免费SSL证书 - Let's Encrypt申请(WINDOWS + IIS版)
Let’s Encrypt 项目是由互联网安全研究小组ISRG,Internet Security Research Group主导并开发的一个新型数字证书认证机构CA,Certificate Authority。该项目旨在开发一个自由且开放的自动化 CA 套件,并向公众提供相关的证书免费签发服务以降低安全通讯的财务、技术和教育成本。在过去的一年中,互联网安全研究小组拟定了 ACME 协议草案,并首次实现了使用该协议的应用套件:服务端 Boulder 和客户端 letsencrypt。
目前网络上大部分的申请教程都是基于linux的,我们这篇就是讲述如何在Windows服务器申请LE证书并安装到Nginx上的,如果想在windows服务器中安装LE的证书我们先需要利用:
ACMESharp:https://github.com/ebekker/ACMESharp
安装ACMESharp之前,我们必须保证服务器PowerShell版本是5.0以上,如果不是,请先升级PowerShell (版本查看命令是:$PSVersionTable.PSVersion)。
然后以管理员权限运行打开PowerShell执行:
PS> Install-Module -Name ACMESharp
来安装ACMESharp,安装过程需要看网络情况,服务器有条件的用vpn安装,没条件的多尝试几次。
ACMESharp安装完成后我们来开始申请LE证书:
第一步:导入ACMESharp模块
PS> Import-Module ACMESharp
第二步:初始化ACMEVault来保存和管理证书信息
PS> Initialize-ACMEVault
第三步:在LE填写注册信息,接受注册协议(注意替换命令中的邮箱地址)
PS> New-ACMERegistration -Contacts mailto:somebody@example.org -AcceptTos
第四步:创建一个你要申请域名身份(注意替换命令中的网址地址,下文不再继续提示)
PS> New-ACMEIdentifier -Dns myserver.example.com -Alias dns1
第五步:认证域名所有权
如果是IIS web服务器执行:
PS> Complete-ACMEChallenge dns1 -ChallengeType http-01 -Handler iis -HandlerParameters @{ WebSiteRef = '此处填IIS上的网站名' }
如果是其它web服务器,比如nginx需要自己配置的执行:
PS> Complete-ACMEChallenge dns1 -ChallengeType http-01 -Handler manual == Manual Challenge Handler - HTTP == * Handle Time: [1/12/2016 1:16:34 PM] * Challenge Token: [2yRd04TwqiZTh6TWLZ1azL15QIOGaiRmx8MjAoA5QH0] To complete this Challenge please create a new file under the server that is responding to the hostname and path given with the following characteristics: * HTTP URL: [http://myserver.example.com/.well-known/acme-challenge/2yRd04TwqiZTh6TWLZ1azL15QIOGaiRmx8MjAoA5QH0] * File Path: [.well-known/acme-challenge/2yRd04TwqiZTh6TWLZ1azL15QIOGaiRmx8MjAoA5QH0] * File Content: [2yRd04TwqiZTh6TWLZ1azL15QIOGaiRmx8MjAoA5QH0.H3URk7qFUvhyYzqJySfc9eM25RTDN7bN4pwil37Rgms] * MIME Type: [text/plain] ------------------------------------
执行完毕之后看返回结果LE的服务器在执行下一步时会访问你的这个地址: http://myserver.example.com/.well-known/acme-challenge/2yRd04TwqiZTh6TWLZ1azL15QIOGaiRmx8MjAoA5QH0
返回的文本内容是:
2yRd04TwqiZTh6TWLZ1azL15QIOGaiRmx8MjAoA5QH0.H3URk7qFUvhyYzqJySfc9eM25RTDN7bN4pwil37Rgms
在IIS中,执行以上命令后,会自动在指定的网站目录下创建.well-known文件夹与相关文件,只要直接查看就行。(2yRd04TwqiZTh6TWLZ1azL15QIOGaiRmx8MjAoA5QH0这串字符串在实际中请替换成自己的)
如果准备好了,我们继续下一步。
第六步:提交认证
PS> Submit-ACMEChallenge dns1 -ChallengeType http-01
提交之后我们接下来就需要等待LE服务器来验证了,我们可以通过命令:
PS> update-ACMEIdentifier dns1 ... Status : valid ...
