本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 使用 將 Windows Server 設定為憑證授權機構 (CA) AWS CloudHSM
<a name="third-ca-toplevel"></a>

AWS CloudHSM 支援透過用戶端 SDK 3 和用戶端 SDK 5 將 Windows Server 設定為憑證授權單位 (CA)。使用這些工具的步驟會根據您目前下載的用戶端 SDK 版本而有所不同。下列各節提供每個 SDK 的資訊。

**Topics**
+ [用戶端 SDK 5 搭配 Windows Server CA](win-ca-overview-sdk5.md)
+ [用戶端 SDK 3 搭配 Windows Server CA](win-ca-overview-sdk3.md)

# 使用用戶端 SDK 5 將 Windows Server 設定為憑證授權機構 (CA)
<a name="win-ca-overview-sdk5"></a>

在公有金鑰基礎設施 (PKI) 中，憑證授權單位 (CA) 是發行數位憑證的受信任實體。這些數位憑證透過公有金鑰加密和數位簽章，將公有金鑰繫結至身分識別 (個人或組織)。若要操作 CA，您必須保護簽署 CA 所發行憑證的私有金鑰，以維護信任。您可以將私有金鑰儲存在 AWS CloudHSM 叢集中的 HSM 中，並使用 HSM 執行密碼編譯簽署作業。

在本教學課程中，您會使用 Windows Server 和 AWS CloudHSM 來設定 CA。您會在 Windows 伺服器上安裝適用於 Windows 的 AWS CloudHSM 用戶端軟體，然後將 Active Directory Certificate Services (AD CS) 角色新增到您的 Windows Server。設定此角色時，您可以使用 AWS CloudHSM 金鑰儲存提供者 (KSP) 在 AWS CloudHSM 叢集上建立和存放 CA 的私有金鑰。KSP 是將 Windows 伺服器連線至 AWS CloudHSM 叢集的橋接器。在最後一個步驟，您會使用 Windows Server CA 來簽署憑證簽署要求 (CSR)。

如需詳細資訊，請參閱下列主題：

**Topics**
+ [

## 步驟 1：設定先決條件
](#win-ca-prerequisites-sdk5)
+ [

## 步驟 2：使用 建立 Windows Server CA AWS CloudHSM
](#win-ca-setup-sdk5)
+ [

## 步驟 3：使用 Windows Server CA 簽署憑證簽署請求 (CSR) AWS CloudHSM
](#win-ca-sign-csr-sdk5)

## 步驟 1：設定先決條件
<a name="win-ca-prerequisites-sdk5"></a>

若要使用 將 Windows Server 設定為憑證授權機構 (CA) AWS CloudHSM，您需要下列項目：
+ 具有至少一個 HSM 的作用中 AWS CloudHSM 叢集。
+ 執行 Windows Server 作業系統並已安裝 Windows AWS CloudHSM 用戶端軟體的 Amazon EC2 執行個體。本教學課程使用 Microsoft Windows Server 2016。
+ 一位密碼編譯使用者 (CU)，擁有及管理 HSM 上的 CA 私有金鑰。

**使用 設定 Windows Server CA 的先決條件 AWS CloudHSM**

1. 完成「[開始使用](getting-started.md)」中的步驟。當您啟動 Amazon EC2 用戶端時，請選擇 Windows Server AMI。本教學課程使用 Microsoft Windows Server 2016。當您完成這些步驟，便擁有至少包含一個 HSM 的作用中叢集。您也擁有執行 Windows Server 並安裝 Windows 用戶端軟體的 Amazon EC2 AWS CloudHSM 用戶端執行個體。

1. (選用) 在您的叢集中新增更多 HSM。如需詳細資訊，請參閱[將 HSM 新增至 AWS CloudHSM 叢集](add-hsm.md)。

1. 連接至您的用戶端執行個體。如需詳細資訊，請參閱《*Amazon EC2 使用者指南*》中的[連線至您的執行個體](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/EC2_GetStarted.html#ec2-connect-to-instance-windows)。

1. 使用[透過 CloudHSM CLI 管理 HSM 使用者](manage-hsm-users-chsm-cli.md)或使用 [ CloudHSM 管理公用程式 (CMU) 管理 HSM 使用者來建立加密使用者 (CU)](manage-hsm-users-cmu.md)。保持追蹤 CU 使用者名稱和密碼。您需要它們來完成下一個步驟。

