Certificate SSL gratuite de la Let's Encrypt. Ajutor Instalarea ssl permite criptarea

În articol, vom lua în considerare avantajele și dezavantajele programului gratuit Let's Encrypt, pentru cine este potrivit, cum să îl obțineți și să îl instalați pe un site cu un panou Plesk 12.5

Să criptăm- proiect gratuit, automatizat, cu un CA deschis (autoritate de certificare - autoritate de certificare).

PRINCIPALE AVANTAJE

este gratuit: orice proprietar de site (în special, un nume de domeniu) poate obține și instala un certificat Let's Encrypt TLS de încredere (TLS este succesorul SSL);
automatizare: toate funcțiile de instalare, configurare și actualizare sunt efectuate automat;
Siguranță: toate metodele de criptare Let's Encrypt respectă standardele actuale;
transparenţă: disponibilitatea publică a informațiilor despre eliberarea și revocarea fiecărui certificat pentru oricine;
gratuit: principiul standardului deschis va fi utilizat pentru protocoalele de interacțiune cu CA (autoritatea de certificare).

IMPLEMENTARE SOFTWARE

Autoritatea de Certificare emite certificate care sunt generate pe serverul ACME folosind protocolul Boulder, scrise în limbajul GO (disponibil în codul sursă sub licența MPL2).
Acest server oferă un protocol RESTful care funcționează pe un canal criptat TLS.
Partea client a protocolului ACME, de ex. certbot, scris în Python, este, de asemenea, open source sub licența APACHE. Certbot este instalat pe serverul client pentru a crea o cerere de certificat, a verifica validitatea domeniului și apoi a instala certificatul, urmat de configurarea criptării HTTPS a serverului web.
De asemenea, în funcția certbot este inclusă și reînnoirea certificatului după data de expirare. Instalarea certificatului se face cu o singură comandă după ce licența este acceptată.
Certbot vă permite să instalați un certificat cu opțiuni suplimentare - capsare OCSP și HTTP Strict Transport Security

INSTALARE CERTIFICAT SSL LET "S ENCRYPT (INSTRUCȚIUNI)

Luați în considerare utilizarea unui certificat în legătură cu serverele utilizate pe găzduirea noastră.
Marea majoritate a serverelor noastre utilizează versiunea Plesk 12.5 unde acest modul este deja inclus în kitul de distribuție Plesk 12.5 și instalarea lui este simplă și convenabilă. Doar accesați panoul de deschidere din secțiunea „Site-uri și domenii”, faceți clic pe modulul Let's Encrypt,

Selectați opțiunile dorite și după ce faceți clic pe butonul „Instalare”, instalarea va avea loc în mai puțin de un minut.

Deoarece acest certificat este valabil pentru cel mult 90 de zile, a fost creată o sarcină cron corespunzătoare în panoul de deschidere din secțiunea Instrumente și setări - Programator de activități

Este demn de remarcat faptul că există anumite restricții privind generarea de certificate:

  • certificate duplicat - nu mai mult de 5 pe săptămână;
  • numărul de încercări de a genera un certificat de cel mult 5 ori pe oră.

DESPRE DEZAVANTAJELE LET "S CRYPT

La sfârșitul acestui articol, dorim să observăm că, în ciuda tuturor avantajelor acestui tip de certificat, există dezavantaje care trebuie luate în considerare atunci când alegeți SSL:
  1. Certificatul gratuit Let's Encrypt este pe termen scurt și este conceput pentru o perioadă de cel mult 90 de zile, spre deosebire de cel plătit, care poate fi eliberat până la 3 ani.Puteți, desigur, să reemiteți certificatul la fiecare 3 luni, dar asigurați-vă că respectați termenele limită.Puteți reemite certificatul în trei moduri: manual, prin configurarea programatorului de activități cron sau automat.

    Dacă ați ales metoda de actualizare manuală, apoi respectați termenele limită și reemiteți certificatul la timp. În caz contrar, riscați să obțineți un aflux de utilizatori nemulțumiți de site și o ieșire ulterioară a acestora.

    programator de sarcini cron este o modalitate de a configura actualizări automate. Metoda este bună pentru cei care au abilități de administrare Linux și știu să lucreze cu crons. De asemenea, trebuie avut în vedere că există erori în funcționarea cronului care pot împiedica reemiterea certificatului. Concluzie: mai trebuie să urmați actualizarea.

