Iis о сертификатах


Содержание

Запрос сертификата IIS

Неважно каким веб-сервером вы пользуетесь, но вам обязательно придется столкнуться с сертификатами и запрос сертификата — это одна из основных задач, стоящих в самом начале их администрирования. Так уж сложилось, что моим постоянным партнером в этом деле является компания ЛидерТелеком, через которую я получаю все сертификаты, предназначающиеся для широкой публики. Речь идет о сертификатах для публичных веб-серверов, порталов организации и так далее. В статье я рассмотрю процесс получения сертификата IIS с проверкой домена.

Подробнее о цифровых сертификатах вы можете прочитать в основной статье тематики — Цифровые сертификаты.

Запрос сертификата IIS

Счастливым обладателям веб-сервера Apache можно сгенерировать запрос один раз и получать все последующие сертификаты с его помощью. Администраторам IIS такая роскошь недоступна. Может быть оно и к лучшему, ведь это однозначно более безопасный путь. Выходит в IIS любое продление сертификата фактически является получением сертификата заново.

Итак, открываем оснастку IIS, ставим указатель на имя текущего сервера и в центральном окне консоли выбираем пункт Сертификаты сервера:

Далее в левой панели нажимаем Запрос сертификата сервера:

В открывшемся окне заполняем данные организации. Если сертификат будет использоваться как публичный, например для веб-доступа на портал организации, то лучше укажите реальные данные, а не набор цифр и букв. Реальную информацию вам нужно будет указать также в том случае, если вы планируете получить сертификат в публичных центрах сертификации, как в моем случае.

В следующем окне указываем настройки, обратите внимание на длину ключа:

Ну и в конце концов нужно прописать путь для сохранения файла:

Далее отправляем запрос в центр сертификации, снабжаем его необходимыми комментариями. Организация-поставщик сертификатов может включить в него дополнительные имена по вашему запросу. Обычно несколько имен (как минимум от 2 штук) добавляется бесплатно, а все последующие за небольшую плату (если имен слишком много, то вам имеет смысл задуматься о получении сертификата WildCard, подробнее о них читайте в статье Получение сертификата WildCard).

Я традиционно пользуюсь услугами ЛидерТелеком, с помощью которых получаю сертификаты от Comodo. В данном случае я ограничился проверкой владения доменом, проверка организации в данном случае мне не нужна. Чтобы пройти проверку домена, нужно принять письмо с кодом на один из административных ящиков вашего домена (admin@. postmaster@.. И другие). Письмо выглядит примерно так:

Переходим по ссылке, вставляем код:

Дальше можно просто закрыть окно:

Выполняйте действия в одном браузере, желательно в IE (его советуют в большинстве случаев, но в хроме у меня все тоже работало). После проверки домена сертификат должен прийти к вам на почту в архиве, распакуйте его и установите на сервере. Чтобы экспортировать сертификат, не забывайте включить в него закрытый ключ, придумав для защиты сложный пароль. Расширение экспортируемого файла сертификата должно быть .pfx.

Установка SSL сертификата: Microsoft IIS 7.x

Установка на веб-сервере

1. Через кнопку Пуск и Панель управления откройте Internet Information Services Manager (IISM) и выберите имя соответствующего сервера.

2. Выберите раздел “Security” , далее нажмите на иконку “Server Certificates” .

3. Перейдите в раздел “Actions” и выберите пункт “Complete Certificate Request” .

4. Перейдите к оформлению запроса по установке сертификата: введите необходимую информацию – укажите путь к полученному сертификату и введите его имя. Имя сертификата не является его частью, но его использует администратор сервера, чтобы быстро различать сертификаты. Нажмите “ОК” .

Примечание: Microsoft IIS 7.x может выдать сообщение об ошибке следующего содержания: «Cannot find the certificate request associated with this certificate file. A certificate request must be completed on the computer where it was created» – не удается найти соответствующий сертификат. Также можно получить сообщение, начинающееся «ASN1 bad tag value met». Если Вы производите установку сертификата на том же сервере, где генерировали CSR, скорее всего сертификат уже установлен. Просто отмените диалог и нажмите F5, чтобы обновить список сертификатов сервера. Если новый сертификат появился в списке, можно перейти к следующему шагу. Если он отсутствует в списке, придется повторно выпустить сертификат, используя новый запрос CSR.

