Bezplatné SSL certifikáty od Let's Encrypt. Pomocník Inštalácia ssl umožňuje šifrovanie

V článku zvážime výhody a nevýhody bezplatného Let's Encrypt, pre koho je vhodný, ako ho získať a nainštalovať na stránku s panelom Plesk 12.5

Poďme šifrovať- bezplatný, automatizovaný projekt, s otvorenou CA (certifikačná autorita - certifikačná autorita).

HLAVNÉ VÝHODY

je zadarmo: každý vlastník stránky (najmä názov domény) môže získať a nainštalovať dôveryhodný certifikát Let's Encrypt TLS (TLS je nástupcom SSL);
automatizácia: všetky funkcie inštalácie, konfigurácie a aktualizácie sa vykonávajú automaticky;
bezpečnosť: všetky metódy šifrovania Let's Encrypt spĺňajú súčasné štandardy;
transparentnosť: verejná dostupnosť informácií o vydaní a zrušení každého certifikátu pre kohokoľvek;
zadarmo: pre protokoly interakcie s CA (certifikačná autorita) bude použitý princíp otvoreného štandardu.

IMPLEMENTÁCIA SOFTVÉRU

Certifikačná autorita vydáva certifikáty, ktoré sú generované na serveri ACME pomocou protokolu Boulder, napísaného v jazyku GO (dostupné v zdrojovom kóde pod licenciou MPL2).
Tento server poskytuje RESTful protokol, ktorý funguje cez TLS šifrovaný kanál.
Klientska časť protokolu ACME, t.j. certbot, napísaný v Pythone, je tiež open source pod licenciou APACHE. Certbot je nainštalovaný na klientskom serveri, aby vytvoril žiadosť o certifikát, skontroloval platnosť domény a potom nainštaloval certifikát, po ktorom nasleduje nastavenie HTTPS šifrovania webového servera.
Súčasťou funkcie certbot je aj obnovenie certifikátu po dátume vypršania platnosti. Inštalácia certifikátu sa vykoná jedným príkazom po prijatí licencie.
Certbot vám umožňuje nainštalovať certifikát s ďalšími možnosťami - OCSP zošívanie a HTTP Strict Transport Security

INŠTALÁCIA LET "S ŠIFROVAŤ CERTIFIKÁT SSL (POKYNY)

Zvážte použitie certifikátu vo vzťahu k serverom používaným na našom hostingu.
Prevažná väčšina našich serverov používa verziu Plesk 12.5, kde je tento modul už súčasťou distribučnej sady Plesk 12.5 a jeho inštalácia je jednoduchá a pohodlná. Stačí prejsť na úvodný panel v časti „ Stránky a domény “, kliknúť na modul Let's Encrypt,

Vyberte požadované možnosti a po kliknutí na tlačidlo „Inštalovať“ prebehne inštalácia za menej ako minútu.

Keďže tento certifikát je platný maximálne 90 dní, v úvodnom paneli v časti Nástroje a nastavenia - Plánovač úloh bola vytvorená zodpovedajúca úloha cron

Stojí za zmienku, že existujú určité obmedzenia na generovanie certifikátov:

  • duplikáty certifikátov - nie viac ako 5 týždenne;
  • počet pokusov o vygenerovanie certifikátu nie viac ako 5-krát za hodinu.

O NEVÝHODÁCH LET "S ENCRYPT

Na záver tohto článku chceme poznamenať, že napriek všetkým výhodám tohto typu certifikátu existujú nevýhody, ktoré je potrebné zvážiť pri výbere SSL:
  1. Bezplatný certifikát Let's Encrypt je krátkodobý a je určený na dobu maximálne 90 dní, na rozdiel od spoplatneného, ​​ktorý je možné vydať až na 3 roky. ale nezabudnite dodržať termíny Certifikát môžete znova vydať tromi spôsobmi: manuálne, konfiguráciou plánovača úloh cron alebo automaticky.

    Ak ste zvolili metódu manuálnej aktualizácie, potom dodržujte termíny a znovu vystavte certifikát včas. V opačnom prípade vám hrozí prílev nespokojných používateľov stránok a ich následný odliv.

    plánovač úloh cron je spôsob, ako nastaviť automatické aktualizácie. Metóda je dobrá pre tých, ktorí majú zručnosti správy Linuxu a vedia pracovať s cronmi. Treba mať na pamäti aj to, že pri fungovaní cronu sa vyskytujú chyby, ktoré môžu brániť opätovnému vydaniu certifikátu. Záver: stále musíte sledovať aktualizáciu.

