在证书颁发机构中生成证书

这些说明适用于部署在 Windows Server 2016 上的 Microsoft Enterprise 证书颁发机构。

我们推荐使用 Internet Explorer 浏览器。有些浏览器可能会不正确地显示 Microsoft Enterprise 证书颁发机构页面。

要生成基于 CSR 的证书：

1. 在任何文本编辑器中打开以前创建的请求文件，并将文件内容复制到剪贴板。
2. 在浏览器中打开证书颁发机构的页面：https://<server address>/certsrv。
3. 选择请求证书。

   这将打开请求证书页面。

4. 选择高级证书请求。

   这将打开高级证书请求页面。

5. 选择使用 base-64 编码的 CMC 或 PKCS #10 文件提交证书请求，或使用 base-64 编码的 PKCS #7 文件提交续费请求。

   将打开提交证书请求或续订请求页面。

6. 在 Base-64 编码证书请求（CMC 或 PKCS #10 或 PKCS #7）字段中，粘贴在步骤 1 中复制的请求文件的内容。
7. 在证书模板下拉列表中，选择以下选项之一：
   • 带有服务器身份验证扩展名的模板，表现您想要将证书用作服务器证书。
   • 带有客户端身份验证扩展名的模板，表现您想要将证书用作客户端证书。
   • 带有服务器身份验证扩展名和客户端身份验证扩展名的模板，表现您想要将证书用作服务器证书和客户端证书。
8. 单击提交。

   这将打开证书已发放页面。

9. 执行以下操作：
   1. 选择证书文件编码。

      应用程序支持证书的 DER 和 Base64 编码。

   2. 选择证书格式：
      • 如果要下载带 .cer 扩展名（扩展名不包含中间证书）的最终证书文件，请选择下载证书。
      • 如果要使用 .p7b 扩展名以 PKCS#7 容器下载完整的证书链，请选择下载证书链。

      我们建议下载完整的证书链，以免验证中间证书颁发机构时出现问题。

证书将生成并保存在您的计算机上的浏览器下载文件夹中。