Let's krüpteerige paigaldus. Tasuta SSL-sertifikaadid krüpteerib

Projekti eesmärk on eelkõige veebi kaitsmine, samuti hõlbustada tavaliste veebiarendajate elu (kõik see muudab selle eraõiguslike võtmete tootmise, ettevõtete sotsiaalse vastutuse kinnituse, domeeni konfigureerimise, veebiserveri konfigureerimisele ja nii edasi Vähendada NO). Enamgi veel, SSL-sertifikaadid väljastatud lase krüptimisel, täielikult vaba. Neis on tõesti üks, nad on põhilised ja kehtivusperiood on piiratud 3 kuuga (kuid see ei ole üldse probleem, kuna laiendit saab automaatselt konfigureerida).

Ma ütlen kohe, et ma panen sertifikaadi oma blogi krüptimisest.

Väärib märkimist, et projekt on nüüd beetatesti etapis, nii et vead võivad esineda oma skriptide töös.

Teenusega töötamise kogu protsess toimub Pythoni skripti LEVSENCRYPT, sel hetkel Mitte kõigi Linuxi jaotuste jaoks On Letsencrypt paketid, seega soovitab ametlik dokumentatsioon esitada IT-i GitHub Git hoidlaga.

$ glit kloon https://github.com/letsncrypt/letsncrypt $ cd Letsencrypt $ ./letsncrypt-auto --Help

letsencrypt-auto. See skript ümbritseti ümber letsencrypt. Kasutuselevõtu protsessi automatiseerimine. Lihtsamalt asetage skript kõik vajalikud sõltuvused, tõstatab Pythoni jaoks eraldi virtuaalse keskkonna, kasutades VirtualenV-d, installides vajalikke Pythoni mooduleid ilma süsteemi Pythoni ummistumata. Väärib märkimist, et skript nõuab õigust kirjutada süsteemi kataloogi (Sudo).

Kuna skript on mõeldud turvalisuse sertifikaatide paigaldamise lihtsustamiseks, toetab see plugina süsteemi. Näiteks standardse kohaletoimetamise korral on plugin töötamiseks apache (täielikult funktsionaalne) ja nginx (seni ainult eksperimentaalses etapis).

Apache SSL-sertifikaadi paigaldamine

Minu blogi töötab lambi kimpil, s.o. Linux, Apache, MySQL ja PHP. Lase arendajad "s krüptida proovinud kuulsust ja lihtsustada konfiguratsiooni sertifikaadi apache tasandil" lihtsam kuhugi. "Kogu protsess vähendatakse järgmistele etappidele:

$ ./LETSENCRYPT-AUTO --APAPHA -D MYDOMAIN.com

Pärast selle käsu sisestamist ilmub aken, kus on vaja täita paar osa, kaasa arvatud omaniku e-posti aadress. Ülejäänud skript teeb teile:

• Kontrollige domeeni omandiõigust
• Vabastame nõutav sertifikaat 90 päeva jooksul
• Teeb kõik vajalikud seaded Apache veebiserverisse

Pärast kõiki neid manipulatsioone, ma lihtsalt pidi konfigureerida 301 ümbersuunamise (liigutatakse püsivalt) HTTP HTTPS ja taaskäivitage veebiserver.

ServiceName saidi ümbersuunamine alaline / https: // sait /

Nginxi seadistusega on asjad halvemad, kõigepealt, sest see plugin ei tööta kimbus Letsencrypt-autoga. Kui SSL-sertifikaatide konfigureerimiseks Nginx (ja see on muidugi, on Nginx, ükskõik kui palju üks populaarsemaid veebiserverid), siis soovitaksin seda käsitsi teha. Kuidas lugeda allpool.

SSL-sertifikaatide seadistamine teiste veebiserverite jaoks

Letsencrypt'i kohaletoimetamisel lisaks pluginale Apache'ga töötamiseks on mitmeid teisi, nimelt:

• eraldiseishind
• webroot.
• käsiraamat
• nginx

Eraldiseishind

Eraldiseisev olemus on see, et skript püüab tõsta oma veebiserverit sertifikaadi menetluse ajaks (domeeni kuuluvuse kinnitamiseks) ja selle jaoks on vaja juba töötada, sisse lülitada Sadamate 80 ja 443. Enamiku veebiarendajate vabastamiseks see valik Ebamugav, sest vajadust ühendada saidi.

$ ./LETSENCRYPT-AUTO Certonly --standaLone-MyDomain.com

Webroot.

See valik sobib neile, kes ei sobi eraldiseisva. Key --webooti määramisel peate lisama ka kataloogi, kus veebiserverit käideldakse faile.

