CA证书是HTTPS协议下对网络安全提升的一个工具，如果你购买了公网证书的话只需要看证书配置的内容即可，如果你没买证书则需要自己在服务器去进行证书的申请和配置。

下面开始CA证书的申请和配置

准备工作：确保申请CA证书的服务器加入到域

打开服务器管理器
添加功能和角色向导，勾选Active Directory证书服务，下一步

 

 

 默认下一步

 

 

 默认下一步

 

 

 选择服务器角色服务勾选"证书颁发机构"，"证书颁发机构Web注册"之后会提示安装IIS，点击添加后，下一步

 

 

 默认下一步

 

 

 勾上基于"身份验证"下一步

 

 

 勾选如果需要自动重启服务器，点击安装

 

 

 等待安装完成

 

 

 安装完成后开始设置CA服务器，点击上方小旗子找到AD证书配置服务

 

 

 默认下一步，

 

 

勾选：证书颁发机构和证书颁发机构Web注册

 

 

 这里勾选企业，下一步（如果只是本服务器使用可以勾选独立，不建议）

 

 

 选择根CA（R）

 

 

 

 默认，下一步

 

 

如果有特殊的需求可以选择对应的加密方式，这里默认下一步

 

 

如果有需要可以自行修改，这里默认，下一步

 

 

 

 这里也可以设定证书的使用年限，这里默认下一步

 

 

 

 默认，下一步

 

 

 

 默认，配置

 

 

CA证书服务器安装完成

 

 

 

证书配置
证书有三种类型:
通配符证书（wildcard certificate，推荐）：一个通配符证书满足单个域（domain）里内部和外部访问的需求。例如，*.contoso.com证书支持外部访问（org1.contoso.com和org2.contoso.com）和内部访问（internalcrm.contoso.com）。

Subject Alternative Name（SAN）证书：如果你希望使用与外部访问地址不同的地址来进行内部访问，那么你可以使用SAN证书。

自签名证书（Self-signed certificate）：自签名证书仅仅在测试时推荐使用。如果你使用自签名证书，它必须导入所有CRM 服务器以及所有访问CRM 的客户端上的Trusted Root Certification Authorities store

这里我们使用通配符证书

申请证书准备：
1、安装好申请证书的服务器
2、服务器安装好IIS
打开IIS界面，点击服务器后服务器，选择服务器证书

 

 

 选择创建证书申请

 

 

填写证书信息，证书的通配域名以及组织名等等，填好后下一步

 

 

 

 选择加密长度，这里选择2048（在证书的配置信任方时如果数值太小会警告安全性低）

 

 

 点击…,输入证书名称（记住创建好申请的路径，下面会用到）

 

 

 

 点完成后证书申请就已经创建好了

 

 

 找到刚刚产生的证书申请TXT文件，复制上面的内容

 

 

 

 之后移步到证书申请服务器，打开浏览器，并在浏览器中输入 http://机器名 + /certsrv,输入服务器用户名密码后进入下面界面

 

 

 

点击申请证书

 

 

 点击高级证书申请

 

 

选择下面的那个长长的链接

 

 

 把刚刚复制的一长串东东黏贴到下面的多行编辑框，选择模板WEB服务器，点击提交后就会产生出对应的证书

 

 

 点击下载证书

 

 

 

 另存一个名字后保存证书，记住证书存放的路径，之后会用到

 

 

 把下载好的证书拷贝到申请证书的服务器，之后在IIS证书界面点击完成证书申请，导入拷贝过来的证书，起一个名字后点确定，证书就完成了申请。

 

 

 为CRM服务器的应用程序池配置证书的访问权限，CRM打开命令提示符

 

 

 输入MMC,回车

 

 

 打开控制台

 

 

 点击文件，添加/删除管理单元

 

 

 

 找到证书，点添加

 

 

 选择本地计算机，下一步

 

 

 默认完成

 

 

 

点确定

 

 

 证书就被加到控制台根节点下面，依次找到个人，证书就可以看到我们申请的证书

 

 右键证书后，选择所有任务，选择管理私钥

 

 添加一个Network Service的用户

 

 加好用户后，依次点击应用，确定

 

 证书的授权至此完成