首先打开“服务器管理器”→添加角色，选中“AcitveDirectory证书服务”。如下图所示单击“下一步”，选中“证书颁发机构”和“证书颁发机构web注册”。后者主要是通过web界面来进行证书的相关操作。如下图所示。单击“下一步”，如下图所示，由于不在AD中，我们选“独立”。单击“下一步”，如下图所示，由于是企业中第一个证书服务器，所以我们选“根CA”。单击“下一步”，如下图所示，选择“新建私钥”；单击“下一步”，如下图所示，这里就用默认的。单击“下一步”，如下图所示，这边修改CA的公用名称为CA01，该名称无实际意义，随便取。上图中的可分辨后缀名可不填写。下面的操作全部默认，过程这里省略了。安装IIS服务过程略过，但注意一定要选择"Asp.Net"组件!下面配置web服务器首先安装好IIS和DNS组件，这里省略。打开IIS，这里我们的加密网站就直接使用原来的默认网站了，当然新建网站也一样做。首先修改C:\inetpub\wwwroot中的首页，把原来的文件删除，新建一个index.htm，内容任意。并且测试下这个网页能被访问到，如下图所示：注意：新建网页的时候，我们一般是用记事本，然后另存为index.htm，这里注意和windows2003不一样，需要打开后缀名。否则另存为后的文件是index.htm.txt。在这里把DNS也配好，添加主机记录，客户机的的DNS地址也要设置好，测试通过域名能访问该网站。IIS服务器此时还不信任颁发证书的CA服务器。解决办法是将CA服务器添加到IIS服务器计算机"受信任的根证书颁发机构",在web服务器上打开选择“下载CA证书、证书链或CRL”。为了方便，下载保存到桌面上，然后双击安装。安装过程中把证书导入到“受信任的根证书颁发机构”中，如下图：（这里最好勾选“显示物理存储区”，导入到localcomputer）接下来在网站中配置证书，打开IIS，选中“计算机名字”，在中间选中“服务器证书”如下图所示，在右边选中“创建证书申请”，如下图所示：输入证书请求信息，通用名称请输入完整的域名（包含主机名），企业名称可以用中文，国家代码一般用CN（请按照ISO3166-1A2）：我们的证书是用于web服务的，所以这里一定要填网站的访问域名，比如www.abc.com,注意这里如果填abc.com，用www.abc.com就无法访问，会出现证书不是颁发给该网站之类的提示。选择加密服务程序和密钥长度，加密服务程序选择缺省的MicrosoftRSASchannelCryptographicProvider，加密长度一般可以为1024位，如果申请EV证书至少2048位。单击“下一步”，出现保存证书申请文件对话框，输入任意文件名，保存到桌面，用记事本打开，如下图：接下来我们来完成证书申请，在第二台win2008客户机上打开浏览器，输入：；如下图：这里选申请证书。这里选“高级证书申请”这里选“使用base64……”此图中的编码从之前的abc中用记事本打开复制过来，注意包含-----BEGINCERTIFICATE-----和-----ENDCERTIFICATE-----。接下来去CA服务器上颁发证书。在“管理工具”中打开“CertificationAuthority”，进入“挂起的证书”中颁发，如下图所示：打开，选“查看挂起的证书申请的状态”，如下图所示：这里下载证书到桌面，保存为“webca“。接下来在IIS中完成证书申请，如下图：主要这里不要放一开始申请的导入“受信任的根证书颁发机构”的certnew证书，而是后来申请的certnew2证书。当弄错了，是不会继续的，所以这步一般不会错。注：证书申请除了通过网页方式申请外，还可以打开MMC，添加证书模块来做。接下来对网站进行设置，配置HTTPS执行双向认证默认情况下，HTTPS单向认证的模式工作，即客户端通过网站证书来验证网站的身份，但网站并不验证客户端的身份，如果需要通过证书验证客户端身份，则可以要求试图访问网站的客户端必须提供证书才能进行访问，执行双向认证时，网站将只接受HTTPS访问。在IIS右侧打开“网站绑定“，如下图：在上图中点击右边的“添加“后，如下图：这里SSL证书选择abc。在IIS中打开SSL设置，如下图：如图设置，最后不要忘记右边的“应用“。“要求SSL”选项，如果没有选中，则用户可以通过HTTPs，也可以通过HTTP来访问，如果“要求SSL”被选中，则用户必须通过HTTPS访问“客户证书”有3个选项：忽略、接受、必需。如果“要求SSL”选项没有选中，则不能选择客户证书“必需”项。如果选择“忽略”，则服务器不