跳到主要內容

讓IIS自動安裝Let’s Encrypt 免費 SSL,並到期自動更新



由於GOOGLE引擎在2017年1月開始,會將沒有SSL的網站標示為不安全,並會優先收錄具有SSL的站台,因此為網站準備一個SSL證書勢在必行,但是一個SSL證書的價格並不是小網站站主所能負擔的,於是網路上就出現了一個叫做Let’s Encrypt 的認證機構,他們推出了一個免費的SSL認證計畫,頓時間SSL變成人人可低成本取得,只是這個免費SSL的有效期間很短,只有3個月。

可以參考 "SSL For Free 免費 SSL 憑證申請,使用 Let’s Encrypt 最簡單方法教學!"這篇文章的步驟進行申請,這裡只是申請並下載憑證,產生的憑證是 .crt ,IIS 只能使用 .pfx 憑證檔,沒有辦法直接使用在IIS上面,必須再經過轉換,你可以參考 "使用 SSL For Free 產生 Let’s Encrypt SSL 憑證上傳給 IIS 站台使用",這篇文章將會教你如何將.crt轉成.pfx,然後在IIS中安裝憑證。

以上方法都是手動設定,說真的每次設定都要手動,一個兩個網站還好,要是有很多個網站,或是忘記更新也是很麻煩的,還好有大神寫好了一個能夠自動下載憑證、幫你安裝好憑證,再幫你紀錄好什麼時候該更新憑證,透過一些小手腳就能幫你自動化更新憑證,讓你安枕無憂的好程式。

首先你必須下載 https://github.com/Lone-Coder/letsencrypt-win-simple/releases/ 最後發行版本。

下載後,解壓縮到任一目錄底下。


.config 是這個軟體的設定檔,大致上不需修改,預設設定都很合理,例如更新天數設定60天,其主要用意就是讓你有時間去反應,以免時間到期來不及反應。
有興趣修改設定的人可以參考設定用法

letsencrypt.exe 就是這次的主角,你可以直接執行,會有互動式選項讓你直接選擇,並且幫你自動下載憑證、安裝憑證。

大致上的過程如下

1.執行程式,會先問你在SSL For Free所設定好的電子信箱位置,如果你還沒有設定好,請你參考文章開頭所介紹的網站,執行到可下載憑證並設定通知信箱為止。
2.接著問你要做哪些事情:

  • 選N:建立一個新的憑證,如果你還沒有憑證。



3.然後問你是要為一個網站產生憑證,還是一群,還是一個憑證全部網站通用或者是手動輸入,你可以選擇 1

4.接著就會顯示你目前IIS共有哪些網站,選你要安裝SSL的網站。

5.然後他就安裝好了。

是不是很方便!!而且他還有排程等功能。但是目前為止都需要手動,不是說自動安裝與自動更新嗎?

是的,由於這個程式提供了很多參數可以讓我們執行特定動作,如安裝憑證、更新憑證等功能,因此我們要利用這個特性,建立一個安裝憑證的批次檔,一個更新憑證的批次檔,然後利用伺服器的工作排程器,讓我們在特定時間內更新,因此我們現在要建立兩個批次檔。


建立憑證的批次檔指令如下:

letsencrypt.exe --plugin  --accepttos --usedefaulttaskuser --manualhost 你的網站網域名稱 --webroot 你的網頁存放實體目錄 --emailaddress 你的信箱

範例:
letsencrypt.exe --plugin  --accepttos --usedefaulttaskuser --manualhost www.himan.cc --webroot E:\WEBSITE\HIMAN --emailaddress mymail@gmail.com

更新憑證的批檔指令如下:
letsencrypt.exe --renew --accepttos --usedefaulttaskuser --manualhost 你的網站網域名稱 --webroot 你的網頁存放實體目錄 --emailaddress 你的信箱