    Actualizare automata. Această metodă presupune că acceptați setările automate furnizate de autoritatea de certificare. Și aici trebuie să înțelegeți că în acest fel vă dați acordul cu privire la faptul că CA poate face modificări la propria discreție în software-ul și setările serverului dumneavoastră.

  2. Nu toate domeniile pot fi protejate cu Let's Encrypt gratuit. Acest certificat este conceput doar pentru a proteja un domeniu fără verificarea companiei, așa-numitul DV SSL (Domain Validation).

    Deci, folosind Let "s Encrypt, nu puteți crea următoarele tipuri de certificate:

    - Certificat wildcard pentru a proteja subdomeniile unui anumit domeniu;
    - Certificate OV SSL (validare organizație)., care presupun verificarea nu numai a domeniului, ci si a companiei;
    - Certificate EV SSL (validare extinsă). Certificat cu gradul maxim de protecție și bară de adrese verde a browserului;
    - Certificat multi-domeniu tip UCC;


  3. Un punct important - nu există garanții financiare pentru utilizarea Let "sEncrypt. Dacă un certificat gratuit este piratat brusc, atunci compensare bănească nimeni nu vă va da.

CONCLUZIE

În concluzie, putem spune că Centrul de certificare Let's Encrypt este un proiect destul de reușit, a cărui popularitate crește în fiecare an în rândul utilizatorilor rețelei.

Și dacă aveți nevoie de un certificat simplu pentru un singur domeniu, aveți abilitățile de administrare adecvate, iar dacă nu aveți nevoie de SSL cu validare OV-organizație sau de o bară de adrese verde și numele companiei în certificat, atunci acest certificat poate fi folosit.

Cu toate acestea, recomandăm ca marile companii, magazine online, bănci și alte proiecte de comerț electronic să instaleze proiecte comerciale de la Autorități de Certificare cunoscute, precum GlobalSign, Comodo.
Astfel câștigi încrederea utilizatorilor și arăți că ești o companie serioasă, care ține la securitatea datelor clienților.

  • Acțiune:

Recent, preocuparea pentru securitatea și confidențialitatea utilizatorilor câștigă amploare. Când au fost concepute internetul și protocolul HTTP, nu s-au gândit astfel de concepte. Prin urmare, tot traficul transmis între serverul web și utilizator prin protocolul HTTP poate fi vizualizat de oricine care se află în calea acestui trafic, cum ar fi un ISP sau hackeri.

Prin urmare, a fost inventat protocolul HTTPS, care vă permite să criptați traficul și astfel să îl protejați de interceptări. Certificatele SSL sunt folosite pentru criptare. Anterior, aceste certificate costau bani, dar datorită Let's Encrypt, acum orice site web poate instala gratuit un certificat SSL și configura criptarea gratuit.În acest articol, vom vedea cum să obțineți un certificat Let's Encrypt folosind clientul oficial Certbot.

Obținerea unui certificat Let's Encrypt

În general, nu trebuie să folosim Certbot în mod specific, am putea crea un certificat în OpenSSL și apoi pur și simplu să-l semnăm folosind API-ul ACME de la Let's Encrypt. Dar trebuie să facem cereri către acest API în format JSON, ceea ce este foarte incomod pentru faceți din linia de comandă, deci este mai bine să utilizați unul dintre clienți precum Certbot, iar majoritatea clienților ACME includ deja generarea automată a certificatelor în OpenSSL.

1. Sintaxa și comenzile Certbot

Înainte să ne apucăm de treabă, să ne uităm la sintaxa utilitarului Certbot și a comenzilor acestuia. Par destul de simple:

Certbot opțiunea comandă -d domeniu

Comenzile sunt folosite pentru a spune utilitarului ce trebuie să facă. Iată pe cele principale:

  • alerga- utilizat implicit dacă nu este specificată nicio comandă, obține și instalează certificatul;
  • sigur- doar primește sau reînnoiește certificatul, dar nu îl instalează;
  • nou- reînnoiește certificatul;
  • spori- adaugă setări de securitate pentru certificatele existente;
  • certificate- afiseaza certificatele instalate;
  • revoca- revocă certificatul;
  • șterge- sterge certificatul;
  • Inregistreaza-te- creează un cont ACME;

După cum puteți vedea, nu există atât de multe comenzi, iar acum cu siguranță nu vă veți încurca în ele, iar acum să analizăm principalele opțiuni:

  • -d- indică un domeniu sau o listă de domenii separate prin virgulă pentru care trebuie obținute certificate;
  • --apache- utilizați pluginul apache pentru a instala certificatul;
  • --nginx- utilizați pluginul nginx;
  • --de sine stătătoare- rulați propriul dvs. server web pentru autentificare la obținerea unui certificat;
  • --provocări-preferate- vă permite să selectați metoda de autentificare, implicit http, dar puteți selecta dns;
  • --Server- vă permite să specificați adresa serverului ACME, este necesar pentru certificatele WildCard, deoarece acestea sunt acceptate doar de a doua versiune a ACME;
  • --webroot- plasați fișierele de autentificare în folderul serverului web;
  • -w- specifică folderul serverului web în care ar trebui să fie plasate fișierele de autentificare;
  • --manual- crearea unui certificat în mod manual;
  • -n- rulați utilitarul în modul non-interactiv;
  • --funcție uscată- test de rulare fără a salva modificările pe disc.

Acum suntem gata să trecem la lucrul cu utilitarul. Să-l instalăm mai întâi.

2. Instalați Certbot

Mai întâi trebuie să instalați utilitarul Certbot. Acest client oficial, și se află în depozitele majorității distribuțiilor. Instalarea Certbot pe Ubuntu se face din PPA:

sudo apt install software-properties-common
sudo add-apt-repository ppa:certbot/certbot
actualizare sudo apt
sudo apt install certbot

Dacă știți pentru ce platformă vor fi generate certificate, atunci puteți instala extensii separate pentru acestea, acestea vă permit să editați automat configurația. De exemplu, puteți instala un modul pentru apache sau nginx:

sudo apt install python-certbot-apache
sudo apt install python-certbot-nginx

Aceste pluginuri sunt necesare dacă intenționați să utilizați opțiunile corespunzătoare pentru instalarea automată.

3. Creați un certificat fără instalare

Dacă aveți nevoie de un certificat pentru un server web care nu este acceptat de program, va trebui să îl instalați manual. Puteți obține un astfel de certificat folosind comanda certonly:

sudo certbot certonly --webroot -w /var/www/test...test.site

Această comandă obține certificatul pentru domeniile test.site și www.test.site. Fișierele de confirmare a autentificării vor fi plasate în directorul /var/www/example/. De asemenea, puteți utiliza serverul web încorporat pentru autentificare:

sudo certbot certonly --standalone -d test..test.site

În timpul generării certificatului, utilitarul vă va cere adresa de e-mail pentru contul ACME, care va primi notificări despre necesitatea reînnoirii și alte informații:

Apoi vi se va solicita să confirmați că ați citit termenii de utilizare ai serviciului, răspundeți A:

Abia atunci va începe procesul de certificare. Dacă totul a mers bine, atunci certificatul tău va fi salvat în /etc/letsencrypt/live/domain_name/, de acolo le poți folosi deja în aplicațiile tale. Dacă există erori, utilitarul le va raporta.

4. Creați un certificat pentru Nginx

Nu trebuie să instalați manual certificatele, puteți utiliza unul dintre pluginurile disponibile pentru a actualiza automat configurația. De exemplu, luați în considerare utilizarea unui plugin pentru Nginx:

sudo certbot run --nginx

Nu este nevoie să setați parametri suplimentari, deoarece utilitarul va citi configurația în sine și va afișa o listă de domenii disponibile:

Introduceți numărul domeniului dorit sau mai multe numere separate prin virgulă. Utilitarul va instala tot ceea ce este necesar, apoi vă va întreba dacă trebuie să redirecționați traficul http către https:

Apoi utilitarul va afișa aceleași informații ca în versiunea anterioară:

5. Reînnoirea certificatului Let's Encrypt

Pentru a actualiza certificatul Let's Encrypt, trebuie doar să rulați comanda certbot cu optiune sigur. Având în vedere că certificatul se află în folderul certbot, iar configurația serverului web este setată la acest folder, această operațiune este suficientă. Dacă certificatele sunt copiate într-un alt folder, atunci veți avea nevoie de un script pentru a le copia automat după actualizare.

sudo certbot certonly -d test..test.site

Dacă certificatul nu a expirat încă și nu este necesară reînnoirea, utilitatea vă va întreba dacă chiar trebuie făcut.