来检查验证状态:
pedding 正在等待验证
valid 验证通过
invalid 验证失败,如果验证失败需要重新申请一次,也就是我们的第四步开始重新做一次,当然alias名称需要更换,因为已经存在记录了。
如果返回valid表示验证成功后我们继续下一步。
第七步:创建证书申请
PS> New-ACMECertificate dns1 -Generate -Alias cert1PS> Submit-ACMECertificate cert1
我们通过以下来检查证书的状态:
PS> Update-ACMECertificate cert1 Id : 9182eb22-cd57-468e-946e-e0b0d8843906 Alias : cert2 Label : Memo : IdentifierRef : 198488a7-c778-488c-978b-606a0181deb9 KeyPemFile : 9182eb22-cd57-468e-946e-e0b0d8843906-key.pem CsrPemFile : 9182eb22-cd57-468e-946e-e0b0d8843906-csr.pem GenerateDetailsFile : 9182eb22-cd57-468e-946e-e0b0d8843906-gen.json CertificateRequest : ACMESharp.CertificateRequest CrtPemFile : 9182eb22-cd57-468e-946e-e0b0d8843906-crt.pem CrtDerFile : 9182eb22-cd57-468e-946e-e0b0d8843906-crt.der IssuerSerialNumber : SerialNumber : 00FAFC7F409C770B76EB9BA7445EC27B24494A Thumbprint : 9A59B855EA79B3E9DE1C14307E6A21851B3C0CE8 Signature : 9A59B855EA79B3E9DE1C14307E6A21851B3C0CE8 SignatureAlgorithm : sha256RSA
如果结果像以上情况则表示申请完毕,我们来下载证书文件吧。
第八步:下载证书文件
下载私钥:
PS> Get-ACMECertificate cert1 -ExportKeyPEM "C:\inetpub\wwwroot\网站目录\cert1.key.pem"
下载LE证书:
PS> Get-ACMECertificate cert1 -ExportCertificatePEM "C:\inetpub\wwwroot\网站目录\cert1.crt.pem" -ExportCertificateDER "C:\inetpub\wwwroot\网站目录\cert1.crt"
下载CA中间证书:
PS> Get-ACMECertificate cert1 -ExportIssuerPEM "C:\inetpub\wwwroot\网站目录\cert1-issuer.crt.pem" -ExportIssuerDER "C:\inetpub\wwwroot\网站目录\cert1-issuer.crt"
执行以上命令如果提示 Issuer certificate hasn't been resolved异常的话,按以下方式操作:
1.打开https://letsencrypt.org/certificates/,在服务器下载一下:Active ->ISRG Root X1.pem 保存到C:\inetpub\wwwroot\网站目录(这个目录是你网站的实际目录,请根据具体情况替换)
2.然后:Update-ACMECertificate cert1
3.重复执行 “下载CA中间证书”的命令即可。
下载IIS用的PFX文件:
PS> Get-ACMECertificate cert1 -ExportPkcs12 "C:\inetpub\wwwroot\网站目录\cert1.pfx" PS> Get-ACMECertificate cert1 -ExportPkcs12 "C:\inetpub\wwwroot\网站目录\cert2.pfx" -CertificatePassword '你的密码'
如果是nginx的话只需要利用到上面三个证书文件,这里有一个特殊的地方,在nginx中ssl证书是在server中加入ssl信息:
server { server_name www.xxx.com; listen 443; ssl on; ssl_certificate D://full.pem; ssl_certificate_key D://key.pem; }
其中full.pem是由LE证书文件和CA中间证书合并的来的,把CA中间证书内容添加到LE证书中合并为一个full.pem文件,作为公钥,另一个就是私钥key.pem。
配置好之后启动nginx直接在浏览器加上https访问你的域名吧!
LE证书默认有三个月的有效期,我们可以每个月通过自动脚本来定是续订一个证书,续订证书的步骤就是重复第七部和第八步然后应用新证书。
注意:在https站点中所有的外部资源都需要通过https访问,否则会报安全错误(图片、视频等资源可以通过http访问但是控制台会出现警告)
文章转载于 http://www.07net01.com/linux/2016/03/1353540.html,本人根据实际使用情况(2017/2/14),略有补充与修改。
免费SSL证书 - Let's Encrypt申请(WINDOWS + IIS版)的更多相关文章
- 申请免费通配符证书(Let's Encrypt)并绑定IIS
申请免费通配符证书(Let's Encrypt)并绑定IIS 2018-05-25 18:01 by Giant Liu, 800 阅读, 4 评论, 收藏, 编辑 什么是 Let’s Encrypt ...
- 申请免费通配符证书(Let's Encrypt)并绑定IIS(转载)
本文转载自https://blog.csdn.net/qq_41608008/article/details/80491447 什么是 Let's Encrypt? 部署 HTTPS 网站的时候需要证 ...
