由於GOOGLE引擎在2017年1月開始,會將沒有SSL的網站標示為不安全,並會優先收錄具有SSL的站台,因此為網站準備一個SSL證書勢在必行,但是一個SSL證書的價格並不是小網站站主所能負擔的,於是網路上就出現了一個叫做Let’s Encrypt 的認證機構,他們推出了一個免費的SSL認證計畫,頓時間SSL變成人人可低成本取得,只是這個免費SSL的有效期間很短,只有3個月。
可以參考 "SSL For Free 免費 SSL 憑證申請,使用 Let’s Encrypt 最簡單方法教學!"這篇文章的步驟進行申請,這裡只是申請並下載憑證,產生的憑證是 .crt ,IIS 只能使用 .pfx 憑證檔,沒有辦法直接使用在IIS上面,必須再經過轉換,你可以參考 "使用 SSL For Free 產生 Let’s Encrypt SSL 憑證上傳給 IIS 站台使用",這篇文章將會教你如何將.crt轉成.pfx,然後在IIS中安裝憑證。
以上方法都是手動設定,說真的每次設定都要手動,一個兩個網站還好,要是有很多個網站,或是忘記更新也是很麻煩的,還好有大神寫好了一個能夠自動下載憑證、幫你安裝好憑證,再幫你紀錄好什麼時候該更新憑證,透過一些小手腳就能幫你自動化更新憑證,讓你安枕無憂的好程式。
首先你必須下載 https://github.com/Lone-Coder/letsencrypt-win-simple/releases/ 最後發行版本。
下載後,解壓縮到任一目錄底下。
.config 是這個軟體的設定檔,大致上不需修改,預設設定都很合理,例如更新天數設定60天,其主要用意就是讓你有時間去反應,以免時間到期來不及反應。
有興趣修改設定的人可以參考設定用法。
letsencrypt.exe 就是這次的主角,你可以直接執行,會有互動式選項讓你直接選擇,並且幫你自動下載憑證、安裝憑證。
大致上的過程如下
1.執行程式,會先問你在SSL For Free所設定好的電子信箱位置,如果你還沒有設定好,請你參考文章開頭所介紹的網站,執行到可下載憑證並設定通知信箱為止。
2.接著問你要做哪些事情:
- 選N:建立一個新的憑證,如果你還沒有憑證。
3.然後問你是要為一個網站產生憑證,還是一群,還是一個憑證全部網站通用或者是手動輸入,你可以選擇 1
4.接著就會顯示你目前IIS共有哪些網站,選你要安裝SSL的網站。
是的,由於這個程式提供了很多參數可以讓我們執行特定動作,如安裝憑證、更新憑證等功能,因此我們要利用這個特性,建立一個安裝憑證的批次檔,一個更新憑證的批次檔,然後利用伺服器的工作排程器,讓我們在特定時間內更新,因此我們現在要建立兩個批次檔。
建立憑證的批次檔指令如下:
letsencrypt.exe --plugin --accepttos --usedefaulttaskuser --manualhost 你的網站網域名稱 --webroot 你的網頁存放實體目錄 --emailaddress 你的信箱
範例:
letsencrypt.exe --plugin --accepttos --usedefaulttaskuser --manualhost www.himan.cc --webroot E:\WEBSITE\HIMAN --emailaddress mymail@gmail.com
更新憑證的批檔指令如下:
letsencrypt.exe --renew --accepttos --usedefaulttaskuser --manualhost 你的網站網域名稱 --webroot 你的網頁存放實體目錄 --emailaddress 你的信箱
範例:
letsencrypt.exe --renew --accepttos --usedefaulttaskuser --manualhost www.himan.cc --webroot E:\WEBSITE\HIMAN --emailaddress mymail@gmail.com
大致說明一下我們會用到的指令
- --plugin : 繞過主選單,直接進行安裝
- --accepttos : 接受ACME服務條款,主要是跳過某些可能會彈出需要你確認的畫面
- --usedefaulttaskuser :避免某些多執行緒問題,會使用當前的用戶去執行
- --manualhost : 手動輸入網域名稱
- --webroot : 網頁存放的目錄
- --emailaddress : 你在SSL for Free 所填的提醒MAIL
- --renew : 更新憑證,當你使用這個指令時,會去查你的憑證是否已經超過設定檔中的更新天數,如果沒有超過是不會幫你更新的
如果你有興趣看更多,請到指令說明頁看看。
接下來只要我們將更新憑證的批次檔用工作排程排上行程,他就可以長時間為我們更新憑證。
工作排程的部分就不多做贅述了,但是需注意的地方是,工作排程的安全性選項,要設定不論使用者登入與否均執行,並且以最高權限執行。
請問,自動下載安裝的憑證我在iis無法匯處key,mmc也無法匯出,選項是反灰的,請為要怎麼匯出啊
回覆刪除最新的EXE已經更名囉!
回覆刪除wacs.exe