標籤:官方 郵箱 releases manage 自動設定 一個 wro 圖形介面 webdav
文:鐵樂貓
2017年1月12日
申請Let‘s Encrypt頒發SSL認證
由 ISRG(Internet Security Research Group,互連網安全研究小組)提供服務, ISRG 來自於美國加利福尼亞州的一個公益組織。Let‘s Encrypt 得到了 Mozilla、Cisco、Akamai、Electronic Frontier Foundation 和 Chrome 等眾多公司和機構的支援,發展十分迅猛。
對於網域名稱所有權的驗證,支援兩種方式:放置臨時檔案進行驗證、查詢 whois 給網域名稱所有人發郵件驗證
需要注意的是它一次只會頒發3個月有效期間的認證,到期之後需要自己再續上 (仍然是免費的),維護起來比較麻煩,不過可以使用工具去自動續期。 另外它不支援萬用字元泛網域名稱 (*.demo.com),所以在申請認證的時候,要把網域名稱都 301 跳轉到認證裡包含的網域名稱上,不然瀏覽器會彈認證錯誤。
windows在Let‘s Encrypt擷取認證,也就是IIS的網站擷取SSL認證,一般使用certify這個自動化工具會方便很多。
另外常見的一種就是用工具 letsencrypt-win-simple
下載最新版 letsencrypt-win-simple:
連結不好找:https://github.com/Lone-Coder/letsencrypt-win-simple/releases
最新版是:letsencrypt-win-simple.V1.9.1.zip。在伺服器解壓 letsencrypt-win-simple.V1.9.1 ,解壓後運行lessencrypt.exe。
會彈出一個cmd視窗,第一次運行會讓你先填一個郵箱地址。用於更新失敗時郵件通知你。
輸入email後,還會再問你同意與否,後面列出的一個網址,看pdf(估計就是協議),那必須得填Y阿。
W - 產生一個認證並通過 WebDav 來進行安裝
F - 產生一個認證通過FTP、FTPS安裝。
M - 通過配置手動產生認證
A - 給 IIS 當前已經發布的所有網站各自部署上對應的認證
會自動替你掃描出IIS上的網站,讓你選擇,一般選M手動擷取網站認證。
這樣接下來就是填入host name 網站主機名稱,web root 網站的根目錄。
letsencrypt-win-simple.V1.9.1 會自動產生臨時檔案並放到網站根目錄,然後 Let‘s Encrypt 伺服器會訪問這個檔案, 用於驗證這個網站是否屬於你。
如果驗證不通過,是因為 IIS 需要修改一些配置, 驗證通過後會即時頒發認證,並且會自動把認證添加到伺服器中,然後直接在 IIS 中進行HTTPS部署即可。
除了直接運行letsencrypt程式來互動操作,還可以在CMD上敲命令去單條命令完成,例如:
部署單個網域名稱
輸入以下命令
letsencrypt.exe --accepttos --manualhost 你的網域名稱 --webroot 你的網站實體路徑(wwwroot路徑)
除了用官方內建的命令列工具外,還有一個第三方的更好用的圖形介面下的工具:
一個可以自動續訂Let‘s Encrypt頒發認證的 GUI 軟體,叫做 certify
作用是可以自動設定、建立和自動續訂認證,並且到快要續訂的時候會自動發郵件給你。
首先先去 官網下載 certify ,然後在伺服器上安裝。
官網下載連結:http://certify.webprofusion.com/
注意,certify 要求以管理員權限運行,並且要求伺服器安裝了 PowerShell 4.0。
PowerShell 4.0 預設整合在 Windows Management Framework 4.0 中,而 Windows Management Framework 4.0 又依賴 Microsoft .NET Framework 4.5 。
可以查看下自己的伺服器是否具備這些環境,然後按需更新即可。更新之後安裝 certify 運行。
點擊 New Contact 按鈕,建立一個連絡人,這個連絡人會在認證快要到期的時候收到續訂認證的提醒郵件,輸入email 即可。
(註:第一次啟動程式的時候也會彈出對話方塊讓你填這個新連絡人)
點擊 New Certificate,certify 會自動掃描 IIS 中的網站,選擇你要申請認證的網域名稱。
[](http://images2015.cnblogs.com/blog/965728/201701/965728-20170120142406406-684809033.jpg)
點擊 Request Certificate 擷取認證,certify 會在網站根目錄下產生 .well-known 檔案夾,並且會自動設定 web.config,自動驗證認證。
驗證完成後會彈窗顯示認證已安裝。就可以去看自己已經申請的認證詳細資料了。
且 IIS 中也已經自動給你配置好了認證,這點是省了不少事。
如果發現認證沒有續訂或者沒有生效,點擊一下 Auto Apply 就可以了。
最後記得把網站根目錄下的 .well-known 目錄給刪掉,以保持網站目錄乾淨。
用certify這個工具簡直不能太贊了,圖形化介面比letsencrypt自身的官方指令碼工具直觀,又會在IIS上自動替你綁定443,還帶自動續訂和郵件通知的功能。
【http轉https】其之二:申請Let's Encrypt頒發SSL認證