การใช้ Let's Encrypt ใบรับรอง SSL ในบริการข้อมูลทางอินเทอร์เน็ต (IIS)

สิ่งแวดล้อม

วินโดวส์เซิร์ฟเวอร์

• เซิร์ฟเวอร์วินโดวส์ 2019

บริการข้อมูลทางอินเทอร์เน็ต

• 10.0

วิน-แอคเม่

• v2.1.16.1

* ใช้งานได้กับเวอร์ชันอื่น ๆ แต่ไม่ได้รับการยืนยัน

เกี่ยวกับมาเข้ารหัสกันเถอะ

ในการเข้ารหัสการสื่อสารระหว่างเซิร์ฟเวอร์หากมีการสื่อสารสองประเภทระหว่างไคลเอนต์และเซิร์ฟเวอร์การเข้ารหัสสามารถทําได้ แต่ไม่สามารถพิสูจน์ได้ว่าเซิร์ฟเวอร์อื่นถูกต้องหรือไม่

วิธีหนึ่งในการแก้ไขปัญหานี้คือการใช้ใบรับรอง SSL ที่ได้รับจากผู้ออกใบรับรองบุคคลที่สามเพื่อพิสูจน์ว่าเซิร์ฟเวอร์อื่นถูกต้อง แต่มีค่าใช้จ่ายเป็นระยะ ๆ ที่เกี่ยวข้องกับการใช้ผู้ออกใบรับรอง

คุณสามารถรับใบรับรอง SSL ได้ฟรีโดยใช้ Let's Encrypt ซึ่งเป็นผู้ออกใบรับรองที่ได้รับการสนับสนุนจากผู้สนับสนุนจํานวนมาก คราวนี้เราจะได้รับใบรับรอง SSL จาก Let's Encrypt นําไปใช้กับไซต์ที่ทํางานบน IIS และกําหนดค่าให้อนุญาตการสื่อสาร HTTPS

ลิงก์ต่อไปนี้เป็นหน้าแรกอย่างเป็นทางการ (ภาษาญี่ปุ่น)

• มาเข้ารหัสกันเถอะ

เงื่อนไขเบื้องต้น

• เซิร์ฟเวอร์ Windows ถูกตั้งค่า
• คุณได้ตั้งค่าบริการข้อมูลทางอินเทอร์เน็ต (IIS) และสร้างเว็บไซต์
• คุณได้รับโดเมนแล้ว
• เซิร์ฟเวอร์เป้าหมายต้องสามารถเข้าถึงได้จากโดเมน
• ความสามารถในการเข้าถึงเว็บไซต์ผ่าน HTTP
• การตั้งค่าไฟร์วอลล์ต้องอนุญาตการเชื่อมต่อผ่านพอร์ต HTTPS (443)

เคล็ดลับนี้ใช้ไซต์ที่เผยแพร่โดยโปรแกรม ASP.NET Core แต่ไม่สําคัญว่าไซต์จะใช้งานสื่อใดตราบใดที่คุณมีไซต์ IIS

รับวิน-เอซีเอ็มอี

ใบรับรอง SSL จะมีวันหมดอายุเสมอ ใบรับรอง SSL ต้องต่ออายุเป็นระยะ ๆ

ในการรับใบรับรอง SSL จาก Let's Encrypt เป็นประจําคุณสามารถใช้เครื่องมือที่เรียกว่า win-acme เพื่อดาวน์โหลดได้

• ดาวน์โหลด win-acme
• ไคลเอ็นต์ ACME สําหรับวินโดวส์

มีไฟล์จํานวนมากที่คุณสามารถดาวน์โหลดได้ แต่ที่นี่เราจะดาวน์โหลด "win-acme.v2.v2.1.16.1037.x64.trimmed.zip" เวอร์ชันอาจมีการเปลี่ยนแปลงในเวลาที่ต่างกัน สําหรับ arm64, x64 และ x86, x64 ใช้ได้บน Windows Server