    Automatická aktualizácia. Táto metóda predpokladá, že akceptujete automatické nastavenia poskytnuté certifikačnou autoritou. A tu musíte pochopiť, že týmto spôsobom dávate súhlas s tým, že CA môže vykonávať zmeny v softvéri a nastaveniach vášho servera podľa vlastného uváženia.

  2. Nie všetky domény je možné chrániť pomocou bezplatného Let's Encrypt Tento certifikát je určený len na ochranu jednej domény bez firemného overenia, takzvaným DV SSL (Domain Validation).

    Takže pomocou Let "s Encrypt nemôžete vytvárať nasledujúce typy certifikátov:

    - Zástupný certifikát chrániť subdomény špecifickej domény;
    - OV SSL (overenie organizácie) certifikáty, ktoré zahŕňajú kontrolu nielen domény, ale aj spoločnosti;
    - EV SSL certifikáty (rozšírená validácia). Certifikát s maximálnym stupňom ochrany a zeleným adresným riadkom prehliadača;
    - Certifikát pre viacero domén typ UCC;


  3. Dôležitý bod - neexistujú žiadne finančné záruky za používanie Let "sEncrypt. Ak je bezplatný certifikát náhle napadnutý, potom peňažnú náhradu nikto ti nedá.

ZÁVER

Stručne povedané, môžeme povedať, že certifikačné centrum Let's Encrypt je pomerne úspešný projekt, ktorého popularita medzi používateľmi siete každým rokom rastie.

A ak potrebujete jednoduchý certifikát pre jednu doménu, máte príslušné administratívne schopnosti a tiež, ak nepotrebujete SSL s overením spoločnosti (OV-overenie organizácie) alebo prítomnosť zeleného adresného riadku a názvu spoločnosti v certifikát, potom je možné tento certifikát použiť.

Odporúčame však veľkým spoločnostiam, internetovým obchodom, bankám a iným e-commerce projektom nainštalovať komerčné od známych certifikačných autorít, akými sú GlobalSign, Comodo.
Získate si tak dôveru používateľov a ukážete, že ste seriózna spoločnosť, ktorej záleží na bezpečnosti zákazníckych dát.

  • Zdieľam:

V poslednom čase naberá na obrátkach záujem o bezpečnosť a súkromie používateľov. Keď sa navrhoval internet a protokol HTTP, na takéto koncepty sa nemyslelo. Všetku komunikáciu prenášanú medzi webovým serverom a používateľom prostredníctvom protokolu HTTP si preto môže pozrieť ktokoľvek, kto je v ceste tejto návštevnosti, napríklad ISP alebo hackeri.

Preto bol vynájdený protokol HTTPS, ktorý umožňuje šifrovať prevádzku a chrániť ju tak pred odpočúvaním. Na šifrovanie sa používajú SSL certifikáty. Predtým tieto certifikáty stáli peniaze, no vďaka Let's Encrypt si teraz môže každý web nainštalovať SSL certifikát a nastaviť šifrovanie zadarmo.V tomto článku sa pozrieme na to, ako získať certifikát Let's Encrypt pomocou oficiálneho klienta Certbot.

Získanie certifikátu Let's Encrypt

Vo všeobecnosti nemusíme používať Certbot konkrétne, môžeme vytvoriť certifikát v OpenSSL a potom ho jednoducho podpísať pomocou Let's Encrypt's ACME API. Potrebujeme však zadávať požiadavky na toto API vo formáte JSON, čo je veľmi nepohodlné urobiť z príkazového riadku , takže je lepšie použiť jedného z klientov ako Certbot a väčšina klientov ACME už obsahuje automatické generovanie certifikátov v OpenSSL.

1. Syntax a príkazy Certbot

Než sa pustíme do práce, pozrime sa na syntax utility Certbot a jej príkazy. Vyzerajú celkom jednoducho:

certbot možnosť príkaz -d doména

Príkazy sa používajú na to, aby povedali obslužnému programu, čo má robiť. Tu sú tie hlavné:

  • bežať- používa sa štandardne, ak nie je zadaný žiadny príkaz, získa a nainštaluje certifikát;
  • určite- certifikát iba prijme alebo obnoví, ale nenainštaluje ho;
  • Nový- obnovuje certifikát;
  • zlepšiť- pridáva bezpečnostné nastavenia pre existujúce certifikáty;
  • certifikáty- zobrazuje nainštalované certifikáty;
  • odvolať- zruší certifikát;
  • vymazať- vymaže certifikát;
  • Registrovať- vytvorí účet ACME;

Ako vidíte, nie je toľko príkazov a teraz sa v nich určite nebudete zmiasť a teraz analyzujme hlavné možnosti:

  • -d- označuje doménu alebo čiarkami oddelený zoznam domén, pre ktoré je potrebné získať certifikáty;
  • --apache- na inštaláciu certifikátu použite doplnok apache;
  • --nginx- použite doplnok nginx;
  • --samostatne- spustiť vlastný webový server na autentifikáciu pri získavaní certifikátu;
  • --preferované-výzvy- umožňuje vybrať metódu autentifikácie, predvolene http, ale môžete vybrať dns;
  • --server- umožňuje zadať adresu servera ACME, je to potrebné pre certifikáty WildCard, pretože sú podporované iba druhou verziou ACME;
  • --webroot- umiestniť autentifikačné súbory do priečinka webového servera;
  • -w- určuje priečinok webového servera, kde sa majú umiestniť autentifikačné súbory;
  • --Manuálny- vytvorenie certifikátu v manuálnom režime;
  • -n- spustiť obslužný program v neinteraktívnom režime;
  • --suchý chod- skúšobná prevádzka bez uloženia zmien na disk.

Teraz sme pripravení prejsť na prácu s nástrojom. Najprv ho nainštalujeme.

2. Nainštalujte Certbot

Najprv musíte nainštalovať pomôcku Certbot. Toto oficiálny klient a je v úložiskách väčšiny distribúcií. Inštalácia Certbotu na Ubuntu sa vykonáva z PPA:

sudo apt install software-properties-common
sudo add-apt-repository ppa:certbot/certbot
aktualizácia sudo apt
sudo apt nainštalovať certbot

Ak viete, pre ktorú platformu sa budú generovať certifikáty, tak si pre ne môžete nainštalovať samostatné rozšírenia, umožňujú vám automatickú úpravu konfigurácie. Môžete napríklad nainštalovať modul pre Apache alebo nginx:

sudo apt nainštalovať python-certbot-apache
sudo apt nainštalovať python-certbot-nginx

Tieto doplnky sú potrebné, ak sa chystáte použiť zodpovedajúce možnosti automatickej inštalácie.

3. Vytvorte certifikát bez inštalácie

Ak potrebujete certifikát pre webový server, ktorý program nepodporuje, budete ho musieť nainštalovať manuálne. Takýto certifikát môžete získať pomocou príkazu certonly:

sudo certbot certonly --webroot -w /var/www/test...test.site

Tento príkaz získa certifikát pre domény test.site a www.test.site. Súbory na potvrdenie autentifikácie budú umiestnené v adresári /var/www/example/. Na autentifikáciu môžete použiť aj vstavaný webový server:

sudo certbot certonly --standalone -d test..test.site

Počas generovania certifikátu vás obslužný program požiada o vašu e-mailovú adresu pre účet ACME, ktorý bude dostávať upozornenia o potrebe obnovenia a ďalšie informácie:

Následne budete vyzvaní, aby ste potvrdili, že ste si prečítali podmienky používania služby, odpovedzte A:

Až potom sa začne proces certifikácie. Ak všetko prebehlo v poriadku, váš certifikát sa uloží /etc/letsencrypt/live/názov_domény/, odtiaľ ich už môžete použiť vo svojich aplikáciách. Ak sa vyskytnú chyby, obslužný program to nahlási.

4. Vytvorte certifikát pre Nginx

Certifikáty nemusíte inštalovať manuálne, môžete použiť niektorý z dostupných pluginov na automatickú aktualizáciu konfigurácie. Zvážte napríklad použitie doplnku pre Nginx:

sudo certbot spustiť --nginx

Nie je potrebné nastavovať ďalšie parametre, pretože obslužný program načíta konfiguráciu sám a zobrazí zoznam dostupných domén:

Zadajte číslo požadovanej domény alebo niekoľko čísel oddelených čiarkou. Pomôcka nainštaluje všetko, čo je potrebné, a potom sa vás opýta, či potrebujete presmerovať prenos http na https:

Potom nástroj zobrazí rovnaké informácie ako v predchádzajúcej verzii:

5. Obnovenie certifikátu Let's Encrypt

Ak chcete aktualizovať certifikát Let's Encrypt, stačí spustiť príkaz certbot s opciou určite. Vzhľadom na to, že certifikát sa nachádza v priečinku certbot a konfigurácia webového servera je nastavená na tento priečinok, táto operácia stačí. Ak sa certifikáty skopírujú do iného priečinka, budete potrebovať skript, ktorý ich po aktualizácii automaticky skopíruje.

sudo certbot certonly -d test..test.stránka

Ak platnosť certifikátu ešte nevypršala a nie je potrebná obnova, obslužný program sa vás opýta, či to naozaj treba urobiť.

