我們自己的機器，回到 CA的首頁： http://CA名稱 /CertSrv/，點選「檢視擱置中的憑證要求狀態」

一樣點選我們申請的憑證

點選我們之前產生的申請

此時看到的畫面已經變成「憑證已發出」，點選「 Base64編碼」，並點選「下載憑證」，將下載一個 crv檔，請將這個檔案保存好，如果不見我們又要再跟 CA申請一次了。

選取 Base64編碼，並點選「下載憑證」，將憑證下載

六、將憑證安裝至 IIS的網站上

在我們自己的機器，點選網站 ->右鍵內容 ->「網站」，這個時候 SSL連接埠還是空白的

此時 SSL連線埠仍為空白

點選「目錄安全設定」 ->「伺服器憑證」

下一步

點選「處理擱置要求及安裝憑證」

選取我們剛剛從 CA下載的憑證，下一步

選取我們剛剛下載的憑證

會看到我們之前填寫的內容，下一步

憑證內顯示我們之前輸入的資訊

完成

「 SSL連接埠」已經變成 443了。

SSL連接埠顯示 443(https)

輸入我們網站的網址，記住，用 https的方式來連線喔。會出現警告視窗 ( 這一部分就先不談了 ) ，按「是」

輸入我們自己網站的網址

IE的右下角出現了一個鎖的圖案，代表我們現在已經用 SSL的方式連線囉 !!成功 !!

已經有上鎖的圖示了，代表現在是用 SSL連線