您應該將 [識別碼管理員]（Key Manager）所產生的一對金鑰（key），當做您家裏的金鑰一般地好好保存起來，不要掉了或讓別人拿到。

建議您將金鑰（key）做一份備份到磁碟片，並將此磁碟片放置於安全的地方。當您更新或重新安裝IIS時可能刪除而共用同一對金鑰（key）和伺服器認證（Server Certificates），此時就需要使用這個金鑰（key）備份磁碟片了。

備份金鑰方法如下：

於 [識別碼管理員]（Key Manager）選擇待備份的金鑰。 
於 [識別碼] 選單選擇 [匯出識別碼] 和 [備份檔] 等，依照指示即可備份金鑰（key）到一個磁碟片的檔案。 
安裝伺服器認證

產生金鑰（key）向認證中心申請伺服器認證（Server Certificates）後，將獲得核發的認證。您可以將所核發的認證，複製儲存到一個檔案，再使用 [識別碼管理員]（Key Manager）安裝認證到網站伺服器。

安裝伺服器認證，方法如下：

將認證中心核發的認證，儲存成一個文字檔案，附檔名為.txt。 
於 [Internet 服務管理員] 按下工具列的 [識別碼管理員]（Key Manager）圖示，選擇待安裝認證的金鑰（key）。 
於key選單選擇Install Key Certificate，於「Open 」對話盒當中選擇認證的.txt檔案，按下Open ，輸入認證檔案密碼後，按下OK按鈕即可以安裝好伺服器認證。 
新增或編輯金鑰（key）的指定IP

同一個domain name的多個IP address可共用同一對金鑰（key）。您也可以指定一對金鑰（key）只能使用於一個IP address。

使用的是新增或編輯金鑰（key）的指定IP address方法，如下：

於 [Internet 服務管理員] 按下工具列的 [識別碼管理員]（Key Manager）圖示，選擇待設定的金鑰（key）。 
於 [識別碼] 選單選擇 [內容] ，於 [伺服器連接] 對話盒當中選擇 [新增] 或 [編輯]。 
於 [編輯連接] 對話盒輸入IP address（可由...按鈕選擇之）。 
若未指定一個IP Address，則同一個domain name當中的多個IP address將都使用此金鑰（key）。

金鑰設定IP address的原則如下：

一個IP address不能設定多個伺服器認證（Server Certificates）。 
一個IP address不能設定多個網站。但是一個網站能設定多個IP address。 
一個網站不能設定多個SSL ports。 
Microsoft Certificate Server

Windows NT Option Pack中Microsoft Certificate Server，讓您的網站成為一個認證中心（Certificate Authority，簡稱CA），可以：

核定伺服器認證（server certificate）：給需求建立SSL安全連線的網站。 
核定用戶端認證（Client Certificate）：給每位使用者以讓伺服器自動驗證使用者的身份。 
伺服器認證

為了使用SSL確保資料傳輸的安全性，伺服器首先必須從認證中心（Certificate Authority，簡稱CA）獲得一個伺服器認證（server certificate）。

Microsoft Certificate Server，可扮演核發伺服器認證（server certificate）的認證中心（Certificate Authority，簡稱CA）。

要如何使用Windows NT Option Pack中的Microsoft Certificate Server核發伺服器認證，於伺服器加入SSL功能呢？步驟如下：

第一步驟：產生一對Key和提出伺服器認證申請。 
第二步驟：於瀏覽器安裝認證中心認證（Certificate Authority Certificate），將Microsoft Certificate Server的認證中心於瀏覽器登記為「可信任」的認證中心，接受此認證中心所核發之所有認證。 
第三步驟：重新啟動IIS。 
產生一對Key和提出伺服器認證申請

第一步驟，首先於NT上建立一個新的金鑰（Key），方法為執行Windows NT Option Pack中的 [Internet 服務管理員] ，於 [識別碼管理員]（Key Manager）按下滑鼠左鍵。

滑鼠按下「WWW」，於 [識別碼] 選單選擇 [建立識別碼]，選擇「自動將您的要求傳送到線上授權單位」為「Microsoft Certificate Server」，即線上向Microsoft Certificate Server提出伺服器認證申請。

輸入金鑰（key）名稱、密碼、和長度。

輸入申請公司名稱（Organization）、部門（Organizational Unit）、伺服器URL網址（Common Name）。

輸入國別（Country）、省份（State/Province）、城市（City/Locality） ，最後按下「完成」按鈕，即可以產生一個新的金鑰（Key），並將此一對新Key傳給認證中心Microsoft Certificate Server。 