Ak chcete certifikát aktualizovať v neinteraktívnom režime, napríklad pomocou skriptu, potom je potrebné použiť možnosť -n, aj pri použití tejto možnosti musíte odovzdať doplnok, ktorý sa použije na overenie:

sudo certbot certonly --nginx -n -d test..test.site

Teraz môžete tento príkaz pridať do plánovača cronu, napríklad raz týždenne:

0 0 * * 0 /usr/bin/certbot určite --nginx -n -d test..test.site

Ak chcete aktualizovať certifikáty pre všetky domény jedným príkazom v neinteraktívnom režime, stačí spustiť príkaz:

sudo certbot obnoviť

6. Získanie certifikátu Let's Encrypt Wildcard

Certifikáty Let's Encrypt Wildcard sa objavili pomerne nedávno. Umožňujú použiť jeden certifikát pre všetky subdomény určitej domény, napríklad * .test.site. Ale funguje to stále ťažšie - budete musieť potvrdiť, že táto doména patrí Ak to chcete urobiť, musíte do zóny domény pridať záznam TXT.

Môžete to urobiť buď ručne, alebo použiť doplnok dns Certbot na automatické pridanie. Je pravda, že doplnok je podporovaný iba pre populárne služby, ako sú DigitalOcean, Linode, Cloudflare atď. V tomto článku zvážime manuálnu verziu. Príkaz na vygenerovanie certifikátu bude vyzerať takto:

sudo certbot certonly --agree-tos -d test..test..api.letsencrypt.org/directory

Budete musieť povoliť zverejnenie vašej IP adresy a potom pridať TXT záznam s požadovaným názvom a hodnotou do zóny vašej domény. V mojom prípade áno _acme-challenge.test.site so špeciálnym hashom:

Iľja

Dmitry, dobrý večer! Povedz mi prosím. Len pár dní sa snažím vyriešiť problém s certifikátom Lets encrypt. Na hosting.energy som pri vytváraní stránky dommeb.com.ua pripojil bezplatný Lets encrypt z Isp panela. Všetko bolo niekoľko dní v poriadku, prešiel testami SSL ssllabs.com/ssltest/analyze.html na A+. Skúsil som stiahnuť z mobilu na Android 2.3.6 zo štandardného prehliadača a Maxtonu - objavili sa len upozornenia na nespoľahlivosť certifikátu a potom môžete kliknúť na Pokračovať a stránka bola dostupná.

Pred týždňom som si všimol, že pri načítavaní z mobilu a testovaní na presmerovania (na hostingu v nastaveniach domény nastavujem presmerovania z http-https) sa mi pridáva k url: 443 (názov SSL portu). A stránka nie je dostupná pri načítaní (chybový nápis).

Napísal som na hosting, problém bol vyriešený do niekoľkých dní. Napísali „Opravené konfigurácie Nginx týkajúce sa presmerovaní, do konfigurácií sa vkradla chyba (pravdepodobne kvôli ovládaciemu panelu) a boli tam 2 presmerovania.

:443 sa už nepridával z mobilu a pri testovaní presmerovaní.
Stránka sa však stále nenačítala, ako v prípade týchto dvojitých presmerovaní: 443 (chyba na stránke Android 2.3.6, ktorá nie je k dispozícii pri načítaní).

Pozrel som sa na test ssl, tiež výsledok A +, ale v pododstavci Simulácia handshake sa objavila chyba Nie SNI 2Android 2.3.7 Žiadny SNI 2 Server odoslal fatálne upozornenie: handshake_failure

Google na túto chybu:
O tejto chybe a riešení napíšte tu talk.plesk.com/threads/https-websites-not-loading-in-ie.338346/ Všetky informácie som odovzdal tým hostingovej podpore.

Korešpondoval som si s hostingom niekoľko dní, vraj nič nezmenili v konfigurácii nastavení hostingu, používajú štandardný certifikačný plugin Lets Encrypt. A nezaručujú, že LetsEncryt SSL bude fungovať na starších platformách. Ponúkali vyhradenú IP za 1,5 $ mesačne.
Aj keď pred pár dňami všetko fungovalo a na oboch stránkach neboli žiadne úpravy (vymazal som všetky údaje v prehliadačoch). A samotná hostingová stránka (aj na tomto certifikáte, normálne a teraz sa načítava z mobilného telefónu a dokonca bez varovania)

Stránky na zdieľanom hostingu bez vyhradenej adresy IP. Jedna stránka vytvorená na Opencart s certifikátom Lets encrypt, všetko bolo v poriadku. Druhý test na WordPress - všetko bolo v poriadku aj s androidom 2.3.6. Chystal som sa prejsť z http na https na tretej stránke (WordPress) a prvé dve sa už na Androide 2.3.6 normálne nenačítajú…
Chcel by som, aby všetci používatelia mali normálny prístup na stránku (v posledná možnosť na starších platformách, ako je Android 2.3.6, takže existuje iba varovanie, ktoré možno preskočiť)
Môžete mi prosím povedať, čo by mohlo byť dôvodom?