1. 使用您在先前步驟中建立的 CU 使用者名稱和密碼，[設定 HSM 的登入資料](ksp-library-authentication.md)。

1. 在步驟 5 中，如果您使用 Windows 認證管理員來設定 HSM 登入資料，請從 SysInternals 下載 [https://live.sysinternals.com/psexec.exe](https://live.sysinternals.com/psexec.exe)，以 *NT Authority\$1SYSTEM* 的身分執行下列命令：

   ```
   psexec.exe -s "C:\Program Files\Amazon\CloudHsm\tools\set_cloudhsm_credentials.exe" --username <USERNAME> --password <PASSWORD>
   ```

   以 HSM 憑證取代*<使用者名稱>*和*<密碼>*。

若要使用 建立 Windows Server CA AWS CloudHSM，請前往 [建立 Windows Server CA](#win-ca-setup-sdk5)。

## 步驟 2：使用 建立 Windows Server CA AWS CloudHSM
<a name="win-ca-setup-sdk5"></a>

若要建立 Windows Server CA，您可以將 Active Directory Certificate Services (AD CS) 角色新增到您的 Windows Server。當您新增此角色時，您可以使用 AWS CloudHSM 金鑰儲存提供者 (KSP) 在 AWS CloudHSM 叢集上建立和存放 CA 的私有金鑰。

**注意**  
建立您的 Windows Server CA 時，您可以選擇建立根 CA 或次級 CA。您一般會根據組織的公有金鑰基礎設施和安全政策的設計進行此決策。本教學課程說明如何建立根 CA 以簡化程序。

**將 AD CS 角色新增至您的 Windows Server 和建立 CA 的私有金鑰**

1. 如果您尚未這麼做，請連接至您的 Windows 伺服器。如需詳細資訊，請參閱《*Amazon EC2 使用者指南*》中的[連線至您的執行個體](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/EC2_GetStarted.html#ec2-connect-to-instance-windows)。

1. 在 Windows 伺服器上，啟動 **Server Manager (伺服器管理員)**。

1. 在 **Server Manager (伺服器管理員)** 儀表板中，選擇 **Add roles and features (新增角色和功能)**。

1. 閱讀 **Before you begin (開始之前)** 資訊，然後選擇 **Next (下一步)**。

1. 對於 **Installation Type (安裝類型)**，選擇 **Role-based or feature-based installation (角色型或功能型安裝)**。然後選擇**下一步**。

1. 對於 **Server Selection (伺服器選項)**，選擇 **Select a server from the server pool (從伺服器集區選取伺服器)**。然後選擇**下一步**。

1. 對於 **Server Roles (伺服器角色)**，執行下列動作：

   1. 選取 **Active Directory Certificate Services (Active Directory Certificate Services)**。

   1. 對於 **Add features that are required for Active Directory Certificate Services (新增 Active Directory Certificate Services 需要的功能**，選擇 **Add Features (新增功能)**。

   1. 選擇 **Next (下一步)** 來完成伺服器角色的選取。

1. 對於 **Features (功能)**，接受預設值，然後選擇 **Next (下一步)**。

1. 對於 **AD CS (AD CS)**，執行下列動作：

   1. 選擇**下一步**。

   1. 選取 **Certification Authority (憑證授權單位)**，然後選擇 **Next (下一步)**。

1. 對於 **Confirmation (確認)**，閱讀確認資訊，然後選擇 **Install (安裝)**。請勿關閉視窗。

1. 選擇反白顯示的 **Configure Active Directory Certificate Services on the destination server (在目的地伺服器上設定 Active Directory Certificate Services)** 連結。

1. 對於 **Credentials (登入資料)**，驗證或變更顯示的登入資料。然後選擇**下一步**。

1. 對於 **Role Services (角色服務)**，選取 **Certification Authority (憑證授權單位)**。然後選擇**下一步**。

1. 對於 **Setup Type (設定類型)**，選取 **Standalone CA (獨立 CA)**。然後選擇**下一步**。

1. 對於 **CA Type (CA 類型)**，選取 **Root CA (根 CA)**。然後選擇**下一步**。
**注意**  
您可以根據公有金鑰基礎設施和組織安全政策的設計，選擇建立根 CA 或次級 CA。本教學課程說明如何建立根 CA 以簡化程序。