Установка на веб-сайте

1. Вернитесь в главное диалоговое окно Internet Information Services Manager (IISM) и перейдите в раздел «Connections» и выберите имя сервера, на который только что установили сертификат.

2. В меню Web Sites выберите имя сайта, который хотите защитить с помощью SSL сертификата. Справа в меню «Actions» (подпункт “Edit Site” ) выберите пункт “Bindings” .

3. Теперь добавьте порт 443.

Для этого нужно нажать кнопку “Add” , в результате чего откроется диалоговое окно “Add Site Binding” .

В меню «Type» выберите тип протокола https . В строке IP адрес следует выбрать IP address of the site или All Unassigned . Для соединений, защищенных SSL шифрованием, всегда используется порт 443 . В поле “SSL Certificate” укажите установленный сертификат.

Сохраните изменения, нажав кнопку “OK” .

Примечание: Если в этом окне уже присутствует портал https, просто выберите его и нажмите “Edit”. После этого в окне “SSL certificate” выберите ранее сгенерированное имя сертификата. Сохраните изменения кнопкой “OK”.

Нажмите “OK” в окне “Web Site Bindings” чтобы завершить установку.

Важно! Чтобы завершить установку сертификата, необходимо перезагрузить IIS/веб-сайт.

Iis о сертификатах

•Нажмите Start.
•Выберите Administrative Tools.
•Запустите Internet Services Manager.
•Нажмите Server Name.

•В главном меню кликните по кнопке «Server Certificates» в разделе «Security».

•Выберите меню «Actions» (справа), нажмите на «Complete Certificate Request».

•Откроется мастер Complete Certificate Request.

•Введите место расположения вашего IIS SSL сертификата (нужно нажать кнопку browse для определения место расположения Вашего IIS SSL сертификата. Этот файл должен иметь название «yourdomainname.crt»). Затем введите удобное имя. Оно не является частью самого сертификата, но используется администратором сервера для легкого различения сертификата. Затем нажмите Ok.

Примечание: Известно, что в IIS 7 появляется следующая ошибка: «Cannot find the certificate request associated with this certificate file. A certificate request must be completed on the computer where it was created.» Вы также можете увидеть ошибку констатирующую «ASN1 bad tag value met». Если этот тот же самый сервер, на котором Вы и CSR генерировали, то в большинстве случаев, то сертификат фактически установлен. Просто отмените диалог и нажмите «F5» для обновления списка сертификатов сервера. Если новый сертификат появился в списке, то Вы можете продолжать дальше. Если сертификат не появится в списке, то можно объединить сертификат и закрытый ключ в формат pfх через openssl и установить его.
Команда:

•После того как сертификат будет успешно установлен на сервер, Вам необходимо будет назначить этот сертификат на соответствующий вебсайт используя IIS.

•В главном окне Internet Information Services (IIS) Manager в меню «Connections» выберите имя сервера, на который был установлен сертификат.

•В «Sites»выберите сайт, который будет защищен SSL.

•В меню «Actions»(справа), нажмите на «Bindings».

•Откроется окно «Site Bindings».

• В окне «Site Bindings» нажмите «Add». Тем самым Вы откроете «Add Site Binding».

•В «Type» выберите https. IP адрес должен быть IP address of the site или All Unassigned, и порт, по которому будет защищен трафик посредством SSL, обычно 443. Сертификат, который ранее был установлен, должен быть задан в поле «SSL Certificate».

•Сертификат IIS SSL установлен.

•Важно: Вам нужно перезагрузить IIS / вебсайт для установки сертификата

Iis о сертификатах

IIS 8 – это встроенный веб-сервер, доступный на VPS на ОС Windows, который позволяет располагать сайты в сети Интернет, оперировать большим количеством стеком протоколов, создавать собственный файл-сервер и многое другое.