Rozhodol som sa pozrieť na platené certifikáty, ako je tento dobrý od Comodo namecheap.com/security/ssl-certificates/comodo/positivessl.aspx ,
ale vo vašom článku som sa dočítal, že na platforme Android bol certifikát Comodo neplatný. Trochu zmätený s týmto

SSL už nie je rozmarom veľké spoločnosti, a povinná požiadavka pre všetkých. Bez SSL strácajú stránky pozície vo výsledkoch vyhľadávania, návštevníkov a peniaze. Let's Encrypt v paneli ISPmanager vám umožňuje vydávať bezplatné SSL – bežné aj zástupné. Požiadavka a inštalácia je automatická a nevyžaduje technické zručnosti.

Prečo potrebujete certifikát SSL

Keď navštívite webovú stránku, pripojíte sa k serveru, ktorý ju hostí. Ak pripojenie nie je bezpečné, hackeri môžu ukradnúť prihlasovacie údaje, heslá a čísla bankové karty. Na zabezpečenie pripojenia je potrebný certifikát SSL. Pomocou neho sú údaje, ktoré zadávate, šifrované. Aj keď ich hackeri zachytia, nebudú ich môcť dešifrovať.

Od roku 2017 indexové prehľadávače Google označujú stránky bez protokolu SSL ako nezabezpečené a znižujú svoje pozície vo výsledkoch vyhľadávania. Google Chrome a Mozilla Firefox označujú stránky HTTP ako nedôveryhodné. Takto prehliadače varujú používateľov, že podvodníci môžu ukradnúť osobné údaje a peniaze.

Presuňte svoj web na HTTPS, aby ste zlepšili svoju pozíciu vyhľadávače a vzbudiť dôveru návštevníkov. S modulom Let’s Encrypt na to nie sú potrebné peniaze ani technické zručnosti.

Pre koho je Let's Encrypt určený?

Let's Encrypt vydáva SSL certifikáty základnej úrovne s overením domény (DV). Preto je Let's Encrypt skvelý pre malé online projekty, kde sa nevyžaduje prísna záruka bezpečnosti: blogy, hobby stránky, stránky s vizitkami. Zelený visiaci zámok v riadku prehliadača stačí, ak návštevníci nezadávajú prihlasovacie mená a heslá a nenakupujú.

DV-certifikát len ​​potvrdzuje, že doména vám skutočne patrí. Návštevníci stránok sa nestretnú s upozorneniami prehliadača o návšteve neoverených stránok. Podvodníci nezachytia informácie o používateľovi, pretože certifikát poskytuje zabezpečené pripojenie HTTPS.

Dôležité! Neodporúčame používať DV-certifikát na stránkach internetových obchodov a firemných portálov, kde je viac ako vysoký stupeň užívateľskú dôveru. Pri vydávaní protokolu SSL s overením domény CA neoveruje oprávnenosť podnikania. Takýto certifikát teda nezaručuje návštevníkom, že vlastníkovi domény môžu byť dôveryhodné prihlasovacie mená, heslá a čísla bankových kariet.

Ako nainštalovať Let's Encrypt

Krok 1.

Ak chcete nainštalovať Let's Encrypt, ISPmanager musí mať aspoň verziu 5.65.

  • Otvorte ISPmanager,
  • Z účtu root prejdite do sekcie Integrácia → Moduly;
  • Nainštalujte modul Let's Encrypt.

Teraz môžete získať platný samoobnovujúci SSL certifikát pre vašu doménu. Na to potrebujete používateľa s právom používať SSL a platným názvom domény.

Krok 2

Po inštalácii v sekcii Nastavenia webového servera → Certifikáty SSL Stlačte tlačidlo Tlačidlo Let's Encrypt získať certifikát. Viac informácií o vytvorení certifikátu nájdete v .

Certifikát je úspešne vygenerovaný, ak sú zo servera otvorené úplne všetky zadané domény a aliasy (aliasy). Ak sa čo i len 1 neotvorí, nebude možné vydať certifikát.