Dacă doriți să actualizați certificatul în modul non-interactiv, de exemplu folosind un script, atunci trebuie să utilizați opțiunea -n, tot atunci când utilizați această opțiune, trebuie să treceți pluginul care va fi folosit pentru autentificare:

sudo certbot certonly --nginx -n -d test..test.site

Acum puteți adăuga această comandă la programatorul cron, de exemplu o dată pe săptămână:

0 0 * * 0 /usr/bin/certbot certonly --nginx -n -d test..test.site

Dacă doriți să actualizați certificatele pentru toate domeniile cu o singură comandă în modul non-interactiv, rulați comanda:

sudo certbot renew

6. Obținerea unui certificat Let's Encrypt Wildcard

Certificatele Let's Encrypt Wildcard au apărut relativ recent. Vă permit să utilizați un singur certificat pentru toate subdomeniile unui anumit domeniu, de exemplu * .test.site. Dar funcționează și mai greu - va trebui să confirmați că acest domeniu aparține Pentru a face acest lucru, trebuie să adăugați o înregistrare TXT în zona de domeniu.

Puteți fie să o faceți manual, fie să utilizați pluginul dns al Certbot pentru a-l adăuga automat. Adevărat, pluginul este acceptat doar pentru servicii populare, cum ar fi DigitalOcean, Linode, Cloudflare și așa mai departe. În acest articol, vom lua în considerare versiunea manuală. Comanda de generare a certificatului va arăta astfel:

sudo certbot certonly --agree-tos -d test..test..api.letsencrypt.org/directory

Va trebui să permiteți publicarea adresei dvs. IP și apoi să adăugați o înregistrare TXT cu numele și valoarea dorite în zona de domeniu. In cazul meu este _acme-challenge.test.site cu un hash special:

Ilya

Dmitri, bună seara! Spune-mi te rog. Doar câteva zile încercând să rezolvăm problema cu certificatul Lets Encrypt. Pe hosting.energy hosting, la crearea site-ului dommeb.com.ua, am conectat gratuit Lets encrypt din panoul ISP. Totul a fost bine pentru câteva zile, a trecut testele SSL ssllabs.com/ssltest/analyze.html pe A+. Am încercat să descarc de pe mobil pe Android 2.3.6 dintr-un browser standard și Maxton - au apărut doar avertismente despre nefiabilitatea certificatului, apoi puteți face clic pe Continuare și site-ul era disponibil.

Acum o săptămână, am observat că la încărcarea de pe un telefon mobil și testarea redirecționărilor (am setat redirecționări de pe http-https în setările domeniului de pe găzduire), se adaugă la url: 443 (nume port SSL). Și site-ul nu este disponibil la încărcare (înscriere eroare).

Am scris gazduirii, problema a fost rezolvata in cateva zile. Ei au scris „Configurații Nginx remediate cu privire la redirecționări, o eroare sa strecurat în configurații (probabil din cauza panoului de control) și au existat 2 redirecționări.”

:443 nu a mai fost adăugat de pe mobil și la testarea redirecționărilor.
Dar site-ul tot nu s-a încărcat, ca în cazul acestor redirecționări duble: 443 (eroare pe site-ul Android 2.3.6 nu este disponibil la încărcare).

M-am uitat la testul ssl, tot un rezultat A +, dar a apărut o eroare la subparagraful Handshake Simulation No SNI 2Android 2.3.7 No SNI 2 Server a trimis fatal alert: handshake_failure

Caut pe Google pentru această eroare:
Aici talk.plesk.com/threads/https-websites-not-loading-in-ie.338346/ scrieți despre această eroare și despre soluție.Am transmis toate informațiile celor de asistență pentru găzduire.

Am corespondat cu găzduirea timp de câteva zile, ei spun că nu au schimbat nimic în configurația setărilor de găzduire, folosesc pluginul standard de certificat Lets Encrypt. Și nu garantează LetsEncryt SSL va funcționa pe platformele vechi. Au oferit un IP dedicat pentru 1,5 USD pe lună.
Deși în urmă cu câteva zile totul a funcționat și nu au existat modificări pe ambele site-uri (am șters toate datele din browsere). Și site-ul de găzduire în sine (tot pe acest certificat, în mod normal și acum se încarcă de pe un telefon mobil și chiar și fără avertisment)

Site-uri pe găzduire partajată, fără IP dedicat. Un site realizat pe Opencart cu certificat Lets encrypt, totul a fost în ordine. Al doilea test pe WordPress - totul a fost bine și cu Android 2.3.6. Aveam de gând să trec de la http la https pe al treilea site (WordPress) și deja primele două nu se încarcă normal pe Android 2.3.6...
Aș dori ca toți utilizatorii să poată accesa site-ul în mod normal (în ultima solutie pe platforme mai vechi, cum ar fi Android 2.3.6, astfel încât să existe doar un avertisment care poate fi omis)
Poti te rog sa-mi spui care ar putea fi motivul?

