Používanie certifikátov Poďme šifrovať SSL v internetových informačných službách (IIS)
životné prostredie
- Windows Server
-
- Windows Server 2019
- Internetové informačné služby
-
- 10.0
- win-acme
-
- v2.1.16.1
* Funguje s inými verziami, ale nie je potvrdený.
O poďme šifrovať
Na šifrovanie komunikácie medzi servermi, ak existujú dva typy komunikácie medzi klientom a serverom, je možné vykonať samotné šifrovanie, ale nie je možné dokázať, či je druhý server správny alebo nie.
Jedným zo spôsobov, ako tento problém vyriešiť, je použiť certifikát SSL získaný od certifikačnej autority tretej strany na preukázanie správnosti druhého servera, ale s používaním certifikačnej autority sú takmer vždy spojené pravidelné náklady.
Certifikáty SSL môžete získať zadarmo pomocou let's Encrypt, certifikačnej autority podporovanej mnohými sponzormi. Tentokrát získame certifikát SSL od let's Encrypt, aplikujeme ho na web bežiaci na IIS a nakonfigurujeme ho tak, aby umožňoval komunikáciu HTTPS.
Nasledujúci odkaz je oficiálna domovská stránka (japončina).
Predpokladom
- windows server je nastavený
- máte zriadené internetové informačné služby (iis) a vytvorili ste stránku
- Získali ste doménu
- Cieľový server musí byť prístupný z domény
- Možnosť prístupu na webové stránky cez HTTP
- Nastavenia brány firewall musia umožňovať pripojenia cez porty HTTPS (443)
Tento tip používa lokalitu publikovanú programom ASP.NET Core, ale nezáleží na tom, na akom médiu stránka beží, pokiaľ máte lokalitu SLUŽBY IIS.
Získajte Win-ACME
SSL certifikáty majú vždy dátum vypršania platnosti. Preto sa certifikát SSL musí pravidelne obnovovať.
Ak chcete pravidelne získavať certifikát SSL od organizácie Let's Encrypt, môžete ho stiahnuť pomocou nástroja s názvom win-acme.
Existuje veľa súborov, ktoré si môžete stiahnuť, ale tu si stiahneme "win-acme.v2.1.16.1037.x64.trimmed.zip". Verzie sa môžu meniť v rôznom čase. Pre arm64, x64 a x86 je x64 v systéme Windows Server v poriadku.
Extrahujte obsah zo súboru ZIP a rozbaľte ho do priečinka podľa vášho výberu na systéme Windows Server. Nástroj sa používa iba na nastavenie, takže môže byť kdekoľvek. Umiestnite ho na miesto, kde je možné program spustiť.
Konfigurácia služby IIS
Pred použitím win-acme je potrebná predkonfigurácia na strane IIS.
Po otvorení správcu SLUŽBY IIS vyberte lokality, ku ktorým chcete získať prístup cez protokol HTTPS, a potom v pravej ponuke kliknite na položku Zviazať.
Vyberte port 80 a kliknite na tlačidlo Upraviť.
Do názvu hostiteľa zadajte získaný názov domény. Ak chcete získať prístup iba k subdoménam, môžete zadať subdomény.
Spustenie Win-ACME
Win-acme môže zmeniť výber v závislosti od verzie, takže ak používate inú verziu, pochopte rozdiel.
Spustite "wacs.exe" s "oprávneniami správcu" z extrahovaného súboru.
Keďže ide o nový výtvor, zadajte "N".
Zobrazí sa zoznam názvov lokalít, preto zadajte číslo cieľovej lokality.
Pokiaľ neexistujú špeciálne okolnosti, "A" je v poriadku.
Zadajte "y" na potvrdenie.
"Podmienky služby" sú v nasledujúcom priečinku, takže si ho prečítajte zadaním "y". Windows Server však nemá štandardnú aplikáciu PDF, takže je lepšie skopírovať súbor PDF z priečinka a prečítať si ho.
Ak súhlasíte, zadajte y.
Ak chcete dostávať upozornenia, ako sú napríklad problémy s poďme šifrovať, zadajte svoju e-mailovú adresu. Nie je problém, aj keď ho nevložíte.
Nastavenie sa potom spustí a dokončí, ak sa nezobrazujú žiadne chyby. Obrazovka je v poriadku na zatvorenie.
Keď otvoríte serverové certifikáty z IIS, uvidíte, že certifikát bol pridaný.
Certifikáty sú platné 90 dní.
Môžete overiť, či je automatické obnovenie certifikátu zaregistrované v Plánovači úloh.
Keď si prezeráte väzby lokalít v správcovi IIS, môžete vidieť, že väzby protokolu HTTPS sa vytvárajú automaticky.
Po overení prístupu na webovú lokalitu ju môžete odstrániť, ak nepotrebujete prístup http.
potvrdenie
Skontrolujte, či sa môžete pripojiť cez protokol HTTPS, keď sa k nemu v externom webovom prehliadači pristupuje pomocou "názvu domény https://".
Certifikát môžete skontrolovať kliknutím na ikonu zámku v paneli s adresou.