O projekte Let's Encrypt

Let's Encrypt je nekomerčná dôveryhodná certifikačná autorita. Od ostatných sa líši tým, že vydáva SSL certifikáty zadarmo. Proces uvoľnenia je plne automatizovaný.

Projekt vznikol v roku 2014, aby väčšina internetových stránok mohla prejsť na zabezpečené pripojenie cez HTTPS. Medzi jej hlavných sponzorov patria popredné svetové technologické spoločnosti: Mozilla, Google Chrome, Cisco, Facebook. Partnermi Let's Encrypt sú IdenTrust Certification Authority, University of Michigan, Stanford Law School, Linux Foundation.

Základné princípy Let's Encrypt:

  • Bezodplatnosť. Vlastník akejkoľvek domény môže získať dôveryhodné SSL zadarmo;
  • automatizácia. Let's Encrypt automaticky požaduje, konfiguruje a obnovuje certifikáty;
  • Bezpečnosť. Let's Encrypt podporuje osvedčené postupy zabezpečenia na strane CA aj webovej stránky.

Upozorňujeme, že Let's Encrypt má nasledujúce obmedzenia:

  1. Pre doménu prvej úrovne a jej subdomény si môžete objednať iba 5 certifikátov týždenne.
  2. Certifikát Let's Encrypt je platný 3 mesiace. Každé 3 mesiace ISPmanager automaticky znovu vydáva certifikáty.
  3. Let's Encrypt neposkytuje žiadne záruky ani kompenzáciu v prípade porušenia údajov, keďže ide o neziskovú organizáciu.

Úplný zoznam obmedzení

V tejto recenzii budeme hovoriť o funkciách inštalácie a viazania bezplatného certifikátu TLS / SSL od Let's Encrypt pre web na webovom serveri IIS so systémom Windows Server 2019/2016/2012 R2.

Poďme Encrypt a ACME klientov pre Windows

Prítomnosť certifikátu TLS / SSL na stránke vám umožňuje chrániť používateľské údaje prenášané cez sieť pred útokmi typu man-in-the-middle a zaručiť integritu prenášaných údajov. neziskové centrum certifikácia Nechaj'sŠifrovať umožňuje automaticky vydávať bezplatné kryptografické certifikáty TLS X.509 na šifrovanie (HTTPS) cez API. Vydávajú sa len certifikáty na overenie domény s dobou platnosti 90 dní (limit je 50 certifikátov na jednu doménu týždenne). Môžete však automaticky znova vydať certifikát SSL pre svoje stránky podľa plánu.

Rozhranie API na automatické vydávanie certifikátov sa volá automatizovanéCertifikátzvládanieŽivotné prostredie (ACME) API. Pre systémy Windows V súčasnosti existujú 3 najobľúbenejšie implementácie klienta ACME API:

  • Utility WindowsACMEJednoduché(WACS) - nástroj príkazového riadka na interaktívne vydávanie certifikátu a jeho viazanie na konkrétnu stránku na webovom serveri IIS;
  • modul PowershellACMESharp- Powershell knižnica s mnohými príkazmi na interakciu so servermi Let's Encrypt cez ACME API;
  • Certifikovať je grafický správca certifikátov SSL pre Windows, ktorý vám umožňuje interaktívne spravovať certifikáty cez ACME API.

Klient WACS na inštaláciu certifikátu Let's Encrypt TLS v IIS na Windows Serveri

Najjednoduchší spôsob, ako získať certifikát SSL od Let's Encrypt, je použiť konzolu Windows ACME Simple (WACS) (predtým sa projekt nazýval LetsEncrypt-Vyhrať-Jednoduché) . Ide o jednoduchého sprievodcu, ktorý vám umožní vybrať jednu zo stránok spustených na IIS a automaticky na ňu vydať a naviazať SSL certifikát.

Predpokladajme teda, že máme webovú stránku na IIS nasadenú pod Windows Server 2016. Našou úlohou je prepnúť ju do režimu HTTPS inštaláciou SSL certifikátu od Let's Encrypt.

Stiahnite si najnovšiu verziu klienta WACS zo stránky projektu GitHub https://github.com/PKISharp/win-acme/releases (v mojom prípade je to v2.0.10 - súbor win-acme.v2.0.10.444.zip).

Rozbaľte archív do adresára na serveri s IIS: c:\inetpub\letsencrypt

Otvorte príkazový riadok s právami správcu, prejdite do adresára c:\inetpub\letsencrypt a spustite ho wacs.exe.

Tým sa spustí interaktívny sprievodca, ktorý vygeneruje certifikát Let's Encrypt a naviaže ho na lokalitu IIS. Na rýchle vytvorenie nový certifikát vybrať N: - Vytvorte nové certifikáty (jednoduché pre IIS).