Am decis să mă uit la certificate plătite, ca acesta bun de la Comodo namecheap.com/security/ssl-certificates/comodo/positivessl.aspx ,
dar am citit in articolul tau ca pe platforma Android certificatul Comodo era invalid. Puțin confuz cu asta

A avea SSL nu mai este un capriciu companii mari, A cerinta obligatorie pentru toți. Fără SSL, site-urile pierd poziții în rezultatele căutării, vizitatori și bani. Let's Encrypt din panoul ISPmanager vă permite să emiteți SSL gratuit - atât obișnuit, cât și Wildcard. Solicitarea si instalarea este automata si nu necesita cunostinte tehnice.

De ce aveți nevoie de un certificat SSL

Când vizitați un site web, vă conectați la serverul care îl găzduiește. Dacă conexiunea nu este sigură, hackerii pot fura date de conectare, parole și numere carduri bancare. Este necesar un certificat SSL pentru a securiza conexiunea. Cu el, datele pe care le introduceți sunt criptate. Chiar dacă hackerii le interceptează, nu le vor putea decripta.

Din 2017, crawlerele Google semnalează site-urile fără SSL ca fiind nesigure și își reduc pozițiile în rezultatele căutării. Google Chromeși Mozilla Firefox marchează site-urile HTTP ca nedemn de încredere. Acesta este modul în care browserele avertizează utilizatorii că escrocii pot fura date personale și bani.

Mutați-vă site-ul la HTTPS pentru a vă îmbunătăți poziția în motoare de căutareși inspiră încrederea vizitatorilor. Cu modulul Let’s Encrypt, nu sunt necesare nici bani, nici abilități tehnice pentru aceasta.

Pentru cine este Let's Encrypt?

Let's Encrypt lansează certificate SSL de nivel de intrare cu validare de domeniu (DV). Prin urmare, Let's Encrypt este excelent pentru proiectele online mici unde nu este necesară o garanție strictă de securitate: bloguri, site-uri de hobby, site-uri de cărți de vizită. Un lacăt verde în linia browserului este suficient dacă vizitatorii nu introduc date de conectare și parole și nu fac achiziții.

Certificatul DV confirmă doar că domeniul îți aparține cu adevărat. Vizitatorii site-ului nu vor primi avertismente de browser despre vizitarea unui site neverificat. Escrocii nu vor intercepta informațiile despre utilizator, deoarece certificatul oferă o conexiune HTTPS sigură.

Important! Nu recomandăm utilizarea unui certificat DV pe site-urile magazinelor online și portalurilor corporative unde mai mult de nivel inaltîncrederea utilizatorului. Atunci când emite SSL cu validare de domeniu, CA nu verifică legitimitatea afacerii. Prin urmare, un astfel de certificat nu garantează vizitatorilor că proprietarul domeniului poate fi de încredere cu date de conectare, parole și numere de card bancar.

Cum se instalează Let's Encrypt

Pasul 1.

Pentru a instala Let's Encrypt, ISPmanager trebuie să aibă cel puțin versiunea 5.65.

  • Deschideți ISPmanager,
  • De sub contul root, accesați secțiunea Integrare → Module;
  • Instalați modulul Let's Encrypt.

Acum puteți obține un certificat SSL valid cu auto-reînnoire pentru domeniul dvs. Pentru a face acest lucru, aveți nevoie de un utilizator cu drept de utilizare SSL și un nume de domeniu valid.

Pasul 2

După instalare în secțiune Setări server web → Certificate SSL presa Butonul Să criptăm pentru a obține un certificat. Aflați mai multe despre crearea unui certificat în .

Certificatul este generat cu succes dacă absolut toate domeniile și aliasurile specificate (alias-urile) sunt deschise de pe server. Dacă nici măcar unul dintre ele nu se deschide, nu se va putea elibera un certificat.

Despre proiectul Let's Encrypt

Let's Encrypt este o autoritate de certificare de încredere necomercială. Diferă de altele prin faptul că emite certificate SSL gratuit. Procesul de lansare este complet automatizat.

