1.打开服务器的控制面板，选择“添加或删除程序”，点击其中的“添加/删除Windows组件”按钮。

2.选择Windows组件中的“证书服务”。

3.你将会看到一个警告窗口，上面的信息为：“安装证书服务后，计算机名和域成员身份都不能更改，因为计算机名到CA信息的绑定存储在Active Directory中。更改计算机名或域成员身份将使此CA颁发的证书无效。在安装证书服务前请确认配置了正确的计算机名和域成员身份。您想继续吗？”点击“是”，接受这一警告信息，并点击“下一步”，开始安装证书服务。

4.选择“独立根CA”作为你想安装的CA类型，并点击下一步。

在这里，为自己的CA服务器取个名字，设置证书的有效期限。默认的证书有效期限为5年，不过你可以通过企业安全策略来增加或减少此有效期限。

5.填写好这两个文本框，点击下一步，Windows将开始生成加密密钥。

6.最后指定证书数据库和证书数据库日志的位置，按照默认即可，除非你自己想更换路径，然后点击下一步。

7.现在将出现一则消息，提示Windows必需重新启动IIS服务，才能够让证书服务正常运行。点击“是”，Windows将安装必要的组件。

第四步：安装Internet验证服务

Internet验证服务是Windows Server 2003实施RADIUS的一种服务，Internet验证服务将认证那些通过VPN连接进入你的企业网络的用户，因此，你的Internet验证服务器必需是你的域服务器中的一员，并且运行Windows Server 2003操作系统。为了正确安装IAS，请遵循以下的步骤：

1.定位到开始 | 设置 | 控制面板（Start| Settings | Control Panel）。

2.双击添加或删除程序(Add/Remove Programs)。

3.选择添加/删除Windows组件(Add/Remove Windows Components)。

4.在组件列表中，选择网络服务(Networking Services)，并点击详细内容。

5.选择Internet验证服务(Internet Authentication Service)的确认框，然后点击OK，并点击下一步。

完成安装之后，系统中将具有用于因特网认证服务的管理工具的一个新的连接。接着，你必须为每一台机器设置一个客户端，并指定一个远距离访问规范以控制访问。

第五步：配置Internet验证服务

1.进入管理工具（Administrative Tools）-> Internet验证服务（Internet Authentication Service）。

2.在这里，你需要做的第一件事情是在活动目录（Active Directory）中注册你的Internet验证服务器。为了做到这些，请在Internet验证服务器（本地）（Internet Authentication Service (Local)）容器上单击右键，选择在活动目录中注册服务器（Register Server in Active Directory）。

3.点击确定完成注册过程。

4.现在，在RADIUS客户（RADIUS Clients）容器上单击右键，选择新RADIUS客户（RADIUS Clients）。如果你正好直到你某台客户端机器的IP地址或DNS名称，继续下去，输入一个友好的名字。否则，暂时将它留空，在随后的设置客户端连接时再进行填写。

5.点击下一步。

6.此时，会提示你输入一个共享的密钥。共享密钥是RADIUS服务器和客户端同时使用的密钥，确定客户端供应商选项设置为RADIUS标准，输入一个共享密钥值，点击完成。

第六步：创建远程访问策略

1. 在Internet验证服务控制台，右击远程访问策略（Remote Access Policies）容器，选择新建远程访问策略（New Remote Access Policy）选项，这将启动新建远程访问策略向导。

2. 在欢迎使用新建远程访问策略向导页，点击下一步。

3.在策略配置方式页，选择使用向导为通用环境建立典型的策略（Typical Policy for a Common Scenario）选项，在策略名字文本框中输入一个名字，在此我们命名为“VPN Access”，点击下一步。

4.在访问方式页，选择VPN 选项，然后点击Next。

5.在访问的组或者用户页，选择组或用户，然后点击添加。如果你还没有做这一步，我建议你花一些事件创建一个建立在能够通过VPN访问网络的用户纸上的活动目录组，然后将这个组添加进入策略。

6.点击下一步，进入认证方法窗口。

7.确认选择了“Microsoft Encrypted Authentication version 2 (MS CHAPV2) ”，然后点击下一步。

8.在策略加密级别页，确认只选择了“Strong encryption”选项，随后点击下一步，根据向导，在完成新建远程访问策略向导页点击完成。

第七步：配置VPN服务器

1.开始，请打开服务器的网络连接（Network Connections）目录，并将连接重命名为有意义的名字，例如，你可以将连接命名为企业和Internet，或者其它你喜欢的名字。

2.进入管理工具（Administrative Tools）->路由和远程访问（Routing and Remote Access），打开路由和远程访问管理器。

3.在管理器目录数中，右键单击你的VPN服务器，选择配置和启用路由和远程访问（Configure and Enable Routing and Remote Access），这将载入路由和远程访问服务器设置向导（Routing and Remote Access Server Setup Wizard）。

4.点击下一步，略过向导的欢迎页面，然后你将看到向导的配置窗口。

5.选择远程访问（拨号或VPN）Remote Access (Dial-Up or VPN)，然后点击下一步。

6.选中VPN前面的复选框，点击下一步。

7.现在，你将看到一个窗口，此窗口中显示有你的机器的网络连接。选择连接Internet的那个连接，确认启用安全（Enable Security）复选框被选择，然后单击下一步。