1. 對於 **Private Key (私有金鑰)**，選取 **Create a new private key (建立新的私有金鑰)**。然後選擇**下一步**。

1. 對於 **Cryptography (加密法)**，執行下列動作：

   1. 對於**選取密碼編譯提供者**，從功能表中選擇其中一個 **CloudHSM 金鑰儲存提供者**選項。這些是 AWS CloudHSM 金鑰儲存供應商。例如，您可以選擇 **RSA\$1CloudHSM 金鑰儲存提供者**。

   1. 對於 **Key length (金鑰長度)**，選擇其中一個金鑰長度選項。

   1. 對於 **Select the hash algorithm for signing certificates issued by this CA (選取用於簽署這個 CA 發出之憑證的雜湊演算法)**，請選擇其中一個雜湊演算法選項。

   選擇**下一步**。

1. 對於 **CA Name (CA 名稱)**，執行下列動作：

   1. (選用) 編輯常用的名稱。

   1. (選用) 輸入辨別名稱尾碼。

   選擇**下一步**。

1. 對於 **Validity Period (有效期間)**，以年、月、週或天指定時段。然後選擇**下一步**。

1. 對於 **Certificate Database (憑證資料庫)**，您可以接受預設值，或選擇變更資料庫和資料庫日誌的位置。然後選擇**下一步**。

1. 對於 **Confirmation (確認)**，檢閱您的 CA 的相關資訊，然後選擇 **Configure (設定)**。

1. 選擇 **Close (關閉)**，然後再次選擇 **Close (關閉)**。

您現在具有 Windows Server CA AWS CloudHSM。若要了解如何使用您的 CA 來簽署憑證簽署要求 (CSR)，請移至[簽署 CSR](#win-ca-sign-csr-sdk5)。

## 步驟 3：使用 Windows Server CA 簽署憑證簽署請求 (CSR) AWS CloudHSM
<a name="win-ca-sign-csr-sdk5"></a>

您可以使用 Windows Server CA 搭配 AWS CloudHSM 簽署憑證簽署請求 (CSR)。若要完成以下步驟，您需要有效的 CSR。有幾種方式可建立 CSR，包括：
+ 使用 OpenSSL
+ 使用 Windows Server Internet Information Services (IIS) Manager
+ 在 Microsoft Management Console 中使用憑證嵌入式管理單元
+ 在 Windows 上使用 **certreq** 命令列公用程式

建立 CSR 的步驟已超出本教學課程的範圍。當您有 CSR 時，您可以向 Windows Server CA 簽署此 CSR。

**向 Windows Server CA 簽署 CSR**

1. 如果您尚未這麼做，請連接至您的 Windows 伺服器。如需詳細資訊，請參閱《*Amazon EC2 使用者指南*》中的[連線至您的執行個體](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/EC2_GetStarted.html#ec2-connect-to-instance-windows)。

1. 在 Windows 伺服器上，啟動 **Server Manager (伺服器管理員)**。

1. 在**伺服器管理員**儀表板右上角，選擇 **Tools (工具)**、**Certification Authority (憑證授權單位)**。

1. 在 **Certification Authority (憑證授權單位)** 視窗中，選擇您的電腦名稱。

1. 從 **Action (執行)** 功能表中，選擇 **All Tasks (所有工作)**、**Submit new request (提交新要求)**。

1. 選取您的 CSR 檔案，然後選擇 **Open (開啟)**。

1. 在**Certification Authority (憑證授權單位)**視窗中，按兩下 **Pending Requests (擱置要求)**。

1. 選取擱置要求。然後，從 **Action (執行)** 功能表中，選擇 **All Tasks (所有工作)**、**Issue (發行)**。

1. 在 **Certification Authority (憑證授權單位)** 視窗中，按兩下 **Issued Requests (已發出的要求)**，以檢視已簽署的憑證。