Администрирование веб-сервером осуществляется как из приложения рабочего стола (оптимально для новичков), так и из консоли (подойдет опытным сисадминам). Установка этого свидетельства на сервер не только защитит ваши данные, но и повысит уровень доверия клиентов.

Как работать с панелью управления

После покупки SSL-сертификата через панель управления установите полученные сертификаты .CRT и .CA на сервер. Файлы для его установки расположатся в панели управления (меню SSL):

Илон Маск рекомендует:  Что такое код rawurldecode

Схема установки сертификата Центра Сертификации (.CA) на IIS

1. Откройте командную строку (Win+R) и введите в ней mmc, чтобы открыть Корень консоли (Microsoft Management Console).

2. В новом окне Консоль1 (Console1) запустите меню Файл (File) и отметьте пункт Добавить или удалить оснастку (Add/Remove Snap-in).

3. В левой части открывшегося окна отметьте пункт Сертификаты (Certificates) и нажмите Добавить (Add).

4. Откроется оснастка диспетчера сертификатов (Certificates Snap-in) — выберите пункт Учетной записи компьютера (Computer Account).

5. Отметьте Локальный компьютер (Local Computer) во вкладке Выбор компьютера (Select Computer) и нажмите Готово (Finish).

6. Закройте оснастку Add or Remove Snap-in (кнопка ОК).

7. В этой же Консоли 1 (Console 1) отметьте пункт Промежуточные центры сертификации (Intermediate Certification Authorities), щелкните по нему правой кнопкой мыши — Все задачи (All tasks) — Импорт (Import).

8. Откроется окно — нажмите в нем Далее (Next). Выберите загруженный из панели управления 1cloud.ru файл .CA-сертификата и нажмите Открыть (Open).

9. В следующей вкладке отметьте Поместить все сертификаты в следующее хранилище (Place all certificates in the following store), нажмите Обзор (Browse) и выберите директорию Промежуточные центры сертификации (Intermediate Certification Authorities).

10. Нажмите OK и завершите Мастер импорта сертификатов.

11. Закройте Консоль 1 (Console 1), на запрос о сохранении изменений ответьте НЕТ.

Как установить SSL-сертификат сайта (.CRT) на IIS 8

1. Включите Диспетчер Серверов (Server Manager).

2. В меню Средства (Tools) отметьте Диспетчер служб IIS (Internet Information Services Manager).

3. В меню Подключения (Connections) в левой части нового окна выберите сервер, для которого вы ранее генерировали CSR-запрос на подпись сертификата.

Внимание: CSR (Code Signing Request) — это запрос на выдачу SSL-сертификата.

4. В центральной части окна откройте меню Сертификаты Сервера (Server Certificates).

5. Для файла .CRT проведите такие мероприятия:

В панели Действия (Actions) в правой части окна отметьте пункт Запрос установки сертификатов (Complete Certificate Request).

В новом окне заполните поля:

-Имя файла, содержащего ответ центра сертификации (File name containing the certificate authority’s response): выберите расположение полученного от центра сертификации файла SSL-сертификата (.crt) и нажмите Открыть (Open).

— В поле Понятное имя (Friendly Name) введите уникальное значение имени SSL-сертификата.

— Хранилище сертификатов для нового сертификата (Select a certificate store for the new certificate): выберите Личный (Personal).

Внимание: Для сертификатов Wildcard (сертификата для домена и его поддоменов) укажите имя, соответствующее значению Common Name, из SSL-сертификата. (напр., *.mydomain.com).

6. Для сертификата .PFX необходимо:

— В панели Действия (Actions) в правой части отметить пункт Импортировать (Import).

— В открывшемся окне ввести путь до сертификата и пароль для защиты вашего сертификата из панели управления, выбрать хранилище.

7. Меры для файлов .CRT и .PFX

В меню Подключения (Connections) в левой части окна Диспетчера IIS отметьте сервер, для которого был установлен SSL-сертификат. В раскрывающемся списке сайтов на сервере выберите сайт, который нужно защитить с помощью SSL-сертификата (выполните Привязку (Binding)). В панели Действия (Actions) в правой части окна отметьте Привязки (Bindings).