$ ./letsncrypt-auto certonly --weboot -Weboot-tee / var / www / mydomein /

Selle võimalusega töötamisel peate failide lugemiseks veebiserverit konfigureerima.

Käsiraamat

Alates nimest saate arvata, et SSL-sertifikaadi seadistus ja paigaldamine toimub käsitsi :-) Võib-olla on see kõige mugavam võimalus NGGX-i sertifikaadi seadistamiseks "niiskusega" sisse.

$ ./LETSENCRYPT-AUTO CERTONY --Manual-MyDomain.com

Pärast selle käsu sisestamist peate domeeni kinnituse manipuleerima, asetades faili määratud sisu soovitud kataloogis kohapeal. Kui sertifikaadi loomise kord on lõppenud, jäävad kõik vajalikud failid järgmisel viisil. / etc / Letsencrypt / Live / $ domeen . Alamkataloogis live. on kõik kõige asjakohasemad sertifikaadid ja võtmed, samas võtmed. ja arhiiv. Sisaldavad kõiki eelnevalt loodud faile.

SSL-i häälestus Nginxis

Niisiis, kui käsitsi režiimis sertifikaatide loomise protseduur on olnud edukas, siis ülalmainitud kataloogis leiame kõik vajalikud failid ohutuse konfigureerimiseks.

• privkey.Pem - Meie privaatvõti
• cert.Pem - Server sertifikaat
• chain.Pem - juur (juur) ja vahepealne (vahepealne)
• fullcain.Pem - kõik sertifikaadid, mida vajate veebiserveri konfigureerimiseks.

Kuidas Nginx seade näeb välja antud juhul?

Server (kuulake 80; kuulata 443 SSL; server_name MyDomain.com; SSL_Certificate /etc/letsncrypt/live/mydomain.com/fullchain.pem; SSL_CERTIFICATE_KEY /ETC/LETSENCRYPT/Live/mydomain.com/privkey.Pem; ...

Poisid Letsencryptilt ei soovita faile teisaldada, sest Sertifikaadi laiendamisega asendatakse vanad automaatselt uute samade viisidega, see on parem luua sümboolselt linke antud juhul.

Laiendage SSL-sertifikaati

Varem mainisin juba, et tasuta SSL-sertifikaadid "Live" ainult 90 päeva, nii et pärast nende aegumist on vaja käivitada pikendamise kord, kasu on ka tasuta :-)

Mis on laiendusprotsess?

Vastavalt "s krüptimisele, enne aegumist, vastava kirja teatis märgitud kirja märgitud, kui on aeg pikendada sertifikaadi. Et teha käsitsi, see on piisav käsk:

$ ./letsncrypt-auto.

Ja järgige ekraani juhiseid. Automaatne pikendus saab konfigureerida konfiguratsioonifaili abil ja tavalise krantabi abil. Soovitatav on krooni kohandada nii, et pikendamine ei esine enam kui 1 kord kuus.

Kui te töötate all Windowsi all, Letsencrypt saab kasutada või docker. True sel juhul, et nõuetekohaselt konfigureerida veebiserver, peate käsitsi liigutama kõik failid serverisse.

Dmitri, hea õhtu! Palun ütle mulle. Vaid paar päeva üritan probleemi lahendada võimaldab krüpti sertifikaati. Hosting.Energy Hosting, kui luua saidi dommeb.com.ua, i ühendatud tasuta võimaldab krüpteerib ISP paneeli. Kõik oli hea paar päeva, läbinud testid SSL SSLlabs.com/SSLTEST/ANALYZE.HTML A +. Üritasin mobiiltelefoni üles laadida Android 2.3.6 standardsest brauserist ja MAXTON-i maxtonist - ilmus ainult hoiatused ebausaldusväärsuse sertifikaadi kohta ja seejärel saate vajutada Jätka ja sait oli saadaval.

Nädal tagasi märkasin, et mobiiltelefonide ja testide testide allalaadimisel (asetage HTTP-HTTPS-i kaudu ümber suunatud domeeni seaded), lisatakse see URL-ile: 443 (SSL-porti nimi). Ja sait ei ole laadimisel saadaval (vigade pealkiri).

Hosting lähetatud, otsustas mitu päeva. Nad kirjutasid "korrigeeritud Nginx-konfiguratsioonid ümbersuunamiste kohta, filmiti konfiguratsioonile (ilmselt juhtpaneeli tõttu) ja see oli 2 suunata."

: 443 Mobiilsest ja tainast enam ei lisatud.
Kuid sait ei ole ikka veel käivitanud, sest nende topeltülekande tulekuga: 443 (viga Android 2.3.6-s. Sait ei ole laadimisel saadaval).

