Použití šifrování certifikátů SSL v Internetové informační službě (IIS)
životní prostředí
- Windows Server
-
- Windows Server 2019
- Internetová informační služba
-
- 10.0
- win-acme
-
- v2.1.16.1
* Funguje s jinými verzemi, ale není potvrzen.
O službě Let's Encrypt
Za účelem šifrování komunikace mezi servery, pokud existují dva typy komunikace mezi klientem a serverem, lze provést samotné šifrování, ale není možné prokázat, zda je druhý server správný nebo ne.
Jedním ze způsobů, jak tento problém vyřešit, je použít certifikát SSL získaný od certifikační autority třetí strany k prokázání, že druhý server je správný, ale téměř vždy existují pravidelné náklady spojené s použitím certifikační autority.
Certifikáty SSL můžete získat zdarma pomocí Let's Encrypt, certifikační autority podporované mnoha sponzory. Tentokrát získáme certifikát SSL od let's Encrypt, použijeme jej na web spuštěný ve službě IIS a nakonfigurujeme jej tak, aby umožňoval komunikaci HTTPS.
Následující odkaz je oficiální domovská stránka (japonská).
předpoklad
- Je nastaven systém Windows Server
- Nastavili jste Internetovou informační službu (IIS) a vytvořili web
- Získali jste doménu
- Cílový server musí být přístupný z domény
- Možnost přístupu k webovým stránkám přes protokol HTTP
- Nastavení brány firewall musí umožňovat připojení přes porty HTTPS (443)
Tyto tipy používají web publikovaný programem ASP.NET Core, ale nezáleží na tom, na jakém médiu je web spuštěn, pokud máte web služby IIS.
Získat Win-ACME
Certifikáty SSL mají vždy datum vypršení platnosti. Certifikát SSL proto musí být pravidelně obnovován.
Chcete-li pravidelně získat certifikát SSL od společnosti Let's Encrypt, můžete jej stáhnout pomocí nástroje s názvem win-acme.
Existuje mnoho souborů, které si můžete stáhnout, ale zde si stáhneme "win-acme.v2.1.16.1037.x64.trimmed.zip". Verze se mohou měnit v různých časech. Pro arm64, x64 a x86 je x64 v systému Windows Server v pořádku.
Extrahujte obsah ze souboru ZIP a extrahujte jej do složky podle vašeho výběru v systému Windows Server. Nástroj se používá pouze pro nastavení, takže může být kdekoli. Umístěte jej prosím na místo, kde lze program spustit.
Konfigurace služby IIS
Před použitím win-acme je na straně služby IIS vyžadována předkonfigurace.
Po otevření Správce služby IIS vyberte weby, ke kterým chcete získat přístup prostřednictvím protokolu HTTPS, a v pravé nabídce klepněte na příkaz Vytvořit.
Vyberte port 80 a klikněte na tlačítko Upravit.
Do názvu hostitele zadejte získaný název domény. Chcete-li získat přístup pouze k subdoménám, můžete zadat subdomény.
Spuštění Win-ACME
Win-acme může změnit výběr v závislosti na verzi, takže pokud používáte jinou verzi, pochopte rozdíl.
Spusťte "wacs.exe" s "oprávněními správce" z extrahovaného souboru.
Vzhledem k tomu, že se jedná o nový výtvor, zadejte "N".
Zobrazí se seznam názvů webů, takže zadejte číslo cílového webu.
Pokud neexistují zvláštní okolnosti, "A" je v pořádku.
Pro potvrzení zadejte "y".
"Podmínky služby" jsou v následující složce, takže zadejte "y" a přečtěte si ji. Windows Server ale nemá standardní aplikaci PDF, takže je lepší zkopírovat soubor PDF ze složky a přečíst si ho.
Pokud souhlasíte, zadejte y.
Pokud chcete dostávat oznámení, jako jsou problémy s Let's Encrypt, zadejte svou e-mailovou adresu. Není problém, i když ho nevložíte.
Instalační program se poté spustí a dokončí, pokud se nezobrazí žádné chyby. Obrazovka je v pořádku zavřít.
Když otevřete Certifikáty serveru ze služby IIS, uvidíte, že certifikát byl přidán.
Certifikáty jsou platné po dobu 90 dnů.
Můžete ověřit, zda je automatické obnovení certifikátu zaregistrováno v Plánovači úloh.
Při zobrazení vazeb webu ze Správce služby IIS můžete vidět, že vazby HTTPS jsou vytvořeny automaticky.
Po ověření, že máte přístup k webu, můžete jej odstranit, pokud nepotřebujete přístup HTTP.
potvrzení
Ověřte, zda se můžete připojit přes protokol HTTPS při přístupu pomocí "https:// názvu domény" v externím webovém prohlížeči.
Certifikát můžete zkontrolovat kliknutím na ikonu zámku v adresním řádku.