Potom musíte vybrať typ certifikátu. V našom príklade nie je potrebné použiť certifikát s aliasmi (niekoľko SAN - Subject Alternative Name), takže stačí vybrať položku 1. Jediná väzba lokality IIS. Ak potrebujete certifikát Wildcard, vyberte možnosť 3.

Zadajte svoj e-mail, na ktorý sa budú odosielať upozornenia o problémoch s aktualizáciou certifikátu stránky a iné o pozastavení (môžete zadať niekoľko e-mailov oddelených čiarkami). Zostáva súhlasiť s podmienkami používania a Windows ACME Simple sa pripojí k serverom Let's Encrypt a pokúsi sa automaticky vygenerovať nový certifikát SSL pre vašu stránku.

Proces generovania a inštalácie certifikátu Let's Encrypt SSL pre IIS je plne automatizovaný.

Štandardne sa overenie domény vykonáva v režime Overenie http-01 (SelfHosting). Ak to chcete urobiť, musíte mať záznam v DNS domény, ktorý ukazuje na váš webový server. Pri spustení WACS v manuálnom režime si môžete vybrať overenie typu − 4 [ http-01] VytvortedočasnéaplikácievIIS(odporúčané). V tomto prípade sa na webovom serveri IIS vytvorí malá aplikácia, prostredníctvom ktorej môžu servery Let's Encrypt vykonávať validáciu.

Poznámka. Pri vykonávaní overenia TLS/HTTP musí byť vaša lokalita prístupná zvonku prostredníctvom jej plne kvalifikovaného názvu DNS pomocou protokolov HTTP (80/TCP) a HTTPS (443/TCP).

Pomôcka WACS uloží súkromný kľúč certifikát (*.pem), samotný certifikát a množstvo ďalších súborov do adresára C:\Users\%username%\AppData\Roaming\letsencrypt-win-simple. Potom nainštaluje vygenerovaný certifikát Let's Encrypt SSL na pozadí a pripojí ho k vašej lokalite IIS. Ak už má stránka nainštalovaný certifikát SSL (napríklad ), bude nahradený novým.

V Správcovi IIS otvorte ponuku Viazanie stránky pre vašu stránku a uistite sa, že používa certifikát vydaný spoločnosťou Poďme zašifrovať autoritu X3.

V úložisku certifikátov počítača nájdete certifikát Let's Encrypt for IIS v časti Web Hosting -> Certifikáty.

Windows ACME Simple vytvorí nové pravidlo v Plánovači úloh systému Windows ( win-acme-renew (acme-v02.api.letsencrypt.org)) na automatickú obnovu certifikátu. Úloha beží každý deň a certifikát sa obnovuje každých 60 dní. Plánovač spustí príkaz:

C:\inetpub\letsencrypt\wacs.exe --renew --baseuri "https://acme-v02.api.letsencrypt.org"

Rovnaký príkaz môžete použiť na manuálnu aktualizáciu certifikátu.

Presmerovanie návštevnosti lokality IIS z HTTP na HTTPS adresu

Ak chcete presmerovať všetok prichádzajúci prenos HTTP na lokalitu HTTPS, musíte nainštalovať modul MicrosoftURLPrepísaťmodul(https://www.iis.net/downloads/microsoft/url-rewrite) a uistite sa, že táto možnosť nie je povolená v nastaveniach lokality povinné používanie SSL (Vyžadovať SSL). Zostáva nakonfigurovať presmerovanie v súbore web.config:













Môžete tiež nakonfigurovať presmerovanie návštevnosti pomocou prepisu adresy URL prostredníctvom GUI správcu IIS. Vyberte položku Lokality -> názov vašej lokality -> Prepísať adresu URL.

Vytvorte nové pravidlo Pridať pravidlo -> Prázdne pravidlo.

Zadajte názov pravidla a zmeňte hodnoty parametrov:

  • Požadovaná adresa URL -> Zodpovedá vzoru
  • Pomocou -> Regulárne výrazy
  • Vzor -> (.*)

V bloku Podmienky zmeňte Logické zoskupenie -> Zladiť všetko a kliknite na Pridať. Uveďte

  • Stavový vstup -> (HTTPS)
  • Skontrolujte, či sa vstupný reťazec -> zhoduje so vzorom
  • Vzor -> ^VYP$

Teraz v bloku Akcia vyberte:

  • Typ akcie -> Presmerovať
  • Adresa URL presmerovania -> https://(HTTP_HOST)/(R:1)
  • Typ presmerovania -> Trvalé (301)

Otvorte prehliadač a skúste otvoriť svoju stránku na adrese HTTP, mali by ste byť automaticky presmerovaní na URL HTTPS.