Vaatasin SSL-testi, ka A + tulemust, kuid seal oli viga lõigus käepigis simulatsiooni nr SNI 2android 2.3.7 no SNI 2 server Saadetud Fatal Alert: Handshake_Faire

Googled selle veaga:
Siin selle vea kohta ja lahendusele kirjutada Talk.Paplek.com/Threads/https-Webites-Not-loadering-in-ie.338346/reed kõik andmed toetavate hosting.

Mitu päeva, vastasin ma hosting, nad ütlevad midagi konfiguratsiooni hosting seaded ei muutunud, kasutage standard võimaldab krüpteerida sertifikaadi plugin. Ja nad ei garanteeri SSL-i töö lehtlencytist aegunud platvormidel. Pakutakse spetsiaalset IP-d 1,5 $ kuus.
Kuigi paar päeva tagasi töötas kõik töötas ja redigeerimine ei olnud mõlemal saidil (kõik brauserite andmed puhastati). Ja hosting sait ise (ka selle sertifikaadi on tavaliselt laaditud Mobile ja isegi ilma hoiatuseta)

Virtual Hosting saidid ilma valitud IP-ga. Opencart'is tehtud üks sait võimaldab sertifikaadi krüptimist, kõik oli korras. Teine test WordPressis - kõik oli ka hea Android 2.3.6. Ma lähen minema kolmandasse saidi (WordPress) HTTP-ga HTTP-dega ja kaks esimest ei ole tavaliselt Android 2.3.6-le laaditud ...
Tahaksin, et kõik kasutajad läheksid saidile tavaliselt (viimase abinõuna vanadel platvormidel nagu Android 2.3.6 nii, et ainult hoiatus, mida saab vahele jätta)
Palun öelge mulle, äkki sa tead, mis võiks olla põhjus?

Ma otsustasin näha makstud sertifikaate, nagu see on hea alates Comodo Namechaap.com/Security/ssl-certificates/cododo / POSSITIVESSL.ASPX,
Aga te loete artiklis, et Comodo sertifikaat oli Android platvormile ebausaldusväärne. Veidi segaduses sellega

Hiljuti on kasutajate ohutuse ja privaatsuse eest hooldus hoogu. Kui Internet ja HTTP-protokoll oli kavandatud, ei mõelnud nad sellistest kontseptsioonidest. Seetõttu saab veebiserveri ja kasutaja vahel HTTP kaudu edastatud liiklus vaadata igaüks, kes asub selle liikluse teedel, näiteks pakkuja või häkkerite teedel.

Seetõttu leiutati hTTPS-protokollMis võimaldab teil liiklust krüpteerida ja võimaldada seda kaitsta pealtkuulamist. SSL-sertifikaate kasutatakse krüpteerimiseks. Varem olid need sertifikaadid raha, kuid tänu ettevõttele Lase nüüd krüptida nüüd mis tahes veebisait saab installida SSL-sertifikaadi ja konfigureerida krüpteerimist täiesti tasuta. Selles artiklis vaatame, kuidas saada Certbot'i kasutavat sertifikaati Ametlik klient.

Sertifikaadi saamine Lase "s krüptida

Üldiselt me \u200b\u200bei pea kasutama Certbot, me saame luua sertifikaadi OpenSSL ja siis lihtsalt allkirjastada ACME API abil "s krüptimist. Aga selle API-le peate täitma päringuid JSON-vormingus, mis on väga Ebamugav käsurealt. Seetõttu on parem kasutada ühte kliente. Näiteks Certbot. Lisaks on enamik ACME-kliente juba Automaatse sertifikaadi genereerimist OpenSSLis.

1. Certbot süntaks ja käsud

Enne tööle jätkamist kaalume Certbot Utility ja selle käskude süntaksit. Nad näevad üsna lihtsaks:

certbot käsu valik -D domeen

Käsud kasutatakse selleks, et teavitada kasulikkust, mida on vaja teha. Siin on peamine neist:

• run. - Kasutatakse vaikimisi, kui käsk ei ole määratud, saab ja seab sertifikaadi;
• tertonly. - saab ainult sertifikaadi või uuendab sertifikaati, kuid ei installi seda;
• uuendada. - sertifikaadi ajakohastamine;
• suurendama - lisab olemasolevate sertifikaatide turvaseaded;
• sertifikaadid. - kuvab kehtestatud sertifikaadid;
• Ära muutma - kõne sertifikaat;
• kustuta. - kustutab sertifikaadi;
• registreeri - loob ACME konto;

Nagu näete, ei ole nii palju meeskondi ja nüüd te ei ole nendega segi ajada, kuid nüüd analüüsime peamisi võimalusi:

• -d. - näitab domeeni või komadega eraldatud domeenide loetelu, mille jaoks on vaja sertifikaate saada;
• --Apache. - kasutage sertifikaadi installimiseks Apache pluginat;
• --Nginx - kasutada NGGX pluginat;
• - Tstandasialone - Sertifikaadi saamisel käivitage autentimiseks oma veebiserver;
• - väljakutsed - Võimaldab valida autentimismeetodi, vaikimisi HTTP, kuid saate valida DNS-i;
• --Server - Võimaldab täpsustada ACME serveri aadressi, peate metamärkide sertifikaatide jaoks vajalikuks, kuna neid toetab ainult teise ACME versioon;
• --Weboot. - Asetage autentimisfailid veebiserveri kausta;
• -W. - täpsustab veebiserveri kausta, kus autentimisfailid peavad olema paigutatud;
• --maksuaalne - sertifikaadi loomine käsitsi režiimis;
• -N. - Käivita kasulikkus mitte interaktiivses režiimis;
• - dry-perspektiivis. - Testi käivitamine ilma ketta muutmata jätmata.

Nüüd oleme valmis tööle tööle minema. Kõigepealt installige see.

2. Certbot'i installimine.

Te peate kõigepealt installima Certbot Utility. See on ametlik klient ja see on enamiku jaotuste hoidlates. Certbot paigaldus Ubuntu viiakse läbi PPA:

sudo apt installige tarkvara-omadused
Sudo add-apt-hoidla PPA: Certbot / Certbot
Sudo apt update.
Sudo apt install certbot

Kui te teate, mille jaoks platvormi sertifikaadid luuakse, saate nende jaoks eraldi laiendused määrata, võimaldavad teil konfiguratsiooni automaatselt muuta. Näiteks saate määrata mooduli Apache või Nginxi jaoks:

sudo apt installige python-certbot-apache
Sudo apt installige python-certbot-nginx

Need pluginad on vajalikud, kui kasutate automaatse paigaldamise sobivaid võimalusi.

3. Sertifikaadi loomine ilma paigaldamiseta

Kui teil on vaja veebiserveri sertifikaati, mida programm ei toeta, peate selle käsitsi installima. Te saate sellise sertifikaadi kasutades Certonly Command:

sudo certbot certonly --weboot -w /var/www/test...test.Syt

See käsk saab sertifikaadi domeenide test.site ja www.test.Site. Autentimise kinnitamiseks asuvad failid paigutatakse / var / www / näide / kataloogi. Võite kasutada ka sisseehitatud veebiserver autentimiseks:

sudo certbot certonly --standasialone -d test..test.Sype

Sertifikaadi põlvkonna ajal küsib kasulikkus teie e-posti aadressi ACME kontole, mis saavad teateid pikendamise vajaduse kohta ja muu teabe järele:

Siis pakutakse teile kinnitada, et olete lugenud teenuse kasutamise tingimusi, vastus AGA:

Alles pärast seda alustab sertifikaadi saamist. Kui kõik läks edukalt, salvestatakse teie sertifikaat sisse / etc / Letsencrypt / Live / domeeninimi /, Sealt saate neid oma rakendustes juba kasutada. Kui ilmnevad vead, siis utiliit teatab sellest.

4. Sertifikaadi loomine NGGX jaoks

Te ei pea sertifikaate käsitsi kehtestama, saate ühe olemasoleva plug-in konfiguratsiooni automaatseks värskendamiseks kasutada. Näiteks kaaluge plugina kasutamist NGGX jaoks:

sudo certbot joosta --nginx

Te ei vaja täiendavaid parameetreid, sest kasulikkus ise loetakse konfiguratsiooni ja kuvab olemasolevate domeenide loendi:

Sisestage soovitud domeeni number või komaga eraldatud mitu numbrit. Utility ise määrab kõik, mida vajate ja küsige teilt, kas HTTP-liikluse suunamiseks on vaja HTTP-s suunata:

Seejärel annab kasulikkus sama teabe nagu eelmises versioonis:

5. Uuenda sertifikaat Lase "s krüptida

Uuenda "s krüpti sertifikaadi värskendamist, lihtsalt käivitage käsk certbot. Võimalusega tertonly.. Arvestades, et sertifikaat on Certbot kausta ja veebiserveri konfiguratsioon on konfigureeritud sellesse kausta, see operatsioon on piisav. Kui sertifikaadid kopeeritakse teise kausta, siis on vaja skripti automaatselt kopeerida neid pärast värskendust.

sudo certbot certonly -d test..test.Sight

Kui sertifikaadi kasutusiga ei ole veel vabastatud ja värskendust ei nõuta, küsib kasulikkus teil, kas see on tõesti vaja teha.