即可產生即可產生一對金鑰（key）。

出現 [伺服器連接的畫面] ，按下 [新增] 按鈕，選擇「未指定IP Address」和「未指定PORT」，最後按下 [確認] 按鈕。

請確認所產生的新金鑰（Key）位於「WWW」下。

選擇 [電腦] 選單的 [立即確認變更] ，並確認所做的變更。

產生新的金鑰（Key）和提出伺服器認證申請後，將從Microsoft Certificate Server取得伺服器認證（server certificate）並自動安裝之。

於瀏覽器登記「可信任」的認證中心

伺服器取得並安裝伺服器認證後，第二步驟於瀏覽器安裝認證中心認證（Certificate Authority Certificate），將Microsoft Certificate Server的認證中心於瀏覽器登記為「可信任」的認證中心，接受此認證中心所核發之所有認證。

安裝認證中心認證方法，為使用者使用IE瀏覽器，輸入Microsoft Certificate Server的網頁http://localhost/CertSrv，其中localhost為Microsoft Certificate Server安裝的URL位址。選擇Certificate Enrollment Tools的Install Certificate Authority Certificates以安裝認證中心認證。

於瀏覽器安裝認證中心認證，將認證中心於瀏覽器登記為「可信任」的認證中心後，可於IE瀏覽器「檢視」選單的「Interrnet選項」的「內容」頁中的「機構」按鈕當中，查到已經安裝的可信任認證中心資料。

重新啟動IIS

第三步驟，重新啟動IIS，於DOS下的WINNT\system32\inetsrv下執行命令「iisca」，並執行命令「net stop iisadmin /y」以停止World Wide Web Publishing Service，再執行命令「net start w3svc」以開啟World Wide Web Publishing Service（或重新開機），如下：

C:\WINNT\system32\inetsrv> iisca

List of valid Certifiying Authorities ( CA ) successfuly transferred to IIS

C:\WINNT\system32\inetsrv> net stop iisadmin /y

下面的服務關係到 IIS Admin Service 服務。

停止 IIS Admin Service 服務也會停止這些服務。

World Wide Web Publishing Service

World Wide Web Publishing Service 服務正在停止..

World Wide Web Publishing Service 服務已經成功停止。

.....

IIS Admin Service 服務已經成功停止。

C:\WINNT\system32\inetsrv> net start w3svc

World Wide Web Publishing Service 服務正在啟動 ............

World Wide Web Publishing Service 服務已經啟動成功。

如此即可使用SSL了。

檢查已經安裝的認證中心資料

若要檢查已經安裝的認證中心資料，可使用IE瀏覽器來查看。

當IE瀏覽器使用SSL的「https://」，安裝認證中心所核發之認證後，可於IE瀏覽器「檢視」選單的「Internet選項」的「內容」頁中的「機構」按鈕當中，查到已經安裝的認證中心資料。

用戶端認證（Client Certificate）

用戶端認證（Client Certificate），讓網站伺服器自動辨識使用者的身份，以讓使用者簽入一個受限制管制的網站，不需要輸入「密碼」即可自動簽入。

用戶端認證（Client Certificate）包括使用者個人資料、和核發的認證中心、有效期間、序號、以及建立安全連線的金鑰檔案等資訊加密而成。

申請和安裝用戶端認證（Client Certificate）

每個使用者，可以使用Microsoft Certificate Server，來申請和安裝用戶端認證（Client Certificate）。

申請和安裝用戶端認證的方法如下：

首先使用瀏覽器瀏覽Microsoft Certificate Server的用戶端認證申請網頁： 
http://localhost/CertSrv/CertEnroll/ceenroll.asp

其中localhost為Microsoft Certificate Server安裝的URL位址。

或瀏覽Microsoft Certificate Server的網頁http://localhost/CertSrv，選擇Certificate Enrollment Tools的Request a Client Authentication Certificate。

輸入申請用戶端認證時所須的個人詳細資料。 
填好後，按下Submit Request按鈕以提出用戶端認證（Client Certificate）的申請，將顯示下載Microsoft Certificate Server所核發的用戶端認證。 
按下Download按鈕將下載Microsoft Certificate Server所核發的用戶端認證，並自動安裝完成。 
安裝認證中心所核發之用戶端認證後，可於IE瀏覽器「檢視」選單的「Interrnet選項」的「內容」頁中的「個人」按鈕當中，查到已經安裝的用戶端認證資料。按下「個人」按鈕，顯示已經安裝的用戶端認證資料，可看到申請用戶端認證時所填的個人詳細資料。