1. (選用) 若要將已簽署的憑證匯出到檔案，請完成以下步驟：

   1. 在 **Certification Authority (憑證授權單位) **視窗中，按兩下憑證。

   1. 選擇 **Details (詳細資料) **標籤，然後選擇 **Copy to File (複製到檔案)**。

   1. 依照**憑證匯出精靈**中的指示進行。

您現在擁有 Windows Server CA AWS CloudHSM，以及 Windows Server CA 簽署的有效憑證。

# 使用用戶端 SDK 3 將 Windows Server 設定為憑證授權機構 (CA)
<a name="win-ca-overview-sdk3"></a>

在公有金鑰基礎設施 (PKI) 中，憑證授權單位 (CA) 是發行數位憑證的受信任實體。這些數位憑證透過公有金鑰加密和數位簽章，將公有金鑰繫結至身分識別 (個人或組織)。若要操作 CA，您必須保護簽署 CA 所發行憑證的私有金鑰，以維護信任。您可以將私有金鑰儲存在 AWS CloudHSM 叢集中的 HSM 中，並使用 HSM 執行密碼編譯簽署作業。

在本教學課程中，您會使用 Windows Server 和 AWS CloudHSM 來設定 CA。您會在 Windows 伺服器上安裝適用於 Windows 的 AWS CloudHSM 用戶端軟體，然後將 Active Directory Certificate Services (AD CS) 角色新增到您的 Windows Server。設定此角色時，您可以使用 AWS CloudHSM 金鑰儲存提供者 (KSP) 在 AWS CloudHSM 叢集上建立和存放 CA 的私有金鑰。KSP 是將 Windows 伺服器連線至 AWS CloudHSM 叢集的橋接器。在最後一個步驟，您會使用 Windows Server CA 來簽署憑證簽署要求 (CSR)。

如需詳細資訊，請參閱下列主題：

**Topics**
+ [

## 步驟 1：設定先決條件
](#win-ca-prerequisites-sdk3)
+ [

## 步驟 2：使用 建立 Windows Server CA AWS CloudHSM
](#win-ca-setup-sdk3)
+ [

## 步驟 3：使用 Windows Server CA 簽署憑證簽署請求 (CSR) AWS CloudHSM
](#win-ca-sign-csr-sdk3)

## 步驟 1：設定先決條件
<a name="win-ca-prerequisites-sdk3"></a>

若要使用 將 Windows Server 設定為憑證授權機構 (CA) AWS CloudHSM，您需要下列項目：
+ 具有至少一個 HSM 的作用中 AWS CloudHSM 叢集。
+ 執行 Windows Server 作業系統並已安裝 Windows AWS CloudHSM 用戶端軟體的 Amazon EC2 執行個體。本教學課程使用 Microsoft Windows Server 2016。
+ 一位密碼編譯使用者 (CU)，擁有及管理 HSM 上的 CA 私有金鑰。

**使用 設定 Windows Server CA 的先決條件 AWS CloudHSM**

1. 完成「[開始使用](getting-started.md)」中的步驟。當您啟動 Amazon EC2 用戶端時，請選擇 Windows Server AMI。本教學課程使用 Microsoft Windows Server 2016。當您完成這些步驟，便擁有至少包含一個 HSM 的作用中叢集。您也擁有執行 Windows Server 並安裝 Windows 用戶端軟體的 Amazon EC2 AWS CloudHSM 用戶端執行個體。

1. (選用) 在您的叢集中新增更多 HSM。如需詳細資訊，請參閱[將 HSM 新增至 AWS CloudHSM 叢集](add-hsm.md)。

1. 連接至您的用戶端執行個體。如需詳細資訊，請參閱《*Amazon EC2 使用者指南*》中的[連線至您的執行個體](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/EC2_GetStarted.html#ec2-connect-to-instance-windows)。

1. 使用[透過 CloudHSM CLI 管理 HSM 使用者](manage-hsm-users-chsm-cli.md)或使用 [ CloudHSM 管理公用程式 (CMU) 管理 HSM 使用者來建立加密使用者 (CU)](manage-hsm-users-cmu.md)。保持追蹤 CU 使用者名稱和密碼。您需要它們來完成下一個步驟。

1. 使用您在先前步驟中建立的 CU 使用者名稱和密碼，[設定 HSM 的登入資料](ksp-library-prereq.md)。

1. 在步驟 5 中，如果您使用 Windows 認證管理員來設定 HSM 登入資料，請從 SysInternals 下載 [https://live.sysinternals.com/psexec.exe](https://live.sysinternals.com/psexec.exe)，以 *NT Authority\$1SYSTEM* 的身分執行下列命令：