Kui soovite sertifikaadi värskendada mitte-interaktiivses režiimis, näiteks kasutades skripti, peate kasutama võimalust -N.Samuti peate selle valiku kasutamisel üle kanda autentimiseks kasutatava plugina:

sudo certbot certonly --nginx -n--d test..test.Sype

Nüüd saate selle käsu Croni planeerijale lisada näiteks üks kord nädalas:

0 0 * * 0 / usr / bin / certbot certonly --nginx -n -d test..test.Sype

Kui soovite värskendada sertifikaate kõigi ühe käsu domeenide jaoks, mitte interaktiivses režiimis, piisab käsu käivitamisel:

sudo certbot uuendada.

6. Wildcard sertifikaadi saamine Lase krüptida

Olgu "s krüpteeritud Wildcard sertifikaadid ilmnesid suhteliselt hiljuti. Need võimaldavad teil kasutada ühte sertifikaati kõigi konkreetse domeeni alamdomeenide jaoks, näiteks * teile. Selleks peate domeeni tsoonile lisama TXT-rekordi.

Saate teha selle käsitsi või kasutada DNS-plugin sertbot, et seda automaatselt lisada. Tõsi, plugin toetatakse ainult populaarseid teenuseid, nagu digitaalne, linode, cloubleflare ja nii edasi. Selles artiklis kaaluge käsitsi valikut. Sertifikaadi loomise käsk näeb välja selline:

sudo certbot certonly --gree-tos -d test..test..api.letsncrypt.org / kataloog

Te peate lubama oma IP-aadressi avaldamist ja seejärel lisage soovitud nime ja teie domeeni tsoonile väärtus lisama TXT-kirje. Minu puhul on see _ACME-tšark.Test.Sest. Special Hash:

Artiklis kaaluge vaba lase krüptimise plusse ja miinuseid, kelle jaoks see sobib, kuidas seda saidile 12.5 paneeliga saidile paigaldada ja installida

Lase krüptida- tasuta, automatiseeritud projekt, avatud CA-ga (sertifikaadi asutus - sertifitseerimiskeskus).

Peamised eelised

Tarkvara rakendamine

SSL-i installige sertifikaadi krüptimine (juhendamine)

Valige soovitud valikud ja pärast nuppu "Set" nupule klõpsamine toimub vähem kui ühe minuti jooksul.

Kuna see sertifikaat on konstrueeritud mitte rohkem kui 90 päeva jooksul, loodi vastav Croni ülesanne plaadipaneelis tööriistade ja seadete jaotises - Task Scheduler

Väärib märkimist, et sertifikaadi põlvkond on mõned piirangud:

• duplicate sertifikaadid - mitte rohkem kui 5 nädalas;
• sertifikaadi tekitamise katsete arv ei ületa 5 korda tunnis.

Sülearvutite kohta Lase krüptida

1. Vaba sertifikaat Lase "s krüptimine on lühiajaline ja kavandatud mitte rohkem kui 90 päeva jooksul, erinevalt makstud, mida saab vabastada kuni 3 aastat. Loomulikult saate sertifikaadi uuesti välja taaskasutada iga 3 kuu järel Aga olge kindlasti järgida tähtaegu. Sertifikaadi taasasutamist saab rakendada kolmel viisil: käsitsi, seadistades Croni ülesannete planeerija või automaatselt.

   Kui valisite käsitsi uuendamise meetodiHoidke tähtajad välja ja taaskasutama sertifikaadi õigeaegselt. Vastasel juhul ohustate saidi rahulolematuste sissevoolu ja nende järgneva väljavoolu sissevoolu.

   Ülesande planeerija Cron. - See on võimalus automaatse värskenduse konfigureerimise viis. Tee on hea neile, kes omavad Linuxi manustamisoskusi ja võivad töötada kroonidega. Samuti on vaja arvesse võtta seda, et krooni töös ei ole välistanud vead, mis võivad sertifikaadi kokku puutuda. Järeldus: Järgige värskendust veel.

   Automaatne värskendus. See meetod tähendab, et te võtate sertifitseerimiskeskuse poolt ette nähtud automaatseid seadeid. Ja siin peate mõistma, mida te seega annate oma nõusoleku asjaolule, et CA saab oma serveri tarkvara ja konfiguratsiooni kaalutlusõiguse teha muudatusi.

2. Mitte kõik domeenid ei saa olla kaitstud tasuta lase krüptimisel. See sertifikaat arvutatakse ainult ühe domeeni kaitse kohta ilma ettevõtte kontrollimata, nn dv SSL-i (domeeni valideerimine).

