设为首页 收藏本站
查看: 1379|回复: 0

[经验分享] 【http转https】其之二:申请Let

[复制链接]

尚未签到

发表于 2017-7-9 14:41:21 | 显示全部楼层 |阅读模式
  文:铁乐猫
  2017年1月12日
  申请Let's Encrypt颁发SSL证书
  由 ISRG(Internet Security Research Group,互联网安全研究小组)提供服务, ISRG 来自于美国加利福尼亚州的一个公益组织。Let's Encrypt 得到了 Mozilla、Cisco、Akamai、Electronic Frontier Foundation 和 Chrome 等众多公司和机构的支持,发展十分迅猛。
  对于域名所有权的验证,支持两种方式:放置临时文件进行验证、查询 whois 给域名所有人发邮件验证
  需要注意的是它一次只会颁发3个月有效期的证书,到期之后需要自己再续上 (仍然是免费的),维护起来比较麻烦,不过可以使用工具去自动续期。 另外它不支持通配符泛域名 (*.demo.com),所以在申请认证的时候,要把域名都 301 跳转到证书里包含的域名上,不然浏览器会弹证书错误。
  windows在Let's Encrypt获取证书,也就是IIS的站点获取SSL证书,一般使用certify这个自动化工具会方便很多。
  另外常见的一种就是用工具 letsencrypt-win-simple
  下载最新版 letsencrypt-win-simple:
  链接不好找:https://github.com/Lone-Coder/letsencrypt-win-simple/releases
  最新版是:letsencrypt-win-simple.V1.9.1.zip。在服务器解压 letsencrypt-win-simple.V1.9.1 ,解压后运行lessencrypt.exe。
  会弹出一个cmd窗口,第一次运行会让你先填一个邮箱地址。用于更新失败时邮件通知你。
DSC0000.jpg

  输入email后,还会再问你同意与否,后面列出的一个网址,看pdf(估计就是协议),那必须得填Y阿。
DSC0001.jpg

  W - 生成一个证书并通过 WebDav 来进行安装
  F - 生成一个证书通过FTP、FTPS安装。
  M - 通过配置手动生成证书
  A - 给 IIS 当前已经发布的所有网站各自部署上对应的证书
  会自动替你扫描出IIS上的站点,让你选择,一般选M手动获取站点证书。
DSC0002.jpg

  这样接下来就是填入host name 站点主机名,web root 网站的根目录。
  letsencrypt-win-simple.V1.9.1 会自动生成临时文件并放到网站根目录,然后 Let's Encrypt 服务器会访问这个文件, 用于验证这个网站是否属于你。
  如果验证不通过,是因为 IIS 需要修改一些配置, 验证通过后会实时颁发证书,并且会自动把证书添加到服务器中,然后直接在 IIS 中进行HTTPS部署即可。
  除了直接运行letsencrypt程序来交互操作,还可以在CMD上敲命令去单条命令完成,例如:
  部署单个域名
  输入以下命令
  letsencrypt.exe --accepttos --manualhost 你的域名 --webroot 你的网站物理路径(wwwroot路径)
  除了用官方自带的命令行工具外,还有一个第三方的更好用的图形界面下的工具:
  一个可以自动续订Let's Encrypt颁发证书的 GUI 软件,叫做 certify
  作用是可以自动配置、创建和自动续订证书,并且到快要续订的时候会自动发邮件给你。
  首先先去 官网下载 certify ,然后在服务器上安装。
  官网下载链接:http://certify.webprofusion.com/
  注意,certify 要求以管理员权限运行,并且要求服务器安装了 PowerShell 4.0。
  PowerShell 4.0 默认集成在 Windows Management Framework 4.0 中,而 Windows Management Framework 4.0 又依赖 Microsoft .NET Framework 4.5 。
  可以查看下自己的服务器是否具备这些环境,然后按需更新即可。更新之后安装 certify 运行。
DSC0003.jpg

  点击 New Contact 按钮,创建一个联系人,这个联系人会在证书快要过期的时候收到续订证书的提醒邮件,输入email 即可。
  (注:第一次启动程序的时候也会弹出对话框让你填这个新联系人)
DSC0004.jpg

  点击 New Certificate,certify 会自动扫描 IIS 中的站点,选择你要申请证书的域名。
  [](http://images2015.cnblogs.com/blog/965728/201701/965728-20170120142406406-684809033.jpg)
  点击 Request Certificate 获取证书,certify 会在网站根目录下生成 .well-known 文件夹,并且会自动配置 web.config,自动验证证书。
DSC0005.jpg

DSC0006.jpg

  验证完成后会弹窗显示证书已安装。就可以去看自己已经申请的证书详细信息了。
DSC0007.jpg

  且 IIS 中也已经自动给你配置好了证书,这点是省了不少事。
  如果发现证书没有续订或者没有生效,点击一下 Auto Apply 就可以了。
  最后记得把网站根目录下的 .well-known 目录给删掉,以保持网站目录干净。
  用certify这个工具简直不能太赞了,图形化界面比letsencrypt自身的官方脚本工具直观,又会在IIS上自动替你绑定443,还带自动续订和邮件通知的功能。

运维网声明 1、欢迎大家加入本站运维交流群:群②:261659950 群⑤:202807635 群⑦870801961 群⑧679858003
2、本站所有主题由该帖子作者发表,该帖子作者与运维网享有帖子相关版权
3、所有作品的著作权均归原作者享有,请您和我们一样尊重他人的著作权等合法权益。如果您对作品感到满意,请购买正版
4、禁止制作、复制、发布和传播具有反动、淫秽、色情、暴力、凶杀等内容的信息,一经发现立即删除。若您因此触犯法律,一切后果自负,我们对此不承担任何责任
5、所有资源均系网友上传或者通过网络收集,我们仅提供一个展示、介绍、观摩学习的平台,我们不对其内容的准确性、可靠性、正当性、安全性、合法性等负责,亦不承担任何法律责任
6、所有作品仅供您个人学习、研究或欣赏,不得用于商业或者其他用途,否则,一切后果均由您自己承担,我们对此不承担任何法律责任
7、如涉及侵犯版权等问题,请您及时通知我们,我们将立即采取措施予以解决
8、联系人Email:admin@iyunv.com 网址:www.yunweiku.com

所有资源均系网友上传或者通过网络收集,我们仅提供一个展示、介绍、观摩学习的平台,我们不对其承担任何法律责任,如涉及侵犯版权等问题,请您及时通知我们,我们将立即处理,联系人Email:kefu@iyunv.com,QQ:1061981298 本贴地址:https://www.yunweiku.com/thread-392008-1-1.html 上篇帖子: O/R映射及OID方案 下篇帖子: YC_chen
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

扫码加入运维网微信交流群X

扫码加入运维网微信交流群

扫描二维码加入运维网微信交流群,最新一手资源尽在官方微信交流群!快快加入我们吧...

扫描微信二维码查看详情

客服E-mail:kefu@iyunv.com 客服QQ:1061981298


QQ群⑦:运维网交流群⑦ QQ群⑧:运维网交流群⑧ k8s群:运维网kubernetes交流群


提醒:禁止发布任何违反国家法律、法规的言论与图片等内容;本站内容均来自个人观点与网络等信息,非本站认同之观点.


本站大部分资源是网友从网上搜集分享而来,其版权均归原作者及其网站所有,我们尊重他人的合法权益,如有内容侵犯您的合法权益,请及时与我们联系进行核实删除!



合作伙伴: 青云cloud

快速回复 返回顶部 返回列表