แยกเนื้อหาจากไฟล์ ZIP และแตกไฟล์ไปยังโฟลเดอร์ที่คุณเลือกบน Windows Server เครื่องมือนี้ใช้สําหรับการตั้งค่าเท่านั้นดังนั้นจึงสามารถอยู่ได้ทุกที่ โปรดวางไว้ในที่ที่โปรแกรมสามารถดําเนินการได้

การกําหนดค่า IIS

จําเป็นต้องมีการกําหนดค่าล่วงหน้าที่ฝั่ง IIS ก่อนที่จะใช้ win-acme

หลังจากเปิดตัวจัดการ IIS เลือกไซต์ที่คุณต้องการเข้าถึงผ่าน HTTPS แล้วคลิก ผูก ในเมนูด้านขวา

เลือกพอร์ต 80 แล้วคลิกปุ่มแก้ไข

ป้อนชื่อโดเมนที่ได้รับในชื่อโฮสต์ หากคุณต้องการเข้าถึงเฉพาะโดเมนย่อย คุณสามารถป้อนโดเมนย่อยได้

เรียกใช้ Win-ACME

Win-acme อาจเปลี่ยนแปลงการเลือกขึ้นอยู่กับรุ่นดังนั้นหากคุณใช้เวอร์ชันอื่นโปรดเข้าใจความแตกต่าง

เริ่ม "wacs.exe" ด้วย "สิทธิ์ของผู้ดูแลระบบ" จากไฟล์ที่แยกออกมา

เนื่องจากเป็นการสร้างใหม่ให้ป้อน "N"

รายการชื่อไซต์จะปรากฏขึ้น ดังนั้นให้ป้อนหมายเลขของไซต์เป้าหมาย

เว้นแต่จะมีสถานการณ์พิเศษ "A" ก็ใช้ได้

ป้อน "y" เพื่อยืนยัน

"ข้อกําหนดในการให้บริการ" อยู่ในโฟลเดอร์ต่อไปนี้ ดังนั้นให้ป้อน "y" เพื่ออ่าน อย่างไรก็ตาม Windows Server ไม่มีแอป PDF มาตรฐาน ดังนั้นจึงเป็นการดีกว่าที่จะคัดลอกไฟล์ PDF จากโฟลเดอร์และอ่าน

หากคุณเห็นด้วย ให้ป้อน y

หากคุณต้องการรับการแจ้งเตือน เช่น ปัญหาเกี่ยวกับ Let's Encrypt ให้ป้อนที่อยู่อีเมลของคุณ ไม่มีปัญหาแม้ว่าคุณจะไม่ได้ใส่เข้าไปก็ตาม

โปรแกรมติดตั้งจะเริ่มต้นและเสร็จสมบูรณ์หากไม่มีข้อผิดพลาดปรากฏขึ้น หน้าจอสามารถปรับปิดได้

เมื่อคุณเปิดใบรับรองเซิร์ฟเวอร์จาก IIS คุณจะเห็นว่ามีการเพิ่มใบรับรอง

ใบรับรองมีอายุ 90 วัน

คุณสามารถตรวจสอบว่า มีการลงทะเบียนการต่ออายุใบรับรองอัตโนมัติในตัวจัดกําหนดการงาน

เมื่อคุณดูการเชื่อมโยงไซต์จากตัวจัดการ IIS คุณจะเห็นว่า การเชื่อมโยง HTTPS ถูกสร้างขึ้นโดยอัตโนมัติ

หลังจากยืนยันว่าคุณเข้าถึงเว็บไซต์ได้แล้ว คุณจะลบเว็บไซต์ได้หากไม่ต้องการการเข้าถึง HTTP

การยืนยัน

ตรวจสอบว่าคุณสามารถเชื่อมต่อผ่าน HTTPS เมื่อเข้าถึงด้วย "ชื่อโดเมน https://" ในเว็บเบราว์เซอร์ภายนอก

คุณสามารถตรวจสอบใบรับรองได้โดยคลิกไอคอนแม่กุญแจในแถบที่อยู่