- 免费SSL证书Let's Encrypt(certbot)安装使用教程
免费SSL证书Let's Encrypt(certbot)安装使用教程 https://www.vpser.net/build/letsencrypt-certbot.html
- Windows Ubuntu Bash申请免费通配符证书(Let's Encrypt)并绑定IIS
什么是 Let’s Encrypt? 部署 HTTPS 网站的时候需要证书,证书由 CA 机构签发,大部分传统 CA 机构签发证书是需要收费的,这不利于推动 HTTPS 协议的使用. Let’s En ...
- 免费SSL证书Let’s Encrypt
由于我们公司测试环境使用的这个.自己没有亲手搭建使用,但是知道有这个东西.以后使用的话自己直接搞起. 连接文档:http://www.5icool.org/a/201512/a15271.html ...
- StartSSL免费SSL证书申请和账户注册完整过程
StartSSL算是比较早提供免费SSL证书的第三方提供商,我们可以免费申请且免费续期使用到有需要HTTPS网址的用户.关于网站使用SSL证书主要还是因为谷歌在向导说明中提到如果一个网站使用到SSL证 ...
- 使用Let’s Encrypt创建nginx免费SSL证书
资料参考: https://www.freehao123.com/top-8-free-ssl-cert/ 八大免费SSL证书-给你的网站免费添加Https安全加密 https://www.fre ...
- 八大免费SSL证书-给你的网站免费添加Https安全加密
评论» https://www.freehao123.com/top-8-free-ssl-cert/ 文章目录 Let's Encrypt StartSSL SSL CloudFlare SSL ...
- windows下 申请免费ssl证书的方法 (letsencrypt)
Let's Encrypt,官网是https://letsencrypt.org/,它是一个由各大公司赞助的公益组织: 有趋势有需求,自然也有免费可用.免费的SSL证书中,首推就是Let's Encr ...
随机推荐
- python+mitmproxy抓包过滤+redis消息订阅+websocket实时消息发送,日志实时输出到web界面
本实例实现需求 在游戏SDK测试中,经常需要测试游戏中SDK的埋点日志是否接入正确.本实例通过抓包(客户端http/https 请求)来判定埋点日志是是否接入正确. 实现细节:使用django项目,后 ...
- 在Hive中使用Avro
作者:过往记忆 | 新浪微博:左手牵右手TEL | 可以转载, 但必须以超链接形式标明文章原始出处和作者信息及版权声明博客地址:http://www.iteblog.com/文章标题:<在Hiv ...
- input type=file 怎么样调取用户手机照相机
input 有个属性accept="image/*" 这样就可以了,同时在网上看到了其他答案,试了下没啥效果.写记录下来 如下: 使用input:file标签, 去调用系统默认相机 ...
- 【dlbook】数学基础
[代数] Moore-Penrose 伪逆 [概率信息论] 自信息,香农熵,衡量两个分布的差异:kl散度 \ 交叉熵 [数值] 溢出: softmax计算的时候要关注上溢和下溢,如果所有X都相等且为很 ...
- SPS和PPS有哪些重要的参数?
SPS: Level_idc: Bit_depth_luma_minus8: Bit_depth_chroma_minus8: Pic_order_cnt_type: Num_ref_frames: ...
- mac 电脑学习笔记 -
新买了个mac mini,第一次用mac,有点linux基础,借此机会记录一下自己的学习过程. 1.个人设置文件 .profile export LS_OPTIONS='--color=auto' # ...
- poj 3517
题目链接 http://poj.org/problem?id=3517 题意 约瑟夫环 要求最后删掉的那个人是谁: 方法 理解递推公式就行了 考虑这样一组数据 k ...
- HDU - 6185 :Covering(矩阵乘法&状态压缩)
Bob's school has a big playground, boys and girls always play games here after school. To protect bo ...
- P2P技术基础: 关于TCP打洞技术
4 关于TCP打洞技术 建立穿越NAT设备的p2p的 TCP 连接只比UDP复杂一点点,TCP协议的“打洞”从协议层来看是与UDP的“打洞”过程非常相似的.尽管如此,基于TCP协议的打洞至今为止还没有 ...
- Spring、Spring MVC、Struts2优缺点整理
Spring 及其优点 大部分项目都少不了Spring的身影,为什么大家对他如此青睐,而且对他的追捧丝毫没有减退之势呢 Spring是什么: Spring是一个轻量级的DI和AOP容器框架. 说它轻量 ...