   ```
   	  psexec.exe -s "C:\Program Files\Amazon\CloudHsm\tools\set_cloudhsm_credentials.exe" --username <USERNAME> --password <PASSWORD>
   ```

   以 HSM 憑證取代*<使用者名稱>*和*<密碼>*。

若要使用 建立 Windows Server CA AWS CloudHSM，請前往 [建立 Windows Server CA](#win-ca-setup-sdk3)。

## 步驟 2：使用 建立 Windows Server CA AWS CloudHSM
<a name="win-ca-setup-sdk3"></a>

若要建立 Windows Server CA，您可以將 Active Directory Certificate Services (AD CS) 角色新增到您的 Windows Server。當您新增此角色時，您可以使用 AWS CloudHSM 金鑰儲存提供者 (KSP) 在 AWS CloudHSM 叢集上建立和存放 CA 的私有金鑰。

**注意**  
建立您的 Windows Server CA 時，您可以選擇建立根 CA 或次級 CA。您一般會根據組織的公有金鑰基礎設施和安全政策的設計進行此決策。本教學課程說明如何建立根 CA 以簡化程序。

**將 AD CS 角色新增至您的 Windows Server 和建立 CA 的私有金鑰**

1. 如果您尚未這麼做，請連接至您的 Windows 伺服器。如需詳細資訊，請參閱《*Amazon EC2 使用者指南*》中的[連線至您的執行個體](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/EC2_GetStarted.html#ec2-connect-to-instance-windows)。

1. 在 Windows 伺服器上，啟動 **Server Manager (伺服器管理員)**。

1. 在 **Server Manager (伺服器管理員)** 儀表板中，選擇 **Add roles and features (新增角色和功能)**。

1. 閱讀 **Before you begin (開始之前)** 資訊，然後選擇 **Next (下一步)**。

1. 對於 **Installation Type (安裝類型)**，選擇 **Role-based or feature-based installation (角色型或功能型安裝)**。然後選擇**下一步**。

1. 對於 **Server Selection (伺服器選項)**，選擇 **Select a server from the server pool (從伺服器集區選取伺服器)**。然後選擇**下一步**。

1. 對於 **Server Roles (伺服器角色)**，執行下列動作：

   1. 選取 **Active Directory Certificate Services (Active Directory Certificate Services)**。

   1. 對於 **Add features that are required for Active Directory Certificate Services (新增 Active Directory Certificate Services 需要的功能**，選擇 **Add Features (新增功能)**。

   1. 選擇 **Next (下一步)** 來完成伺服器角色的選取。

1. 對於 **Features (功能)**，接受預設值，然後選擇 **Next (下一步)**。

1. 對於 **AD CS (AD CS)**，執行下列動作：

   1. 選擇**下一步**。

   1. 選取 **Certification Authority (憑證授權單位)**，然後選擇 **Next (下一步)**。

1. 對於 **Confirmation (確認)**，閱讀確認資訊，然後選擇 **Install (安裝)**。請勿關閉視窗。

1. 選擇反白顯示的 **Configure Active Directory Certificate Services on the destination server (在目的地伺服器上設定 Active Directory Certificate Services)** 連結。

1. 對於 **Credentials (登入資料)**，驗證或變更顯示的登入資料。然後選擇**下一步**。

1. 對於 **Role Services (角色服務)**，選取 **Certification Authority (憑證授權單位)**。然後選擇**下一步**。

1. 對於 **Setup Type (設定類型)**，選取 **Standalone CA (獨立 CA)**。然後選擇**下一步**。

1. 對於 **CA Type (CA 類型)**，選取 **Root CA (根 CA)**。然後選擇**下一步**。
**注意**  
您可以根據公有金鑰基礎設施和組織安全政策的設計，選擇建立根 CA 或次級 CA。本教學課程說明如何建立根 CA 以簡化程序。

1. 對於 **Private Key (私有金鑰)**，選取 **Create a new private key (建立新的私有金鑰)**。然後選擇**下一步**。

