一、准备

需要准备两台服务器进行测试：
第一台域控制器：DC01 192.168.10.1，Windows Server 2019安装AD域并且提升为域控contoso.com。
第二台加域的成员服务器：DCNLB 192.168.10.12，Windows Server 2019加入域contoso.com。

二、第一台域控制器：DC01 安装Active Directory 证书服务

2.1、开始之前

2.2、安装类型

2.3、服务器选择：Active Directory 证书服务

2.4、功能

2.5、AD CS

2.6、角色服务：Web 服务器角色（IIS）

2.7、确认

2.8、安装

2.9、配置目标服务器上的Active Directory 证书服务

2.10、AD CS 配置

2.10.1、凭据

2.10.2、角色服务

2.10.3、设置类型

2.10.4、CA类型

2.10.5、私钥

2.10.6、加密

2.10.7、CA名称：contoso-DC01-CA-1

2.10.8、有效期

2.10.9、证书数据库

2.10.10、确认

2.10.11、进度

2.10.12、结果

2.10.13、测试安装的证书服务：打开IIS，网站里出现CertSrv证明安装成功

三、第二台加域的成员服务器：

3.1、安装了WEB服务器

3.1.1、服务器角色：Web服务器（IIS）

3.1.2、功能

3.1.3、Web 服务器角色（IIS）

3.1.4、角色服务

3.1.5、安装

3.1.6、安装完，关闭

3.2、web服务器申请证书

3.2.1、打开IIS，选择：服务器证书

3.2.2、创建证书申请

通用名称：*.contoso.com
其他填：cn

3.2.3、加密服务提供程序属性

3.2.4、文件名称：为证书申请指定一个文件名

文件名：key，格式：txt，保存至桌面，后面要用到。

3.2.5、打开浏览器 ，输入：http://CA服务器IP/certsrv

打开ie浏览器，输入http://192.168.10.1/certsrv
输入域控账户，密码

3.2.6、申请证书

3.2.7、高级证书申请

3.2.8、使用base64编码的CMC。。。

3.2.9、将key文件里面的 所有内容复制出来，粘贴到编辑框，选择证书模板为WEB服务器

3.3、将证书导入到 证书-本地计算机

3.3.1、打开证书-本地计算机，导入证书

如果我们是作为管理员，要选择证书-本地计算机导入证书。
运行：certlm.msc

3.3.2、个人-右键-所有任务-导入

3.3.3、证书导入向导-下一步

3.3.4、选择桌面的证书-下一步

3.3.5、证书存储-个人-下一步-完成

3.3.6、等待响应-出现导入成功。

3.3.7、个人-证书-双击-查看证书

3.3.8、报错：（1）Windows没有足够信息，不能验证该证书。（2）证书状态：无法找到该证书的颁发者。

Windows没有足够信息，不能验证该证书。
证书路径：证书状态：无法找到该证书的颁发者。

3.3.9、解决：

尝试解决思路：重启该服务器。重启之后，再次查看证书，无报错。

证书路径：

此时，在受信任的根证书颁发机构，证书目录下能找到该条颁发者信息。

到这一步重启后，证书才真正导入成功。

3.4、将证书导入进web服务器 绑定https访问

3.4.1、编辑网站，绑定 https

3.4.2、绑定后 https编辑 里面查看该证书

查看证书：证书状态→该证书没有问题

3.4.3、访问https网站

首先，清理IE浏览器缓存和历史记录，访问：https://192.168.10.12/
出现IIS界面，说明ca证书配置成功。