【http轉https】其之二：申請Let's Encrypt頒發SSL認證

標籤：官方   郵箱   releases   manage   自動設定   一個   wro   圖形介面   webdav   

文：鐵樂貓
2017年1月12日

申請Let‘s Encrypt頒發SSL認證

由 ISRG（Internet Security Research Group，互連網安全研究小組）提供服務， ISRG 來自於美國加利福尼亞州的一個公益組織。Let‘s Encrypt 得到了 Mozilla、Cisco、Akamai、Electronic Frontier Foundation 和 Chrome 等眾多公司和機構的支援，發展十分迅猛。

對於網域名稱所有權的驗證，支援兩種方式：放置臨時檔案進行驗證、查詢 whois 給網域名稱所有人發郵件驗證

需要注意的是它一次只會頒發3個月有效期間的認證，到期之後需要自己再續上 (仍然是免費的)，維護起來比較麻煩，不過可以使用工具去自動續期。 另外它不支援萬用字元泛網域名稱 (*.demo.com)，所以在申請認證的時候，要把網域名稱都 301 跳轉到認證裡包含的網域名稱上，不然瀏覽器會彈認證錯誤。

windows在Let‘s Encrypt擷取認證,也就是IIS的網站擷取SSL認證，一般使用certify這個自動化工具會方便很多。
另外常見的一種就是用工具 letsencrypt-win-simple
下載最新版 letsencrypt-win-simple：
連結不好找：https://github.com/Lone-Coder/letsencrypt-win-simple/releases
最新版是：letsencrypt-win-simple.V1.9.1.zip。在伺服器解壓 letsencrypt-win-simple.V1.9.1 ，解壓後運行lessencrypt.exe。
會彈出一個cmd視窗，第一次運行會讓你先填一個郵箱地址。用於更新失敗時郵件通知你。

輸入email後，還會再問你同意與否，後面列出的一個網址，看pdf（估計就是協議），那必須得填Y阿。

W - 產生一個認證並通過 WebDav 來進行安裝
F - 產生一個認證通過FTP、FTPS安裝。
M - 通過配置手動產生認證
A - 給 IIS 當前已經發布的所有網站各自部署上對應的認證
會自動替你掃描出IIS上的網站，讓你選擇，一般選M手動擷取網站認證。

這樣接下來就是填入host name 網站主機名稱，web root 網站的根目錄。
letsencrypt-win-simple.V1.9.1 會自動產生臨時檔案並放到網站根目錄，然後 Let‘s Encrypt 伺服器會訪問這個檔案, 用於驗證這個網站是否屬於你。

如果驗證不通過，是因為 IIS 需要修改一些配置， 驗證通過後會即時頒發認證，並且會自動把認證添加到伺服器中，然後直接在 IIS 中進行HTTPS部署即可。
除了直接運行letsencrypt程式來互動操作，還可以在CMD上敲命令去單條命令完成，例如：
部署單個網域名稱
輸入以下命令
letsencrypt.exe --accepttos --manualhost 你的網域名稱 --webroot 你的網站實體路徑(wwwroot路徑)

除了用官方內建的命令列工具外，還有一個第三方的更好用的圖形介面下的工具：
一個可以自動續訂Let‘s Encrypt頒發認證的 GUI 軟體，叫做 certify
作用是可以自動設定、建立和自動續訂認證，並且到快要續訂的時候會自動發郵件給你。
首先先去 官網下載 certify ，然後在伺服器上安裝。
官網下載連結：http://certify.webprofusion.com/
注意，certify 要求以管理員權限運行，並且要求伺服器安裝了 PowerShell 4.0。
PowerShell 4.0 預設整合在 Windows Management Framework 4.0 中，而 Windows Management Framework 4.0 又依賴 Microsoft .NET Framework 4.5 。
可以查看下自己的伺服器是否具備這些環境，然後按需更新即可。更新之後安裝 certify 運行。

點擊 New Contact 按鈕，建立一個連絡人，這個連絡人會在認證快要到期的時候收到續訂認證的提醒郵件，輸入email 即可。
（註：第一次啟動程式的時候也會彈出對話方塊讓你填這個新連絡人)

點擊 New Certificate，certify 會自動掃描 IIS 中的網站，選擇你要申請認證的網域名稱。

[](http://images2015.cnblogs.com/blog/965728/201701/965728-20170120142406406-684809033.jpg）
點擊 Request Certificate 擷取認證，certify 會在網站根目錄下產生 .well-known 檔案夾，並且會自動設定 web.config，自動驗證認證。

驗證完成後會彈窗顯示認證已安裝。就可以去看自己已經申請的認證詳細資料了。

且 IIS 中也已經自動給你配置好了認證，這點是省了不少事。

如果發現認證沒有續訂或者沒有生效，點擊一下 Auto Apply 就可以了。
最後記得把網站根目錄下的 .well-known 目錄給刪掉，以保持網站目錄乾淨。

用certify這個工具簡直不能太贊了，圖形化介面比letsencrypt自身的官方指令碼工具直觀，又會在IIS上自動替你綁定443，還帶自動續訂和郵件通知的功能。

【http轉https】其之二：申請Let's Encrypt頒發SSL認證