Utilizzo dei certificati SSL Let's Encrypt in Internet Information Services (IIS)

Pagina aggiornata :
Data di creazione della pagina :

ambiente

Windows Server
  • Windows Server 2019
Servizi di informazione Internet
  • 10.0
win-acme
  • V2.1.16.1

* Funziona con altre versioni, ma non è confermato.

Informazioni su Let's Encrypt

Per crittografare la comunicazione tra i server, se ci sono due tipi di comunicazione tra il client e il server, la crittografia stessa può essere eseguita, ma non è possibile dimostrare se l'altro server è corretto o meno.

Un modo per risolvere questo problema consiste nell'utilizzare un certificato SSL ottenuto da un'autorità di certificazione di terze parti per dimostrare che l'altro server è corretto, ma ci sono quasi sempre costi periodici associati all'utilizzo di un'autorità di certificazione.

È possibile ottenere certificati SSL gratuitamente utilizzando Let's Encrypt, un'autorità di certificazione supportata da molti sponsor. Questa volta, otterremo un certificato SSL da Let's Encrypt, lo applicheremo al sito in esecuzione su IIS e lo configureremo per consentire la comunicazione HTTPS.

Il seguente link è la homepage ufficiale (giapponese).

precondizione

  • Windows Server è configurato
  • È stato configurato Internet Information Services (IIS) e creato un sito
  • Hai acquisito un dominio
  • Il server di destinazione deve essere accessibile dal dominio
  • Possibilità di accedere a siti Web tramite HTTP
  • Le impostazioni del firewall devono consentire connessioni su porte HTTPS (443)

In questo suggerimento viene utilizzato un sito pubblicato dal programma ASP.NET Core, ma non importa su quale supporto sia in esecuzione il sito finché si dispone di un sito IIS.

Ottieni Win-ACME

I certificati SSL hanno sempre una data di scadenza. Pertanto, il certificato SSL deve essere rinnovato periodicamente.

Per ottenere regolarmente un certificato SSL da Let's Encrypt, è possibile utilizzare uno strumento chiamato win-acme per scaricarlo.

Ci sono molti file che puoi scaricare, ma qui scaricheremo "win-acme.v2.1.16.1037.x64.trimmed.zip". Le versioni possono cambiare in momenti diversi. Per arm64, x64 e x86, x64 va bene su Windows Server.

Estrarre il contenuto dal file ZIP ed estrarlo in una cartella a scelta su Windows Server. Lo strumento viene utilizzato solo per la configurazione, quindi può essere ovunque. Si prega di posizionarlo in un luogo in cui il programma può essere eseguito.

Configurazione di IIS

La preconfigurazione è necessaria sul lato IIS prima di utilizzare win-acme.

Dopo aver aperto Gestione IIS, selezionare i siti a cui si desidera accedere tramite HTTPS e quindi fare clic su Associa nel menu a destra.

Selezionare la porta 80 e fare clic sul pulsante Modifica.

Immettere il nome di dominio ottenuto nel nome host. Se si desidera accedere solo ai sottodomini, è possibile immettere sottodomini.

Esecuzione di Win-ACME

Win-acme può cambiare la selezione a seconda della versione, quindi se si utilizza una versione diversa, si prega di comprendere la differenza.

Avviare "wacs.exe" con "privilegi di amministratore" dal file estratto.

Poiché si tratta di una nuova creazione, inserisci "N".

Viene visualizzato un elenco di nomi di siti, quindi immettere il numero del sito di destinazione.

A meno che non ci siano circostanze particolari, "A" va bene.

Inserisci "y" per confermare.

"Termini di servizio" si trova nella seguente cartella, quindi inserisci "y" per leggerlo. Tuttavia, Windows Server non dispone di un'app PDF standard, quindi è meglio copiare il file PDF da una cartella e leggerlo.

Se sei d'accordo, inserisci y.

Se desideri ricevere notifiche come problemi con Let's Encrypt, inserisci il tuo indirizzo email. Non c'è problema anche se non lo metti dentro.

L'installazione verrà quindi avviata e completata se non vengono visualizzati errori. Lo schermo va bene per chiudersi.

Quando si apre Certificati server da IIS, è possibile vedere che il certificato è stato aggiunto.

I certificati sono validi per 90 giorni.

È possibile verificare che il rinnovo automatico del certificato sia registrato nell'Utilità di pianificazione.

Quando si visualizzano le associazioni di sito da Gestione IIS, è possibile vedere che le associazioni HTTPS vengono create automaticamente.

Dopo aver verificato che è possibile accedere al sito Web, è possibile eliminarlo se non è necessario l'accesso HTTP.

conferma

Verificare che sia possibile connettersi tramite HTTPS quando si accede con un "nome di dominio https://" in un browser Web esterno.

È possibile controllare il certificato facendo clic sull'icona del lucchetto nella barra degli indirizzi.