8. В новом окне нажмите Добавить (Add), и заполните поля:


Внимание: для привязки Wildcard-сертификата следует отдельно привязать каждый поддомен (напр., www.mydomain.com, subdomain.mydomain.com)

IP-адрес (IP address): все неназначенные или IP адрес сервера, где расположен веб-сайт;

Имя узла (Hostname): доменное имя, для которого выпущен сертификат (напр., www.mydomain.com);

SSL-сертификат (SSL certificate): отметьте загруженный из панели файл .CRT-сертификата.

9. В панели Управление веб-сайтом (Manage Web-Site) в правой части окна Диспетчера IIS нажмите Перезапустить (Restart), чтобы завершить установку сертификата.

На этом установка SSL-сертификата на веб-сервер IIS 8 завершена!

IIS — SSL сертификат Let’s Encrypt

Сегодня автоматизируем установку бесплатного SSL сертификата на сайт, который работает на web-сервере IIS 10. Операционная система Microsoft Windows 2020. Сертификат выдается лишь на 90 дней, но его всегда можно быстро обновить в автоматическом режиме.

Наличие SSL сертификата для сайта позволяет защитить данные пользователей, передаваемые по сети и гарантировать целостность переданных данных. Хотя, если вы попали на эту статью, то вы уже знаете для чего вам нужен сертификат.

Let’s Encrypt — центр сертификации, начавший работу в бета-режиме с 3 декабря 2015 года, предоставляющий бесплатные криптографические сертификаты X.509 для TLS-шифрования (HTTPS). Процесс выдачи сертификатов полностью автоматизирован. https://letsencrypt.org/

Для установки сертификата будем использовать консольную утилиту LetsEncrypt-Win-Simple.

Подготовка

LetsEncrypt-Win-Simple берём здесь:

Я скачал версию v2.0.5.246. Распаковываем архив.

Папка win-acme.v2.0.5.246 нам потом пригодится для автоматического продления сертификатов, которое будет запускаться через Task Scheduler, не удаляйте.

При запуске wacs.exe хочет .NET Framework 4.7.2.

Нас отправляют на сайт:

Качаем .NET Framework 4.7.2 и запускаем установку.

Принимаем лицензионное соглашение, Install.

.NET Framework 4.7.2 установлен.

Перезагружаем сервер. Подготовка к установке сертификатов завершена.

Устанавливаем SSL сертификат

Запускаем wacs.exe под администратором.

Для начала сгенерируем простой сертификат. Для этого выбираем Create new certificate, N. Нас спрашивают, какой сертификат делаем.

Для тестирования генерируем простой сертификат без псевдонимов (для установки сертификата с псевдонимами выберите 2). ;Пишем 1. Нам показывают список всех доменов, забинденных в IIS.

Жертвой будет setpizza.com. Пишем 5.

Нужно зарегистрироваться, указываем свой e-mail администратора, или несколько через запятую.

Нужно принять лицензионное соглашение. Если написать «y», то откроется PDF файл с соглашением. Принимаем лицензионное соглашением.

Проверяем сертификат

Заходим на https://setpizza.com/

Всё работает, сертификат есть.

В хранилище сертификатов:

Let’s Encrypt устанавливает также сертификаты промежуточных центров сертификации.

443 порт добавился автоматически, сертификат выбрался автоматически.

В планировщике добавилось ежедневное правило для обновления сертификатов.

Дополнительные настройки

Вы можете настроить почту для уведомлений.

Как нам подсказывают, нужно ручками подправить файл settings.config.

Лучше генерировать сертификаты с псевдонимами, например:

Установка TLS сертификата от Let’s Encrypt на веб сервер IIS (бесплатный https)

В связи с недавними атаками шифровальщиков WannaCry, Petya и им подобных, многие компании, наконец, всерьез задумались об информационной безопасности.

А что? надо же когда-то начинать ).

И хоть сегодняшняя статья и не имеет прямого отношения к защите от выше представленных «шифровальщиков».

Но кто знает, где завтра вскроется очередная «дыра»?

