Brug af Let's Encrypt SSL-certifikater i Internet Information Services (IIS)
miljø
- Windows Server
-
- Windows Server 2019
- Internet informationstjenester
-
- 10.0
- win-acme
-
- v2.1.16.1
* Det fungerer med andre versioner, men det er ubekræftet.
Om Let's Encrypt
For at kryptere kommunikation mellem servere, hvis der er to typer kommunikation mellem klienten og serveren, kan kryptering selv udføres, men det er ikke muligt at bevise, om den anden server er korrekt eller ej.
En måde at løse dette problem på er at bruge et SSL-certifikat opnået fra en tredjeparts certifikatmyndighed til at bevise, at den anden server er korrekt, men der er næsten altid periodiske omkostninger forbundet med at bruge en certifikatmyndighed.
Du kan få SSL-certifikater gratis ved hjælp af Let's Encrypt, en certifikatmyndighed, der understøttes af mange sponsorer. Denne gang får vi et SSL-certifikat fra Let's Encrypt, anvender det på webstedet, der kører på IIS, og konfigurerer det til at tillade HTTPS-kommunikation.
Følgende link er den officielle hjemmeside (japansk).
forudsætning
- windows server er konfigureret
- du har oprettet internetinformationstjenester (iis) og oprettet et websted
- Du har erhvervet et domæne
- Målserveren skal være tilgængelig fra domænet
- Mulighed for at få adgang til websteder via HTTP
- Firewallindstillinger skal tillade forbindelser via HTTPS-porte (443)
Dette tip bruger et websted, der er udgivet af ASP.NET Core-program, men det betyder ikke noget, hvilket medium webstedet kører på, så længe du har et IIS-websted.
Hent Win-ACME
SSL-certifikater har altid en udløbsdato. Derfor skal SSL-certifikatet fornyes med jævne mellemrum.
For at få et SSL-certifikat fra Let's Encrypt regelmæssigt kan du bruge et værktøj kaldet win-acme til at downloade det.
Der er mange filer, du kan downloade, men her downloader vi "win-acme.v2.1.16.1037.x64.trimmed.zip". Versioner kan ændre sig på forskellige tidspunkter. For arm64, x64 og x86 er x64 fint på Windows Server.
Uddrag indholdet fra ZIP-filen, og udpak det til en mappe efter eget valg på Windows Server. Værktøjet bruges kun til opsætning, så det kan være hvor som helst. Placer det et sted, hvor programmet kan udføres.
Konfiguration af IIS
Forudkonfiguration er påkrævet på IIS-siden, før du bruger win-acme.
Når du har åbnet IIS Manager, skal du vælge de websteder, du vil have adgang til via HTTPS, og derefter klikke på Bind i menuen til højre.
Vælg port 80, og klik på knappen Rediger.
Indtast det opnåede domænenavn i værtsnavnet. Hvis du kun vil have adgang til underdomæner, kan du indtaste underdomæner.
Kører Win-ACME
Win-acme kan ændre valget afhængigt af versionen, så hvis du bruger en anden version, skal du forstå forskellen.
Start "wacs.exe" med "administratorrettigheder" fra den udpakkede fil.
Da det er en ny skabelse, skal du indtaste "N".
Der vises en liste over webstedsnavne, så indtast nummeret på målwebstedet.
Medmindre der er særlige omstændigheder, er "A" fint.
Indtast "y" for at bekræfte.
"Servicevilkår" er i følgende mappe, så indtast "y" for at læse den. Windows Server har dog ikke en standard PDF-app, så det er bedre at kopiere PDF-filen fra en mappe og læse den.
Hvis du accepterer, skal du indtaste y.
Hvis du vil modtage meddelelser såsom problemer med Let's Encrypt, skal du indtaste din e-mail-adresse. Der er ikke noget problem, selvom du ikke sætter det ind.
Opsætningen starter og fuldføres derefter, hvis der ikke vises fejl. Skærmen er fin at lukke.
Når du åbner Servercertifikater fra IIS, kan du se, at certifikatet er blevet tilføjet.
Certifikater er gyldige i 90 dage.
Du kan kontrollere, at automatisk certifikatfornyelse er registreret i Task Scheduler.
Når du får vist webstedsbindingerne fra IIS Manager, kan du se, at HTTPS-bindinger oprettes automatisk.
Når du har bekræftet, at du kan få adgang til webstedet, kan du slette det, hvis du ikke har brug for HTTP-adgang.
bekræftelse
Kontroller, at du kan oprette forbindelse via HTTPS, når du får adgang til det med et "https:// domænenavn" i en ekstern webbrowser.
Du kan kontrollere certifikatet ved at klikke på låseikonet i adresselinjen.