windows下部署免費ssl認證(letsencrypt)

標籤：change   協議   lock   環境   情況   欄位   檔案   imp   example   

隨著網路的發展，網路安全也越來越重要，對於網站來說，從Http升級到https也是我們要做的首要事情。要實現https，首先我們需要申請一張SSL認證，這篇文章我主要介紹下邊這幾個方面：

1. SSL簡單介紹

2. 免費Letencrypt認證部署

3. 安裝注意事項

一.SSL簡單介紹

　　ssl作為一個網路加密協議，主要是存在於系統中應用程式層和傳輸層之間的一個安全通訊端層（Secure Socket Layer），也就是位於TCP/IP協議和各個應用程式層協議之間，為應用資料轉送提供加密的協議。當然它內部又分記錄協議和握手協議兩個部分，這裡如果有興趣的可以去詳細瞭解一下，我先簡單介紹一下流程性的東西。

　　它的工作流程大概可以理解為這樣，用戶端發起網路請求給服務端，發起握手，交換認證資訊，建立串連。簡單來說分為下邊幾部：

　　用戶端：發送其支援的ssl版本和加密方式給服務端。

　　服務端：選擇加密方式並發送認證和公開金鑰給用戶端

　　用戶端：驗證認證資訊，並通過公開金鑰產生共用秘鑰，交換

　　服務端：好，咱們可以傳遞加密資料了

　　以上是簡單的描述了握手的過程，每一步都可以繼續分解，可以自行尋找相關文檔深入瞭解。

 

　　這裡需要介紹的另外一個協議TLS，這個協議建立在SSL3.0規範之上，更加嚴格明確。其中它又有一個擴充協議叫做 SNI（Server Name Indication-伺服器名稱指示），這裡介紹下它的主要作用。

　　在我們常用的主機中，可能會有很多網站，我們並不能夠一次性提前獲知將使用此伺服器的所有網域名稱列表，但是我們不能每次修改網域名稱重新頒發一次認證，所以有了SNI，讓我們可以在一台主機上能夠部署多個認證， 使得伺服器可以在握手階段選擇正確虛擬域，並發送對應認證。在IIS8.0以上版本中，我們綁定網域名稱時會有如下的選項：

 

　　 當前有很多免費和收費 ssl的認證供應商可以供我們選擇，當然我們也可以自己作為頒發主體，製作ssl認證，不過像Google等瀏覽器對於不受信任的認證機構在頁面上會給提示存在安全風險，阻止訪問，這對使用者體驗來說是非常糟糕的。根據安全等級，當前ssl認證根據主要有以下幾類：

　　EV - 業界頂級SSL認證，部署了EV SSL認證的網站，地址欄會變成醒目的綠色，並且顯示網站所屬企業名稱

　　OV - 使用較為廣泛的企業驗證型SSL認證，部署了OV SSL認證之後，地址欄會有安全鎖標識顯示

　　DV - 只驗證網域名稱，快速簽發的SSL認證。也會在地址欄顯示安全鎖標識，但認證詳情裡面不顯示O欄位，不顯示使用者名稱，只顯示網域名稱

　　當前受到主流瀏覽器承認的很多SSL認證機構頒發的免費認證主要也都是DV等級。下面我介紹一下最近比較知名的 Letencrypt 免費ssl認證在windows下的部署過程。

 

二. 免費Letencrypt認證部署

　　這個是由國外發起的一個免費的ssl項目，現在已經得到了Google等主流瀏覽器的認可。從安全形度考慮，通過Letencrypt安裝的免費認證只有三個月的有效期間，到期之需要重新申請，但是這也給部署造成了一定的麻煩，所以官方也提供了各種自動化的解決方案，這裡我介紹的是windows下的認證申請和自動更新工具letsencrypt-win-simple。

　　首先我們下載   GitHub地址（https://github.com/Lone-Coder/letsencrypt-win-simple/releases） 並解壓

　　因為安裝過程需要在網站下產生驗證檔案，所以請以管理員模式進入cmd介面，也可以右鍵開始菜單 點擊 命令提示字元（管理員）選項

進入解壓檔案夾，運行 letsencrypt.exe --san 命令

執行完之後會自動將IIS下的所有網站列出來，後邊會有如下幾個選項：

這幾個選項分別對應不同的情況，這裡因為我的機器下有好幾個網站，我想給他們統一頒發一個認證，我選擇S，之後它會提示你輸入要安裝的網站序號，這裡我輸入 3,4

 

接下來它會在每個網站下建立一個裡驗證檔案，驗證通過之後就會產生對應認證添加到IIS中，如果一切正常的情況下會在任務管理中建立一個定時更新任務。

 

當前這個軟體還存在一些bug，我個人在安裝中也遇到了幾個異常終止的錯誤，重複操作兩次才正常通過，如果你也遇到問題，可以直接去IIS下認證管理，查看是否已經建立了對應的認證，如果存在可以手動綁定。

 

三. 注意事項

　　使用Letencrypt時有一定的次數限制，以防止申請的濫用，這裡是 官方網站 給出的限制資訊：

If you have a lot of subdomains, you may want to combine them into a single certificate, up to a limit of 100 Names per Certificate. Combined with the above limit, that means you can issue certificates containing up to 2,000 unique subdomains per week. A certificate with multiple names is often called a SAN certificate, or sometimes a UCC certificate.

We also have a Duplicate Certificate limit of 5 certificates per week. A certificate is considered a duplicate of an earlier certificate if they contain the exact same set of hostnames, ignoring capitalization and ordering of hostnames. For instance, if you requested a certificate for the names [www.example.com, example.com], you could request four more certificates for [www.example.com, example.com] during the week. If you changed the set of names by adding [blog.example.com], you would be able to request additional certificates.

　　如果你需要測試，可以在命令列中執行：letsencrypt.exe --test 。進入測試環境。

windows下部署免費ssl認證(letsencrypt)