Сегодня решил написать подробную статью о том, как бесплатно получить TLS сертификат безопасности от центра сертификации Let’s Encrypt, и установить его на веб сервере IIS, чтобы сайты могли открываться по протоколу https. Этот протокол очень нравится и браузерам (сайты будут помечаться зеленым замочком) и поисковым системам (ПС), что в свою очередь положительно скажется на ранжировании в результатах поиска.

Делать все это, мы будем на Windows Server 2020 Standard.

Let’s Encrypt установка на windows веб сервер IIS

О SSl сертификатах слышали многие, а вот о TLS стоит сказать два слова:

Протокол TLS (transport layer security) основан на протоколе SSL.

Сертификат способен надежно защитить, например 1С Предприятие от несанкционированного доступа! (Кто работает в 1С через ВЕБ).

Да, собственно это позволит защитить и все Ваши сервисы, сайты, которые раньше работали на обычном HTTP.

Сертификатам от организации Let’s Encrypt доверяют все браузеры, так как используется надежное шифрование SHA-256+RSA, к тому же сегодня многие известные компании используют сертификаты от Let’s Encrypt, (Facebook, Cisco, Chrome) посему можно сделать вывод, что этот центр сертификации не «сдуется» как это было с WoSign и StartCom.

Стоит отметить также, что еще в 2020-том, было выдано больше миллиона сертификатов.

Организация сегодня активно развивается.

Из минусов:

Сертификат выдается лишь на 90 дней, но его всегда можно быстро обновить, по факту использования данного сертификата, могу сказать, что с этим проблем нет никаких.

О сайтах:

С недавних пор мои сайты также перешли на защищенный протокол https, используя сертификат TLS от Let’s Encrypt.

И причина перехода была не только в безопасности, но и угрозы от большинства веб обозревателей.

К примеру, если у Вас на сайте есть «форма входа или регистрации» то без https, браузеры будут говорить пользователю что «вход не безопасный», «Данные не шифруются» или будут выдавать другие подобные предостережения, которые конечно скажутся на доверии, конверсии и так далее.

Да что говорить, если даже GOOGLE, собирается понижать в поисковой выдаче сайты без https.

А дословно, «Приоритет будет отдан тем сайтам, что используют https».

Переход на https:

Совершить переход на https при помощи сертификатов от Let’s Encrypt на Linux не составит труда, в интернете уже есть сотни подробных инструкций.

Еще проще это сделать, если Вы используете ISPmanager. (Там есть готовый бесплатный модуль).

А вот если нужно, это сделать на Windows когда веб сервере IIS, перевести на https (Конечно с использованием бесплатного сертификата от Let’s Encrypt, то проблемы могут быть).

Толковых инструкций (где бы не нужно было использовать Linux или Visual Studio) не нашел, поэтому решил написать статью сам.

Шаг №1. Доменное имя.

У Вас должно быть доменное имя.

Илон Маск рекомендует:  Отправка почты из PHP

Если у Вас нет доменного имени, то, как получить его бесплатно на 12 мес. писал вот здесь.

Первым делом нужно привязать его к нашему статическому IP адресу.

Здесь это показано, иначе нужно делать у Вас на хостинге.

Шаг № 2. Пробросить порт.

Открыть и пробросить порт 80 и 443 на сервер где у Вас работает веб сервер IIS.

В моем случаи, это локальный IP адрес 192.168.128.58

(После успешной реализации 80-тый порт снова закроем).

Шаг № 3. Проверим доступность сайта

Проверяем, доступен ли сайт, по нашему доменному имени извне, (Opera с VPN Вам в этом поможет).

Если все хорошо, тогда приступаем к следующему шагу.

Теперь нужно сделать привязку к локальному localhost на сервере, где работает веб сервер IIS.

Открываем «C:\Windows\System32\drivers\etc\ hosts»

Открывать для редактирования этот файлик нужно от имени администратора (Например, через обычный блокнот.)

И внесем такую запись 127.0.0.1 sklad1c.cf

Сохраним наш hosts.


Шаг № 5. Привязка к домену на веб сервере IIS.

Нам также нужно сделать еще одну привязку на веб сервере IIS.

Это нужно для работы «клиента», которого мы скачаем чуть позже, чтоб он понимал, какими DNS именами мы располагаем и на какое имя делать сертификат.

