1.环境拓扑图：

2.在DMZ中安装WEB服务器后，再安装CA服务器

首先安装Web服务器:

在DMZ区域的Web服务器进行测试：

之后我们安装CA证书服务器：

下一步：

选择“证书颁发机构”和“证书颁发机构Web注册”:

选择“独立CA”：

选择“根CA”：

新建私钥：

配置加密方式：

配置CA名称：

配置证书有效期：

配置数据库位置：

下一步：

安装Web相关组件：

开始安装:

完成CA的安装：

打开证书颁发机构管理控制台：

打开IIS控制台，发现默认站点下新添加了一个虚拟目录certsrv：

3.在WEB服务器的默认网站向CA服务器申请网站服务证书

打开Web服务器，IIS管理控制台，双击“服务器证书”：

点击“创建证书申请”：

在“通用名称”中添加Web服务器要发布的FQDN名称：

设置加密类型：

选择文件的存放位置：

在Web服务器上打开IE浏览器输入：http://CA服务器的IP地址/certsrv，点击“申请证书”：

选择“高级证书申请”：

选择“使用base编码”：

在保存的申请中，输入当时Web服务器保存的记事本中的全部内容，点击“提交”：

证书已经申请：

4.在CA服务器上颁发证书

打开CA管理控制台，找到“挂起的申请”里Web服务器刚刚申请的证书，由管理员手动进行颁发：

查看“颁发的证书”，证书已经被颁发成功：

5.在WEB服务器中下载证书并安装证书

在Web服务器上输入http：//CA服务器IP地址/certsrv，点击“查看挂起的证书申请的状态”：

找到刚申请的证书后，点击下载：

回到IIS管理控制台，找到“服务器证书”，点击右侧的“完成证书申请”：

找到刚下载的网站证书：

找到网站站点，选择“绑定”，点击“添加”：

选择协议类型为“https”，端口为“443”，SSL证书为刚刚保存的网站证书：

6.在WEB服务器上找到“证书管理器”（计算机证书），导出证书到文件（导出私钥），并把该证书文件复制到TMG服务器中

在Web服务器上打开微软管理控制台MMC，添加计算机证书：

找到个人证书里的网站证书，然后导出：

选择导出私钥：

输入密码：

选择保存路径：

完成：

找到证书存放的位置，把该证书复制到TMG服务器中：

7.在TMG服务器上使用MMC控制台打开“证书管理器”（计算机证书），将复制过来的证书导入到个人证书

在TMG服务器中打开计算机证书，选择“导入”：

找到刚刚复制过来的证书：

输入当时设置的密码：

导入成功：

8.在TMG服务器上创建一条允许http的访问规则

在TMG服务器中新建访问规则：

输入名称：

选择“允许”：

选择协议为http：

选择访问源为“本机主机”，即TMG服务器：

选择访问目标为“外围”：

9.在TMG服务器上的IE浏览器中输入http://CA服务器IP地址/certsrv,选择“下载CA证书链”，将证书链文件保存在计算机中

10.在TMG服务器上使用MMC控制台打开“证书管理器”（计算机证书），将下载的证书链导入到“受信任的证书颁发机构”

找到刚下载的CA证书链：

11.在TMG服务器上创建“网站发布规则”

输入名称：

选择“允许”：

选择“发布单个网站或负载平衡器”：

选择“使用SSL连接到发布的Web服务器或服务器场”：

输入内部站点名称，勾选“使用计算机名称或IP地址连接到发布的服务器”，输入DMZ区域的Web服务器的IP地址：

输入路径：

输入公用名称：

新建Web侦听器：

选择“需要与客户端建立SSL安全连接”：

选择侦听的范围为“外部”：

选择证书：

选择身份验证为“没有身份验证”：

完成：

选择身份验证委派：

选择所有用户：

完成：

12.把Web服务器设置为要求SSL访问

找到Web服务器站点，选择“SSL 设置”：

勾选“要求SSL”，并应用：

13.在外网的计算机中修改hosts文件将网站域名指向TMG服务器的外网网卡的IP地址

14.在IE浏览器中输入https://TMG服务器外网网卡IP地址，来验证是否成功