1. 對於 **Cryptography (加密法)**，執行下列動作：

   1. 對於 **Select a cryptographic provider (選取密碼編譯供應商)**，從功能表選擇其中一個 **Cavium Key Storage Provider (Cavium 金鑰儲存供應商)** 選項。這些是 AWS CloudHSM 金鑰儲存供應商。例如，您可以選擇 **RSA\$1Cavium Key Storage Provider (RSA\$1Cavium 金鑰儲存供應商)**。

   1. 對於 **Key length (金鑰長度)**，選擇其中一個金鑰長度選項。

   1. 對於 **Select the hash algorithm for signing certificates issued by this CA (選取用於簽署這個 CA 發出之憑證的雜湊演算法)**，請選擇其中一個雜湊演算法選項。

   選擇**下一步**。

1. 對於 **CA Name (CA 名稱)**，執行下列動作：

   1. (選用) 編輯常用的名稱。

   1. (選用) 輸入辨別名稱尾碼。

   選擇**下一步**。

1. 對於 **Validity Period (有效期間)**，以年、月、週或天指定時段。然後選擇**下一步**。

1. 對於 **Certificate Database (憑證資料庫)**，您可以接受預設值，或選擇變更資料庫和資料庫日誌的位置。然後選擇**下一步**。

1. 對於 **Confirmation (確認)**，檢閱您的 CA 的相關資訊，然後選擇 **Configure (設定)**。

1. 選擇 **Close (關閉)**，然後再次選擇 **Close (關閉)**。

您現在具有 Windows Server CA AWS CloudHSM。若要了解如何使用您的 CA 來簽署憑證簽署要求 (CSR)，請移至[簽署 CSR](#win-ca-sign-csr-sdk3)。

## 步驟 3：使用 Windows Server CA 簽署憑證簽署請求 (CSR) AWS CloudHSM
<a name="win-ca-sign-csr-sdk3"></a>

您可以使用 Windows Server CA 搭配 AWS CloudHSM 簽署憑證簽署請求 (CSR)。若要完成以下步驟，您需要有效的 CSR。有幾種方式可建立 CSR，包括：
+ 使用 OpenSSL
+ 使用 Windows Server Internet Information Services (IIS) Manager
+ 在 Microsoft Management Console 中使用憑證嵌入式管理單元
+ 在 Windows 上使用 **certreq** 命令列公用程式

建立 CSR 的步驟已超出本教學課程的範圍。當您有 CSR 時，您可以向 Windows Server CA 簽署此 CSR。

**向 Windows Server CA 簽署 CSR**

1. 如果您尚未這麼做，請連接至您的 Windows 伺服器。如需詳細資訊，請參閱《*Amazon EC2 使用者指南*》中的[連線至您的執行個體](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/EC2_GetStarted.html#ec2-connect-to-instance-windows)。

1. 在 Windows 伺服器上，啟動 **Server Manager (伺服器管理員)**。

1. 在**伺服器管理員**儀表板右上角，選擇 **Tools (工具)**、**Certification Authority (憑證授權單位)**。

1. 在 **Certification Authority (憑證授權單位)** 視窗中，選擇您的電腦名稱。

1. 從 **Action (執行)** 功能表中，選擇 **All Tasks (所有工作)**、**Submit new request (提交新要求)**。

1. 選取您的 CSR 檔案，然後選擇 **Open (開啟)**。

1. 在**Certification Authority (憑證授權單位)**視窗中，按兩下 **Pending Requests (擱置要求)**。

1. 選取擱置要求。然後，從 **Action (執行)** 功能表中，選擇 **All Tasks (所有工作)**、**Issue (發行)**。

1. 在 **Certification Authority (憑證授權單位)** 視窗中，按兩下 **Issued Requests (已發出的要求)**，以檢視已簽署的憑證。

1. (選用) 若要將已簽署的憑證匯出到檔案，請完成以下步驟：

   1. 在 **Certification Authority (憑證授權單位) **視窗中，按兩下憑證。

   1. 選擇 **Details (詳細資料) **標籤，然後選擇 **Copy to File (複製到檔案)**。

   1. 依照**憑證匯出精靈**中的指示進行。

您現在擁有 Windows Server CA AWS CloudHSM，以及 Windows Server CA 簽署的有效憑證。