Привязку делаем на 80 порт, а потом программа «клиент» сама создаст привязку на 443 порт.

Запускаем «IIS Manager».

Далее развернем компоненты и выбираем «Sites» -«Default Web Site», затем правый клик мышкой «Bindings…» или «Привязки».

Клик по кнопке «Edit» и в поле «Host name:» пропишем наш домен sklad1c.cf

Шаг № 6. «Клиент»

Теперь нам нужно скачать ту самую программу «клиент- letsencrypt-win-simple v1.9.3»

Она сделает всю работу по запросу, созданию и установке сертификата на наш веб сервер IIS.

После скачивания программы, распакуем архив и запустим ее.

Клик по «letsencrypt.exe». – запуск от имени администратора.

Программка имеет консольный интерфейс, но не волнуйтесь, нам для настройки потребуется лишь ввести свой email и несколько раз подтвердить действия.

Для начала введем email (любой).

Кликаем Enter и ждем следующего вопроса.

Кликаем по клавише “Y”.

И теперь наш “Клиент” должен найти DNS записи, наш домен на веб сервере IIS – sklad1c.cf

Ставим единицу (цифра соответствует строке домена, у меня лишь один – sklad1c.cf).

Кликаем по клавише “Enter”.

После чего набираемся терпения и ждем несколько минут 3 -5 -10 на получение и установку сертификата.

Как видно из скрина выше, все прошло успешно и мы получили сертификат!

(Было даже несколько “матюков” так как раньше я использовал самозаверяющийся сертификат).

Но это никак не повлияло на результат, сертификат от Let’s Encrypt успешно установлен!

Кликаем по клавише “N”, и на этом работа закончена.

Установка SSL сертификата на Microsoft IIS 7

1. Для установки SSL сертификата необходимо перейти в Пуск (Start) > Панель управления (Control Panel) > Администрирование (Administrative Tools) > Internet Information Services (IIS) Manager.

2. Нажмите по имени сервера в левой панели окна.

3. В среднем разделе окна откройте раздел «Security» , а в нем – «Server Certificates» .

4. В правом разделе окна ( «Actions» ) нужно открыть ссылку «Complete Certificate Request» – запустится мастер «Complete Certificate Request» .

5. В поле «Filename containing the certification authority’s response» укажите путь к файлу основного сертификата.

6. В поле «Friendly name» укажите домен, для которого заказан сертификат.
Обратите внимание, что имя сертификата (домен, который вы указали) не представляет собой часть сертификата, но оно нужно, чтобы сертификат можно было легко распознать.

7. Кликните по кнопке «ОК» .

8. Когда установка сертификата на сервере завершится, установите его на веб-сайт, для которого используется IIS.

9. В левом разделе окна ( «Connections» ) окна Internet Information Services (IIS) Manager кликните по имени сервера, для которого был установлен сертификат. Далее разверните раздел «Sites» и кликните по веб-сайту, для которого устанавливаете сертификат.

10. В правом разделе окна (меню «Actions» ) перейдите по ссылке «Bindings» – вы откроете окно «Site Bindings» .

11. В открывшемся окне кликните по «Add» – вы откроете окно «Add Site Binding» .

12. В поле «Type» укажите https, в поле «IP address» необходимо, чтобы был указан IP адрес сайта или All Unassigned. Порт 433 для зашифрованного соединения указывается по умолчанию. В поле «SSL certificate» укажите именно тот домен, для которого был установлен сертификат на сервере (на пункте 8).

После выполнения всех шагов сертификат будет установлен, а сайт будет доступен по зашифрованному соединению.

Если вы до сих пор не знаете, где купить SSL-сертификат, добро пожаловать к нам.

Как установить сертификат на IIS?

Добрый день!
Недавно впервые приобрел сертификат DomainSSL на REG.RU. Пришло письмо от REG.RU вида:

Здравствуйте!
Вас приветствует Регистратор доменных имён REG.RU!
Внимательно прочитайте указанную ниже информацию. В письме содержится данные, который используется для установки SSL-сертификата на хостинг для вашего домена.

