跳到主要內容

讓IIS自動安裝Let’s Encrypt 免費 SSL,並到期自動更新



由於GOOGLE引擎在2017年1月開始,會將沒有SSL的網站標示為不安全,並會優先收錄具有SSL的站台,因此為網站準備一個SSL證書勢在必行,但是一個SSL證書的價格並不是小網站站主所能負擔的,於是網路上就出現了一個叫做Let’s Encrypt 的認證機構,他們推出了一個免費的SSL認證計畫,頓時間SSL變成人人可低成本取得,只是這個免費SSL的有效期間很短,只有3個月。

可以參考 "SSL For Free 免費 SSL 憑證申請,使用 Let’s Encrypt 最簡單方法教學!"這篇文章的步驟進行申請,這裡只是申請並下載憑證,產生的憑證是 .crt ,IIS 只能使用 .pfx 憑證檔,沒有辦法直接使用在IIS上面,必須再經過轉換,你可以參考 "使用 SSL For Free 產生 Let’s Encrypt SSL 憑證上傳給 IIS 站台使用",這篇文章將會教你如何將.crt轉成.pfx,然後在IIS中安裝憑證。

以上方法都是手動設定,說真的每次設定都要手動,一個兩個網站還好,要是有很多個網站,或是忘記更新也是很麻煩的,還好有大神寫好了一個能夠自動下載憑證、幫你安裝好憑證,再幫你紀錄好什麼時候該更新憑證,透過一些小手腳就能幫你自動化更新憑證,讓你安枕無憂的好程式。

首先你必須下載 https://github.com/Lone-Coder/letsencrypt-win-simple/releases/ 最後發行版本。

下載後,解壓縮到任一目錄底下。


.config 是這個軟體的設定檔,大致上不需修改,預設設定都很合理,例如更新天數設定60天,其主要用意就是讓你有時間去反應,以免時間到期來不及反應。
有興趣修改設定的人可以參考設定用法

letsencrypt.exe 就是這次的主角,你可以直接執行,會有互動式選項讓你直接選擇,並且幫你自動下載憑證、安裝憑證。

大致上的過程如下

1.執行程式,會先問你在SSL For Free所設定好的電子信箱位置,如果你還沒有設定好,請你參考文章開頭所介紹的網站,執行到可下載憑證並設定通知信箱為止。
2.接著問你要做哪些事情:

  • 選N:建立一個新的憑證,如果你還沒有憑證。



3.然後問你是要為一個網站產生憑證,還是一群,還是一個憑證全部網站通用或者是手動輸入,你可以選擇 1

4.接著就會顯示你目前IIS共有哪些網站,選你要安裝SSL的網站。

5.然後他就安裝好了。

是不是很方便!!而且他還有排程等功能。但是目前為止都需要手動,不是說自動安裝與自動更新嗎?

是的,由於這個程式提供了很多參數可以讓我們執行特定動作,如安裝憑證、更新憑證等功能,因此我們要利用這個特性,建立一個安裝憑證的批次檔,一個更新憑證的批次檔,然後利用伺服器的工作排程器,讓我們在特定時間內更新,因此我們現在要建立兩個批次檔。


建立憑證的批次檔指令如下:

letsencrypt.exe --plugin  --accepttos --usedefaulttaskuser --manualhost 你的網站網域名稱 --webroot 你的網頁存放實體目錄 --emailaddress 你的信箱

範例:
letsencrypt.exe --plugin  --accepttos --usedefaulttaskuser --manualhost www.himan.cc --webroot E:\WEBSITE\HIMAN --emailaddress mymail@gmail.com

更新憑證的批檔指令如下:
letsencrypt.exe --renew --accepttos --usedefaulttaskuser --manualhost 你的網站網域名稱 --webroot 你的網頁存放實體目錄 --emailaddress 你的信箱

範例:
letsencrypt.exe --renew  --accepttos --usedefaulttaskuser --manualhost www.himan.cc --webroot E:\WEBSITE\HIMAN --emailaddress mymail@gmail.com

大致說明一下我們會用到的指令

  • --plugin : 繞過主選單,直接進行安裝
  • --accepttos : 接受ACME服務條款,主要是跳過某些可能會彈出需要你確認的畫面
  • --usedefaulttaskuser :避免某些多執行緒問題,會使用當前的用戶去執行
  • --manualhost : 手動輸入網域名稱
  • --webroot : 網頁存放的目錄
  • --emailaddress : 你在SSL for Free 所填的提醒MAIL 
  • --renew : 更新憑證,當你使用這個指令時,會去查你的憑證是否已經超過設定檔中的更新天數,如果沒有超過是不會幫你更新的
如果你有興趣看更多,請到指令說明頁看看。

接下來只要我們將更新憑證的批次檔用工作排程排上行程,他就可以長時間為我們更新憑證。

工作排程的部分就不多做贅述了,但是需注意的地方是,工作排程的安全性選項,要設定不論使用者登入與否均執行,並且以最高權限執行。








標籤:

留言

  1. Unknown2019年11月21日 晚上7:02

    請問,自動下載安裝的憑證我在iis無法匯處key,mmc也無法匯出,選項是反灰的,請為要怎麼匯出啊

    回覆刪除
  2. 周建良2020年3月24日 凌晨12:09

    最新的EXE已經更名囉!
    wacs.exe

    回覆刪除

張貼留言

這個網誌中的熱門文章

問題解決: 類型 'Expression<>' 定義在未參考的組件中。您必須加入組件 'System.Core, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089' 的參考。

錯誤 CS0012 類型 'Expression<>' 定義在未參考的組件中。您必須加入組件 'System.Core, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089' 的參考。 解決方法: 這是 Visual Studio 已知錯誤,解決方法 : 1. 將專案卸載 2. 在卸載的專案上面右鍵編輯 .csproj 3 . 找到 Reference  後添加這段進去 < Reference   Include ="System.Core">       < EmbedInteropTypes >False</ EmbedInteropTypes >       < Private >True</ Private >     </ Reference > 4. 儲存後重新載入專案即可
1 則留言
閱讀完整內容

29種 ARDUINO 編輯器

1.Arduino 原廠 https://www.arduino.cc/ 2.Mixly http://maker.bnu.edu.cn/mixly 3.ArduBlock (Java) http://blog.ardublock.com/ 4.Mind+ http://www.oschina.net/p/mindplus 5.ArduinoBox 失效,僅剩綠色版 6. Brackets http://brackets.io/ 7.Arduino Web Editer https://create.arduino.cc/redeem 8. Scratch http://s4a.cat/ 9. Krobot https://www.kenrobot.com/ 10. Minibloq http://blog.minibloq.org/ 11. Modkit Micro http://www.modkit.com/micro 12. Visuino ( 商業 ) https://www.visuino.com/ 13. Embrio ( 商業 ) http://embrio.io/ 14. Flowcode ( 簡易免費+商業 ) 15. Soapbox Snap http://soapboxautomation.com/products/soapbox-snap/ 16.M yrobotlab http://www.myrobotlab.org/ 17. Blockly https://developers.google.com/blockly/ 18. Druid Builder http://devicedruid.com ( 網站失效,但可以在微軟應用商城下載 ) 19. Teensy Audio Library https://www.pjrc.
1 則留言
閱讀完整內容