   Niisiis, kasutades lase krüptimist, ei saa te luua järgmisi sertifikaate:

   - Wildcard sertifikaat konkreetse domeeni alamdomeenide kaitsmiseks;
   - OV SSL-sertifikaadid (organisatsioon valideerimine)kaasata tšekk mitte ainult domeeni, vaid ka ettevõtted;
   - EV SSL-sertifikaadid (laiendatud valideerimine). Sertifikaat maksimaalse kaitse ja rohelise aadressi baar brauseri;
   - Multi-domeeni sertifikaat UCC tüüp;



3. Tähtsus - ei ole finantstagatisi kasutades lase "Sencrypt. Kui vaba sertifikaadi juhtub murda, siis rahaline hüvitis Keegi ei anna teile.

Järeldus

Ja kui teil on vaja lihtsat sertifikaati ühe domeeni jaoks, on teil asjakohased haldusoskused, samuti kui ettevõtte (OV-korraldamine valideerimine) või rohelise aadressi stringi kättesaadavust ei ole vaja. Ettevõte sertifikaadis, seda sertifikaati saab kasutada.

Siiski soovitame suurettevõtete, online-ostude, pankade ja muude e-kaubanduse projektide loomiseks tuntud sertifitseerimiskeskuste, näiteks globarsign, Comodo'ga.
Nii et te kasutate kasutaja usaldust ja näitate, et olete tõsine ettevõte, mis hoolitseb kliendiandmete turvalisuse eest.

• Jaga:

Selles ülevaates me räägime vaba TLS / SSL-sertifikaadi paigaldamise ja seondumise omadustest Let's Windows Server 2019/2016/2012 R2-s töötava IIS-veebiserveri veebisaitide krüpteerimisest.

Let's Windowsi jaoks krüptida ja ACME kliendid

TLS / SSL-sertifikaadi olemasolu saidil võimaldab teil kaitsta võrgus edastatud kasutajaandmeid keskel (mer-in-keskel) rünnakute eest ja tagada edastatavate andmete terviklikkus. Mittekaubanduslik keskus Sertifitseerimine Lase.'S. Krüptida. Võimaldab automaatrežiimi läbi API vabastada tasuta Cryptographic TLS sertifikaadid X.509 krüpteerimiseks (HTTPS). Ainult domeeni valideerimise sertifikaadid väljastatakse (domeeni valideerimine), mille kehtivusaeg on 90 päeva (seal on piir - 50 sertifikaati ühe domeeni nädalas). Kuid saate oma saidile automaatselt vabastada SSL-sertifikaadi.

API liides, mis võimaldab teil automaatselt vabastada sertifikaate Automatiseeritud Sertifikaat. Juhtimine Keskkond (ACME.) API. Jaoks Windowsi süsteemid kohta sel hetkel Seal on 3 populaarsemat ACME API kliendi rakendusi:

• Kasulikkus Aknad ACME. Lihtne. (WACS.) - käsurea utiliit sertifikaadi interaktiivse küsimuse jaoks ja siduvad selle konkreetse saidile IIS veebiserveris;
• Moodul Powershell AcMesharp. - Powershelli raamatukogu mitme käskudega suhelda ACME API kaudu Let's krüpteerijate serveritega;
• Sertifitseerima - Windowsi SSL-graafilise sertifikaadi haldur võimaldab teil sertifikaate interaktiivselt juhtida ACME API kaudu.

WACS-klient paigaldame Windows Serveris IISi krüpti sertifikaadi TLS-i installimiseks

Lihtsaim viis SSL-sertifikaadi saamiseks krüpteerimisest on kasutada konsooli utiliit Windows Acme lihtne. (WACS.) (varem nimetatakse projekti Letsencrypt.-Mine-Simple.) . See on lihtne viisard, mis võimaldab teil valida ühe IIS-i töötavatest saitidest ja vabastate automaatselt ja link selle SSL-sertifikaadiga.

Niisiis, oletame, et meil on Windows Server 2016. all asuv veebisait. Meie ülesanne, lülitage see HTTPS-režiimile, paigaldades SSL-sertifikaadi krüpteerimisest.

Laadige WACSi kliendi viimane vabastamine projekti lehelt GitHub https://github.com/ppishrisp/win-acme/Releses (minu puhul V2.0.10 - Win-ACME.V2.0.10.444 .zip-fail).

Pakkige arhiivi serveri kataloogis IISiga: c: inetpub lumencrypt

Avage käsureale administraatori õigustega, minge c: inetpub-le wACS..exe.