範例:
letsencrypt.exe --renew  --accepttos --usedefaulttaskuser --manualhost www.himan.cc --webroot E:\WEBSITE\HIMAN --emailaddress mymail@gmail.com

大致說明一下我們會用到的指令

  • --plugin : 繞過主選單,直接進行安裝
  • --accepttos : 接受ACME服務條款,主要是跳過某些可能會彈出需要你確認的畫面
  • --usedefaulttaskuser :避免某些多執行緒問題,會使用當前的用戶去執行
  • --manualhost : 手動輸入網域名稱
  • --webroot : 網頁存放的目錄
  • --emailaddress : 你在SSL for Free 所填的提醒MAIL 
  • --renew : 更新憑證,當你使用這個指令時,會去查你的憑證是否已經超過設定檔中的更新天數,如果沒有超過是不會幫你更新的
如果你有興趣看更多,請到指令說明頁看看。

接下來只要我們將更新憑證的批次檔用工作排程排上行程,他就可以長時間為我們更新憑證。

工作排程的部分就不多做贅述了,但是需注意的地方是,工作排程的安全性選項,要設定不論使用者登入與否均執行,並且以最高權限執行。








標籤:

留言

  1. Unknown2019年11月21日晚上7:02

    請問,自動下載安裝的憑證我在iis無法匯處key,mmc也無法匯出,選項是反灰的,請為要怎麼匯出啊

    回覆刪除
  2. 周建良2020年3月24日凌晨12:09

    最新的EXE已經更名囉!
    wacs.exe

    回覆刪除

張貼留言

這個網誌中的熱門文章

問題解決: 類型 'Expression<>' 定義在未參考的組件中。您必須加入組件 'System.Core, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089' 的參考。

錯誤 CS0012 類型 'Expression<>' 定義在未參考的組件中。您必須加入組件 'System.Core, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089' 的參考。 解決方法: 這是 Visual Studio 已知錯誤,解決方法 : 1. 將專案卸載 2. 在卸載的專案上面右鍵編輯 .csproj 3 . 找到 Reference  後添加這段進去 < Reference   Include ="System.Core">       < EmbedInteropTypes >False</ EmbedInteropTypes >       < Private >True</ Private >     </ Reference > 4. 儲存後重新載入專案即可
1 則留言
閱讀完整內容

Visual Studio 問題處理-執行選取的程式碼產生器時發生錯誤:值-1在可接受的[0,2147483647]範圍之外

Visual Studio 問題處理 開啟之前完成的MVC專案後,要建立新控制器時,會出現這樣的錯誤 執行選取的程式碼產生器時發生錯誤:值 -1 在可接受的 [0,2147483647] 範圍之外 原本以為是安裝了什麼擴充套件,把所有套件移除後,情況依然沒有改善,於是重新安裝Visual Studio 也是一樣,而且奇怪的是,新開的MVC專案不會有這個問題,都是之前存檔的專案,於是我猜可能是我在專案裡面有加了那些套件所導致,因此我一個一個套件移除嘗試,終於找到幾個比較可疑的套件,當我把這些套件移除掉的時候,我就可以建立新的控制器了。 以下為移除套件的做法 1.打開WEB專案跟目錄底下的 packages.config 把這幾個套件註解掉,有就註解掉。 Microsoft.Extensions.DependencyInjection.Abstractions Microsoft.Extensions.Logging Microsoft.Extensions.Logging.Abstractions Microsoft.Extensions.Options Microsoft.Extensions.Primitives 因為你用NUGET管理器去移除很慢所以就用這個方式弄掉。 2.把WEB專案卸載 然後打開專案檔 一樣註解掉 再將專案重新載入,並將專案重新建置即可。 我目前處理這個問題的方式就是用這樣的方式,都可以解決這個問題,但是我不知道是基於什麼原理讓套件影響到檔案的建立。 以上就是我在這個問題的解決方式,如果您有更好的方法,歡迎你一起分享出來,在此先謝謝您了。
張貼留言
閱讀完整內容