Використання давайте шифрувати SSL-сертифікати в інформаційних службах Інтернету (IIS)

Сторінка оновлюється :
Дата створення сторінки :

середовище

Windows Server
  • Windows Server 2019
Інформаційні служби Інтернету
  • 10.0
win-acme
  • v2.1.16.1

* Він працює з іншими версіями, але непідтверджений.

Про давайте шифрувати

Для того щоб зашифрувати зв'язок між серверами, при наявності двох типів зв'язку між клієнтом і сервером можна виконати саме шифрування, але довести, правильний інший сервер чи ні, не представляється можливим.

Одним із способів вирішення цієї проблеми є використання сертифіката SSL, отриманого від стороннього центру сертифікації, щоб довести, що інший сервер правильний, але майже завжди існують періодичні витрати, пов'язані з використанням центру сертифікації.

Ви можете отримати сертифікати SSL безкоштовно, використовуючи Let's Encrypt, центр сертифікації, який підтримується багатьма спонсорами. Цього разу ми отримаємо сертифікат SSL від Let's Encrypt, застосуємо його до сайту, що працює на службі IIS, і налаштуємо його, щоб дозволити HTTPS-зв'язок.

Наступне посилання - офіційна домашня сторінка (японська).

Передумовою

  • windows-сервер настроєно
  • ви налаштували інформаційні служби Інтернету (iis) і створили сайт
  • Ви придбали домен
  • Цільовий сервер повинен бути доступний з домену
  • Можливість доступу до веб-сайтів через HTTP
  • Параметри брандмауера повинні дозволяти підключення через порти HTTPS (443)

У цій пораді використовується сайт, опублікований програмою ASP.NET Core, але не має значення, на якому носії працює сайт, якщо у вас є сайт IIS.

Отримайте Win-ACME

SSL сертифікати завжди мають термін дії. Тому SSL сертифікат необхідно періодично поновлювати.

Щоб отримати сертифікат SSL від Let's Encrypt на регулярній основі, ви можете використовувати інструмент під назвою win-acme для його завантаження.

Файлів, які ви можете завантажити, дуже багато, але тут ми скачаємо "win-acme.v2.1.16.1037.x64.trimmed.zip". Версії можуть змінюватися в різний час. Для arm64, x64 та x86 x64 добре підходить на Windows Server.

Розпакуйте вміст із ZIP-файлу та розпакуйте його до вибраної вами папки на сервері Windows Server. Інструмент використовується тільки для настройки, тому він може бути де завгодно. Будь ласка, розмістіть його в місці, де програма може бути виконана.

Налаштування служб IIS

Перед використанням win-acme необхідна попередня настройка на стороні IIS.

Відкривши диспетчер IIS, виберіть сайти, до яких потрібно отримати доступ через протокол HTTPS, а потім натисніть bind в правому меню.

Виберіть порт 80 і натисніть кнопку Редагувати.

Введіть отримане доменне ім'я в ім'я хоста. Якщо потрібно отримати доступ лише до дочірніх доменів, можна ввести дочірні домени.

Запуск Win-ACME

Win-acme може змінити вибір залежно від версії, тому, якщо ви використовуєте іншу версію, будь ласка, зрозумійте різницю.

Почніть "wacs.exe" з "прав адміністратора" з витягнутого файлу.

Так як це нове творіння, введіть «N».

Відобразиться список назв сайтів, тому введіть номер цільового сайту.

Якщо немає особливих обставин, «А» - це нормально.

Введіть "y" для підтвердження.

"Умови надання послуг" знаходяться в наступній папці, тому введіть "y", щоб прочитати її. Однак windows Server не має стандартної програми PDF, тому краще скопіювати PDF-файл з теки та прочитати його.

Якщо ви згодні, введіть y.

Якщо ви хочете отримувати сповіщення, такі як проблеми з Let's Encrypt, введіть свою адресу електронної пошти. Немає ніяких проблем, навіть якщо ви його не вставите.

Після цього розпочнеться та завершиться налаштування, якщо помилки не відображаються. Екран можна закрити.

Відкривши серверні сертифікати з служб IIS, можна побачити, що сертифікат додано.

Термін дії сертифікатів - 90 днів.

Ви можете перевірити, чи зареєстровано автоматичне поновлення сертифіката в планувальнику завдань.

При перегляді прив'язки сайту з IIS Manager можна побачити, що автоматично створюються https прив'язки.

Після того, як ви переконаєтеся, що можете отримати доступ до веб-сайту, його можна видалити, якщо вам не потрібен http-доступ.

Підтвердження

Переконайтеся, що ви можете підключитися через HTTPS, коли доступ до нього має "https:// доменне ім'я" у зовнішньому веб-браузері.

Перевірити сертифікат можна, натиснувши значок замка в адресному рядку.