Proiectul a fost creat în 2014, astfel încât majoritatea site-urilor de internet să poată trece la o conexiune securizată prin HTTPS. Printre principalii săi sponsori se numără companiile de tehnologie de top din lume: Mozilla, Google Chrome, Cisco, Facebook. Partenerii Let's Encrypt sunt IdenTrust Certification Authority, Universitatea din Michigan, Stanford Law School, Linux Foundation.

Principiile de bază ale Let's Encrypt:

  • Gratuitate. Proprietarul oricărui domeniu poate obține SSL de încredere gratuit;
  • Automatizare. Let's Encrypt solicită, configurează și reînnoiește automat certificate;
  • Siguranță. Let's Encrypt promovează cele mai bune practici de securitate atât pe partea CA, cât și pe site-ul web.

Vă rugăm să rețineți că Let's Encrypt are următoarele limitări:

  1. Puteți comanda doar 5 certificate pe săptămână pentru domeniul I de nivel și subdomeniile acestuia.
  2. Certificatul Let's Encrypt este valabil 3 luni. La fiecare 3 luni ISPmanager reemite automat certificatele.
  3. Let's Encrypt nu oferă garanții sau compensații în cazul unei încălcări a datelor, deoarece este o organizație non-profit.

Lista completă a restricțiilor

În această recenzie, vom vorbi despre caracteristicile instalării și legării unui certificat TLS / SSL gratuit de la Let's Encrypt pentru un site pe un server web IIS care rulează pe Windows Server 2019/2016/2012 R2.

Let's Encrypt și clienții ACME pentru Windows

Prezența unui certificat TLS/SSL pe site vă permite să protejați datele utilizatorului transmise prin rețea de atacurile man-in-the-middle și să garantați integritatea datelor transmise. centru nonprofit certificare LăsaluiCriptează vă permite să emiteți automat certificate criptografice X.509 TLS gratuite pentru criptare (HTTPS) prin API. Se eliberează doar certificate pentru validarea domeniului, cu o perioadă de valabilitate de 90 de zile (există o limită - 50 de certificate pentru un domeniu pe săptămână). Dar puteți reemite automat un certificat SSL pentru site-ul dvs. într-un anumit program.

Este apelat API-ul pentru emiterea automată a certificatelor automatizateCertificatmanagementMediu inconjurator (CULME) API. Pentru sisteme WindowsÎn prezent, există 3 cele mai populare implementări ale clientului API ACME:

  • Utilitate WindowsCULMESimplu(WACS) - un utilitar de linie de comandă pentru emiterea interactivă a unui certificat și legarea acestuia la un anumit site de pe serverul dvs. web IIS;
  • Modul PowershellACMESharp- Bibliotecă Powershell cu multe comenzi pentru interacțiunea cu serverele Let's Encrypt prin API-ul ACME;
  • Certifica este un manager grafic de certificate SSL pentru Windows care vă permite să gestionați în mod interactiv certificatele prin API-ul ACME.

Client WACS pentru a instala certificatul Let's Encrypt TLS în IIS pe Windows Server

Cel mai simplu mod de a obține un certificat SSL de la Let's Encrypt este să utilizați utilitarul consolă Windows ACME simplu (WACS) (anterior proiectul era numit LetsEncrypt-Victorie-Simplu) . Este un asistent simplu care vă permite să selectați unul dintre site-urile care rulează pe IIS și să emiteți și să legați automat un certificat SSL la acesta.

Deci, să presupunem că avem un site web pe IIS implementat sub Windows Server 2016. Sarcina noastră este să-l comutăm în modul HTTPS instalând un certificat SSL de la Let's Encrypt.

Descărcați cea mai recentă versiune client WACS de pe pagina GitHub a proiectului https://github.com/PKISharp/win-acme/releases (în cazul meu este v2.0.10 - fișierul win-acme.v2.0.10.444.zip).

Dezarhivați arhiva într-un director de pe server cu IIS: c:\inetpub\letsencrypt

Deschideți un prompt de comandă cu drepturi de administrator, accesați directorul c:\inetpub\ letsencrypt și rulați wacs.executabil.

Aceasta va lansa un expert interactiv pentru a genera un certificat Let's Encrypt și a-l lega la un site IIS. Pentru a crea rapid certificat nou Selectați N: - Creați certificate noi (simplu pentru IIS).

