一、 生成證書請求

1. 下載CSR生成工具

您需要使用CSR生成工具來創(chuàng)建證書請求。

下載AutoCSR：

http://www.itrus.cn/soft/autocsr.rar

2. 生成服務(wù)器證書私鑰及證書請求

運行AutoCSR.bat文件，按照操作提示填寫證書注冊信息。

以下是示例信息：

通用名(域名)： test.itrus.com.cn

組織名稱： iTrus China Co.,Ltd.

部門名稱： VTN Support

省市名稱： Beijing

市或區(qū)名： Beijing

3. 備份私鑰并提交證書請求

將生成的certreq.csr文件發(fā)送給聚名，備份server.key文件，等待證書的簽發(fā)。

在您收到證書簽發(fā)郵件之前，請不要刪除Cert文件夾下server.key文件，以避免私鑰丟失而導(dǎo)致證書無法安裝。

二、 獲取服務(wù)器證書中級CA證書

將證書簽發(fā)郵件中的包含服務(wù)器證書代碼的文本復(fù)制出來(包括“-----BEGIN CERTIFICATE-----”和“-----END CERTIFICATE-----”)粘貼到記事本等文本編輯器中。

為保障服務(wù)器證書在客戶端的兼容性，服務(wù)器證書需要安裝兩張中級CA證書(不同品牌證書，可能只有一張中級證書)。

在服務(wù)器證書代碼文本結(jié)尾，回車換行不留空行，并分別粘貼兩張中級CA證書代碼(包括“-----BEGIN CERTIFICATE-----”和“-----END CERTIFICATE-----”，每串證書代碼之間均需要使用回車換行不留空行)，修改文件擴展名，保存包含三段證書代碼的文本文件為server.pem文件(如果只有一張中級證書，則只需要粘貼一張中級證書代碼與服務(wù)器證書代碼即可，并回車換行)。

三、 配置服務(wù)器證書

1.進入Juniper

依次選擇以下選項：

System > Configuration > Certificates > Device Certificates>Import Certificate & Key

出現(xiàn)以下界面

1、這里是導(dǎo)入pfx文件的地方，這里我們選擇空白,如果導(dǎo)入pfx，第2,3步可以跳過。

2、這里導(dǎo)入我們生成的 server.pem 文件

3、這里導(dǎo)入我們的私鑰 server.key，下面是對應(yīng)的密碼，沒有則不填

導(dǎo)入完成后需要導(dǎo)入證書鏈(中級證書與交叉證書)

點擊Intermediate CAs

點擊Import CA Certificate

這里導(dǎo)入cer,crt,pem格式的證書，建議先導(dǎo)入第二張中級證書，然后再導(dǎo)入第一張中級證書，如果您沒有這兩個證書文件，請把證書郵件里的2段中級證書代碼分別保存為文本就可以做為證書文件導(dǎo)入了

交叉證書和中級證書導(dǎo)入之后下面的表中應(yīng)該會顯示出交叉和中級證書，為父子結(jié)構(gòu)。

然后回到這里進入我們前面安裝好的證書

這里進入我們前面安裝好的證書

在這里選擇對應(yīng)的接口添加進來就可以了。

訪問測試

重啟服務(wù)，訪問https://youdomain:port，測試證書的安裝。

四、 服務(wù)器證書的備份及恢復(fù)

在您成功的安裝和配置了服務(wù)器證書之后，請務(wù)必依據(jù)下面的操作流程，備份好您的服務(wù)器證書，以防證書丟失給您帶來不便。

1. 服務(wù)器證書的備份

備份服務(wù)器證書私鑰文件server.key，服務(wù)器證書文件server.crt，以及CA證書文件ca.crt即可完成服務(wù)器證書的備份操作。

2. 服務(wù)器證書的恢復(fù)

請參照服務(wù)器證書配置部分，將服務(wù)器證書密鑰文件恢復(fù)到您的服務(wù)器上，并修改配置文件，恢復(fù)服務(wù)器證書的應(yīng)用。