Používanie certifikátu Let's Encrypt for Remote Desktop Services

Ak na pripojenie externých používateľov k podnikovej sieti používate bránu vzdialenej pracovnej plochy/RD Web Access, namiesto bežného certifikátu s vlastným podpisom môžete použiť bežný certifikát Let's Encrypt SSL. Pozrime sa, ako správne nainštalovať certifikát Let's Encrypt pre služby vzdialenej pracovnej plochy na Windows Server.

Ak je rola RDSH zvýšená aj na serveri Remote Desktop Gateway, musíte používateľom Read zabrániť v prístupe k adresáru, kde máte uložený WACS (v mojom príklade je to c:\inetpub\letsencrypt) a k adresáru certifikátu Let's Encrypt (C :\ProgramData \win-acme).

Potom na serveri RDP GW spustite wacs.exe podľa popisu vyššie a vyberte požadovanú lokalitu IIS (zvyčajne predvolenú webovú lokalitu). Let's Encrypt vám vydá nový certifikát, ktorý sa nainštaluje pre webovú stránku a v plánovači sa zobrazí úloha na automatické obnovenie certifikátu.

Tento certifikát môžete manuálne exportovať a naviazať naň tie správne služby Väzba RDS cez SSL. Tieto kroky však budete musieť vykonať ručne každých 60 dní, keď znovu vydáte certifikát Let's Encrypt.

Potrebujeme skript, ktorý by ho hneď po prijatí (obnovení) certifikátu Let's Encrypt aplikoval na RD Gateway.

Projekt win-acme má pripravený skript PowerShell ImportRDGateway.ps1 ( https://github.com/PKISharp/win-acme/tree/master/dist/Scripts) , ktorý vám umožňuje nainštalovať vybraný certifikát SSL pre Služby vzdialenej pracovnej plochy. Hlavnou nevýhodou skriptu je, že musíte manuálne zadať odtlačok nového certifikátu:
ImportRDGateway.ps1

Ak chcete automaticky získať odtlačok certifikátu zo zadanej lokality IIS, použite upravený skript (založený na štandarde ImportRDGateway.ps1).

Návod a upravený PowerShell skript poslal náš čitateľ Anton, za čo mu posielame lúče vďaky!

Tento skript môžete spustiť manuálne:

powershell -File ImportRDGateway_Cert_From_IIS.ps1

Ak vaša brána RDS žije na štandardnej lokalite IIS „Predvolená webová lokalita“ s indexom 0, skript môžete použiť bez úprav.

Ak chcete získať ID lokality v IIS, otvorte konzolu PowerShell a spustite:

Import-modul WebAdministration
Get-ChildItem IIS:Sites

Získajte zoznam ako:

Stĺpec ID obsahuje index vašej stránky, odčítajte od neho jeden. Výsledný index vašej lokality musí byť špecifikovaný namiesto 0 v 27. riadku skriptu PowerShell:

$NewCertThumbprint = (Get-ChildItem IIS:SSLBindings).Tumbprint

Teraz otvorte úlohu plánovača win-acme-renew (acme-v02.api.letsencrypt.org) a na karte Akcia pridajte novú úlohu, ktorá spustí skript ImportRDGateway_Cert_From_IIS.ps1 po obnovení certifikátu.

Aby ste nezmenili povolenia na spúšťanie skriptov PowerShell, môžete skript zavolať pomocou príkazu:

PowerShell.exe – ExecutionPolicy Bypass – Súbor c:\inetpub\letsencrypt\ImportRDGateway_Cert_From_IIS.ps1

Teraz sa skript na naviazanie SSL certifikátu na služby RDS spustí ihneď po obnovení certifikátu Let's Encrypt. Zároveň sa služba RD Gateway automaticky reštartuje príkazom:

Po reštarte služby TSGateway sa ukončia všetky aktuálne užívateľské relácie, preto je žiaduce zmeniť frekvenciu spúšťania úlohy aktualizácie certifikátu na raz za 60 dní.

Upozorňujeme, že certifikáty Let's Encrypt in v súčasnosti sú široko používané na webových stránkach mnohých veľkých spoločností a dôverujú im všetky prehliadače. Dúfam, že osud bezplatnej certifikačnej autority Let's Encrypt nepostihne osud WoSign a StartCom.


© 2022 egoist24.ru Platobné systémy. Hypotéka. banky. Peniaze Yandex. webmoney. Všeobecné informácie.