Apoi trebuie să selectați tipul de certificat. În exemplul nostru, nu este nevoie să folosiți un certificat cu alias-uri (mai multe SAN - Subject Alternative Name), așa că doar selectați elementul 1. Legarea unică a unui site IIS. Dacă aveți nevoie de un certificat Wildcard, selectați opțiunea 3.

Specificați e-mailul către care vor fi trimise notificări despre problemele legate de actualizarea certificatului site-ului și altele despre suspendare (puteți specifica mai multe e-mailuri separate prin virgule). Rămâne să fiți de acord cu termenii de utilizare și Windows ACME Simple se va conecta la serverele Let's Encrypt și va încerca să genereze automat un nou certificat SSL pentru site-ul dvs.

Procesul de generare și instalare a unui certificat Let's Encrypt SSL pentru IIS este complet automatizat.

În mod implicit, validarea domeniului se realizează în mod Validare http-01 (SelfHosting). Pentru a face acest lucru, trebuie să aveți o intrare în DNS-ul domeniului care indică către serverul dvs. web. Când rulați WACS în modul manual, puteți selecta validarea tipului − 4 [ http-01] CreațitemporaraplicareaînIIS(recomandat). În acest caz, pe serverul web IIS va fi creată o mică aplicație prin care serverele Let's Encrypt pot efectua validarea.

Notă. Când efectuați verificarea TLS/HTTP, site-ul dvs. trebuie să fie accesibil din exterior prin numele său DNS complet calificat, utilizând protocoalele HTTP (80/TCP) și HTTPS (443/TCP).

Utilitarul WACS salvează cheie privată certificat (*.pem), certificatul în sine și o serie de alte fișiere în director C:\Users\%username%\AppData\Roaming\letsencrypt-win-simple. Apoi va instala certificatul SSL Let's Encrypt generat în fundal și îl va lega de site-ul dvs. IIS. Dacă site-ul are deja instalat un certificat SSL (de exemplu, ), acesta va fi înlocuit cu unul nou.

În IIS Manager, deschideți meniul Legarea site-ului pentru site-ul dvs. și asigurați-vă că folosește un certificat emis de Să criptăm Autoritatea X3.

În depozitul de certificate al computerului, puteți găsi certificatul Let's Encrypt pentru IIS sub Web Hosting -> Certificates.

Windows ACME Simple creează o nouă regulă în Windows Task Scheduler ( win-acme-renew (acme-v02.api.letsencrypt.org)) pentru reînnoirea automată a certificatului. Lucrarea rulează în fiecare zi, iar certificatul este reînnoit la fiecare 60 de zile. Planificatorul rulează comanda:

C:\inetpub\letsencrypt\wacs.exe --renew --baseuri "https://acme-v02.api.letsencrypt.org"

Puteți utiliza aceeași comandă pentru a actualiza manual certificatul.

Redirecționarea traficului site-ului IIS de la HTTP la adresa HTTPS

Pentru a redirecționa tot traficul HTTP de intrare către un site HTTPS, trebuie să instalați modulul MicrosoftURLRescriemodul(https://www.iis.net/downloads/microsoft/url-rewrite) și asigurați-vă că opțiunea nu este activată în setările site-ului utilizare obligatorie SSL (necesită SSL). Rămâne să configurați redirecționarea în fișierul web.config:













De asemenea, puteți configura redirecționarea traficului prin rescrierea URL prin GUI Manager IIS. Selectați Sites -> yoursitename -> Rescrie URL.

Creați o nouă regulă Adăugați regulă -> Regulă necompletată.

Specificați numele regulii și modificați valorile parametrilor:

  • Adresa URL solicitată -> Se potrivește cu modelul
  • Folosind -> Expresii regulate
  • Model -> (.*)

În blocul Condiții, modificați Gruparea logică -> Potriviți toate și faceți clic pe Adăugare. Specifica

  • Intrare condiție -> (HTTPS)
  • Verificați dacă șirul de intrare -> Se potrivește cu modelul
  • Model -> ^OFF$

Acum, în blocul de acțiuni, selectați:

  • Tip de acțiune -> Redirecționare
  • Adresa URL de redirecționare -> https://(HTTP_HOST)/(R:1)
  • Tip de redirecționare -> Permanent (301)

Deschideți browserul și încercați să vă deschideți site-ul la adresa HTTP, ar trebui să fiți redirecționat automat la adresa URL HTTPS.