Käsitsi sertifikaadi sertifikaadi interaktiivne magistritootmise kapten ja selle sidumine IISi saidile. Kiiresti luua uus sertifikaat Valima N.: - Loo uusi sertifikaate (IIS-i jaoks lihtne).

Siis peate valima tüübi sertifikaadi. Meie näites ei ole vaja kasutada pseudonüümi sertifikaati (mitu San-teema alternatiivset nime), seega piisab elemendi valimiseks 1. IIS-ala ühekordse seondumise. Kui vajate metamärgi sertifikaati, valige 3. valikuvõimalus.

Määrake oma e-kiri, millele saidi sertifikaadi värskenduse teatised saadetakse ja teised riputamisel (saate määrata mitmeid e-posti kaudu koma). Jääb nõustuda kasutustingimustega ja Windows Acme Lihtne ühendab Let's krüpteeritud serveritega ja püüab oma saidile automaatselt uue SSL-sertifikaadi genereerida.

SSL-sertifikaadi genereerimise ja paigaldamise protsess Let's IIS-i krüptimise protsess on täielikult automatiseeritud.

Vaikimisi domeeni valideerimine toimub režiimis. http-01 valideerimine (IstluShosting). Selleks on vaja, et DNS-domeenis on teie veebiserver kuvatav kirje. Wacs'i käivitamisel käsitsi režiimis saate valida tüübi valideerimise - 4 [ http.-01] Looge. Ajutine. Taotlus Sisse. IIS. (Soovitatav.). Sellisel juhul luuakse väike rakendus IIS veebiserveris, mille kaudu Let's krüpt server suudab valideerimist läbi viia.

Märge. TLS / HTTP-kontrollide täitmisel peab teie sait olema kättesaadav väljastpoolt HTTP (80 / TCP) protokollide ja HTTPS (443 / TCP) täielik DNS.

WACSi kasulikkus säästab sertifikaadi suletud klahvi (* .pem), sertifikaadi ise ja paljude kataloogi faili C: Kasutajad% Kasutajanimi% APPDATA \\ Rändimine \\ Letsencrypt-win-lihtne. Siis installib see genereeritud SSL-sertifikaadi, krüpteerime SSL-i poolt genereeritud ja annab selle teie IIS-saidile. Kui SSL-sertifikaat on kohapeal juba paigaldatud (näiteks), asendatakse see uuega.

IISi juhil avage menüü Saidi sidumine Teie saidi jaoks ja veenduge, et ta kasutab talle väljastatud sertifikaati Let's krüpteerige asutus X3.

Arvutisse sertifikaadi salvestamise ajal krüpteeritud IISi sertifikaat leiate veebimajutusteenuse sektsioonis -\u003e Sertifikaatide sektsioonis.

Windows Acme Lihtne loob Windowsi tööplaneerija uue reegli ( win-ACME-uuendamine (ACME-v02.api.letsncrypt.org)) Sertifikaadi automaatseks pikendamiseks. Ülesanne algab iga päev, sertifikaadi pikendamine toimub 60 päeva pärast. Planeerija käivitab käsu:

C: inetpub lutsuncrypt \\ t

Sertifikaadi käsitsi uuendamiseks saate kasutada sama käsku.

IIS saidi ümbersuunamine HTTP HTTPS-aadressil

Kõigi sissetulevate HTTP-liikluse suunamiseks HTTPSi saidil on vaja paigaldada mooduli Microsoft. Url Uuesti kirjutama Moodul. (https://www.iis.net/downloads/microsoft/url-rewrite) ja veenduge, et valik ei ole saidi seadetes lubatud kohustuslik kasutamine SSL (vaja SSL). See jääb konfigureerida suunata Web.config faili:

Võite konfigureerida liikluse ümbersuunamise kaudu ümberkirjutamise URL kaudu IISi juht graafilise liidese kaudu. Valige saidid -\u003e YourSiteName -\u003e URL-i ümberkirjutamine.

Loo uus reegel Lisa reegel -\u003e tühi reegel.

Määrake reegli nimi ja muuta parameetri väärtusi:

• Taotletud URL -\u003e Sobib mustriga
• Kasutades -\u003e Regulaarseid väljendeid
• Muster -\u003e (. *)

Tingimustes plokkides muutke loogilise rühma -\u003e Match kõik ja klõpsake nuppu Lisa. Täpsustama

• Seisundi sisend -\u003e (HTTPS)
• Kontrollige, kas sisendstring -\u003e vastab mustriga
• Muster -\u003e ^ Off $

Nüüd valige:

• Tegevus tüüp -\u003e Suunata
• Redirect URL -\u003e HTTPS: // (http_host) / (R: 1)
• Suunake tüüp -\u003e Püsiv (301)

Avage brauser ja proovige avada veebisaidi HTTP-aadressi kaudu, peate automaatselt ümber suunama HTTPS URL-i.