Utilizarea unui certificat Let's Encrypt pentru serviciile desktop la distanță

Dacă utilizați un Remote Desktop Gateway/RD Web Access pentru a conecta utilizatori externi la rețeaua dvs. corporativă, puteți utiliza un certificat SSL normal Let's Encrypt în loc de un certificat obișnuit autosemnat. Să aruncăm o privire la cum să instalați corect un certificat Let's Encrypt pentru Serviciile Desktop la distanță pe Windows Server.

Dacă rolul RDSH este ridicat și pe serverul Remote Desktop Gateway, trebuie să împiedicați utilizatorii Read să acceseze directorul în care stocați WACS (în exemplul meu, acesta este c:\inetpub\letsencrypt) și directorul de certificat Let's Encrypt (C). :\ProgramData \win-acme).

Apoi, pe serverul RDP GW, rulați wacs.exe așa cum este descris mai sus și selectați site-ul IIS dorit (de obicei, site-ul web implicit). Let's Encrypt vă emite un nou certificat, care este instalat pentru site-ul web, iar în programator apare o sarcină pentru a reînnoi automat certificatul.

Puteți exporta manual acest certificat și îl puteți lega serviciile potrivite Legare RDS peste SSL. Dar va trebui să faceți acești pași manual la fiecare 60 de zile când reemiteți certificatul Let's Encrypt.

Avem nevoie de un script care, imediat după primirea (reînnoirea) certificatului Let's Encrypt, să-l aplice pe RD Gateway.

Proiectul win-acme are un script PowerShell gata făcut ImportRDGateway.ps1 ( https://github.com/PKISharp/win-acme/tree/master/dist/Scripts) , care vă permite să instalați certificatul SSL selectat pentru Serviciile Desktop la distanță. Principalul dezavantaj al scriptului este că trebuie să specificați manual amprenta noului certificat:
ImportRDGateway.ps1

Pentru a obține automat amprenta certificatului de pe site-ul IIS specificat, utilizați scriptul modificat (bazat pe standardul ImportRDGateway.ps1).

Instrucțiunea și scriptul PowerShell modificat au fost trimise de cititorul nostru Anton, pentru care îi transmitem razele de recunoștință!

Puteți rula acest script manual:

powershell -Fișier ImportRDGateway_Cert_From_IIS.ps1

Dacă gateway-ul RDS locuiește pe un site standard IIS „Site Web implicit” cu index 0, puteți utiliza scriptul fără modificări.

Pentru a obține ID-ul site-ului în IIS, deschideți o consolă PowerShell și rulați:

Import-Module WebAdministration
Get-ChildItem IIS: Sites

Obțineți o listă ca:

Coloana ID conține indexul site-ului dvs., scădeți unul din acesta. Indexul rezultat al site-ului dvs. trebuie specificat în loc de 0 în a 27-a linie a scriptului PowerShell:

$NewCertThumbprint = (Get-ChildItem IIS:SSLBindings).Thumbprint

Acum deschideți jobul de planificare win-acme-renew (acme-v02.api.letsencrypt.org) și, în fila Acțiune, adăugați un job nou care rulează scriptul ImportRDGateway_Cert_From_IIS.ps1 după reînnoirea certificatului.

Pentru a nu modifica permisiunile de a executa scripturi PowerShell, puteți apela scriptul cu comanda:

PowerShell.exe -ExecutionPolicy Bypass -Fișier c:\inetpub\letsencrypt\ImportRDGateway_Cert_From_IIS.ps1

Acum, scriptul pentru legarea unui certificat SSL la serviciile RDS va fi executat imediat după reînnoirea certificatului Let's Encrypt. În același timp, serviciul RD Gateway este repornit automat cu comanda:

Când serviciul TSGateway este repornit, toate sesiunile curente ale utilizatorului sunt încheiate, deci este de dorit să se schimbe frecvența de pornire a jobului de actualizare a certificatului la o dată la 60 de zile.

Rețineți că Let's Encrypt certificatele în în prezent sunt utilizate pe scară largă pe site-urile multor companii mari și sunt de încredere de către toate browserele. Sper că soarta autorității de certificare gratuite Let's Encrypt să nu sufere soarta WoSign și StartCom.


© 2022 egoist24.ru Sisteme de plată. Credit ipotecar. Băncile. Bani Yandex. webmoney. Informatii generale.