Kasutades Concrypt sertifikaadi kaugtöölaua teenuseid

Kui kasutate ühendamiseks välised kasutajad Corporate Network Gateway Remote Desktop Gateway / Rd Web Access, saate kasutada tavalise SSL sertifikaat Let's krüptida asemel tavapärase ise allkirjastatud sertifikaadi. Mõelge Windows Server Server Server Service Services Service Service Service Service Service Service Service Service'i sertifikaadi õigesti paigaldamise kohta.

Kui RDSH rolli tõstetakse ka kaugtöölaua lüüsi serveris, peate kasutajate keelama juurdepääsu kataloogile, kus teil on WACSi (minu näites) (minu näites) ja sertifikaadi kataloogile) ja sertifikaadi kataloogile (C: programdata \\ Win-AcMe).

Seejärel RDP GW serveris käivitage WACS.exe, nagu eespool kirjeldatud, ja valite soovitud IIS veebisaidi (tavaliselt vaikimisi veebisait). Let's krüptida annab teile uue sertifikaadi, mis on paigaldatud veebilehel ja ülesanne ilmub planeerija automaatne värskendus sertifikaat.

Selle sertifikaadi käsitsi eksportida ja linkige see soovitud RDS-teenuseid SSL-i sidumise kaudu. Aga sa pead neid toiminguid käsitsi tegema iga 60 päeva tagant, kui uuesti vabastame krüpti sertifikaadi uuesti.

Me vajame skripti, mis kohe pärast vastuvõtmist (uuendamine) rakendame krüpteeritud sertifikaat selle RD Gateway jaoks.

Projekti Win-AcMe on valmis PowerShelli skripti ImportRdgateway.PS1 ( https://github.com/pkisharp/win-acme/tree/master/dist/Scripts.) Mis võimaldab installida valitud SSL sertifikaadi kaugtöölaua teenused. Skripti peamine puudus - peate käsitsi täpsustama uue sertifikaadi jäljend:
ImportRdgateway.ps1

Sertifikaadi printimise automaatseks saamiseks määratud IIS-veebisaidil kasutage modifitseeritud skripti (tavapärastel ImportRDGAteway.PS1-de põhjal).

Juhend ja modifitseeritud Powershelli skript saadetakse meie lugeja Antonile, mille eest me saadame talle tänulikkust kiirguse!

Seda skripti saate käivitada käsitsi:

powershell -File ImphartRDGATEWAY_CERT_FROM_IIS.PS1

Kui teil on RDS Gateway elab standard IISi veebilehel "vaikimisi veebisait" indeks 0, saate kasutada skripti ilma muudatusteta.

Et saada saidi ID IIS, avage PowerShelli konsool ja täitke:

Impordi-mooduli veebiharministratsioon
Get-Childitem IIS: saidid

Hankige nimekiri:

ID-veerus on teie saidi indeks täpsustatud, võtke sellest üksus. Saadud saidi indeks peab olema määratud 0-ga 27 PowerShelli skripti liinil:

$ Newcestumbrint \u003d (Get-Chili Iis: SSLBindings) .ThumbPint

Nüüd avage Win-ACME uuendamise planeerija töö (ACME-v02.api.letsncrypt.org) ja lisage uus töö vahekaardil Tegemis, mis juhib pärast sertifikaadi uuendamist impordiaine_cert_from_iis.ps1 skripti.

Selleks, et mitte muuta õigusi PowerShelli skriptide täitmiseks, saate skripti helistada käsuga:

Powershell.exe -executionPolicy bypass -File c: inetpub lumencrypt \\ tPORTRDGATEWAY_CERT_FROM_IIS.PS1

Nüüd toimub SSL SSL-i siduva skript RDS-teenuste jaoks kohe pärast Let-krüpti sertifikaadi laiendamist. Samal ajal käivitatakse RD Gateway Service automaatselt käsuga:

Tsgateway Service taaskäivitamisel on kõik praegused kasutaja seansid katki, mistõttu on soovitav muuta sertifikaadi värskendamise töö sagedust 1 aja jooksul 60 päeva jooksul.

Pange tähele, et sertifikaatide krüptimise sertifikaate kasutatakse praegu laialdaselt paljudes saitidel. suurettevõtted Ja nad usaldavad kõiki brausereid. Loodan, et see saatus vabakeskus Let's krüptimise sertifitseerimine ei mõista saatust Wosigoni ja StartCom.