Ваш SSL-сертификат предоставлен ниже
——BEGIN CERTIFICATE——
// много букв 1
——END CERTIFICATE——

Корневой сертификат
——BEGIN CERTIFICATE——
// много букв 2
——END CERTIFICATE——

Промежуточный сертификат
——BEGIN CERTIFICATE——
// много букв 3
——END CERTIFICATE——

Однако ни техподдержка REG.RU, ни FAQ на REG.RU не дают информации как этот сертификат установить.

Пытался нагуглить решение, но ничего не помогает:

Сохранил каждый сертификат в отдельный файл от «——BEGIN CERTIFICATE——» до «——END CERTIFICATE——» включительно и пользовался инструкцией на https://ru.godaddy.com/help/ustanovka-ssl-sertifik. Однако непонятно что делать с корневым сертификатом. Если устанавливаю только промежуточный и SSL сертификаты (по инструкции указанной выше), то сертификат из диспетчера IIS исчезает после обновления списка сертификатов. При этом возникает ощущение, что промежуточный сертификат не импортировался вообще.

Находил аналогичные инструкции однако всё заканчивается аналогично (выбрать сертификат для https не удается).

Ткните, пожалуйста, пальцем, что я делаю не так и куда копать? Сам даже не знаю что именно надо искать.

Установка TLS сертификата от Let’s Encrypt на веб сервер IIS

Установка TLS сертификата от Let’s Encrypt на веб сервер IIS.

В связи с недавними атаками шифровальщиков WannaCry, Petya и им подобных, многие компании, наконец, всерьез задумались об информационной безопасности.

А что? надо же когда-то начинать ).

И хоть сегодняшняя статья и не имеет прямого отношения к защите от выше представленных «шифровальщиков».

Но кто знает, где завтра вскроется очередная «дыра»?

Сегодня решил написать подробную статью о том, как бесплатно получить TLS сертификат безопасности от центра сертификации Let’s Encrypt, и установить его на веб сервере IIS.

Делать все это, мы будем на Windows Server 2020 Standard.

Let’s Encrypt установка на windows веб сервер IIS

О SSl сертификатах слышали многие, а вот о TLS стоит сказать два слова:

Протокол TLS (transport layer security) основан на протоколе SSL.

Вот здесь можно почитать подробно >>>

Сертификат способен надежно защитить, например 1С Предприятие от несанкционированного доступа! (Кто работает в 1С через ВЕБ).

Да, собственно это позволит защитить и все Ваши сервисы, сайты, которые раньше работали на обычном HTTP.

Сертификатам от организации Let’s Encrypt доверяют все браузеры, так как используется надежное шифрование SHA-256+RSA, к тому же сегодня многие известные компании используют сертификаты от Let’s Encrypt, (Facebook, Cisco, Chrome) посему можно сделать вывод, что этот центр сертификации не «сдуется» как это было с WoSign и StartCom.

Стоит отметить также, что еще в 2020-том, было выдано больше миллиона сертификатов.

Организация сегодня активно развивается.

Из минусов:

Сертификат выдается лишь на 90 дней, но его всегда можно быстро обновить, по факту использования данного сертификата, могу сказать, что с этим проблем нет никаких.

О сайтах:

С недавних пор Блог, а также и наш Интернет магазин, перешли на защищенный протокол https, используя сертификат TLS от Let’s Encrypt.

И причина перехода была не только в безопасности, но и угрозы от большинства веб обозревателей.

К примеру, если у Вас на сайте есть «форма входа или регистрации» то без https, браузеры будут говорить пользователю что «вход не безопасный», «Данные не шифруются» или будут выдавать другие подобные предостережения, которые конечно скажутся на доверии, конверсии и так далее.

Да что говорить, если даже GOOGLE, собирается понижать в поисковой выдаче сайты без https.

А дословно, «Приоритет будет отдан тем сайтам, что используют https».

Переход на https:

Совершить переход на https при помощи сертификатов от Let’s Encrypt на Linux не составит труда, в интернете уже есть сотни подробных инструкций.

Еще проще это сделать, если Вы используете ISPmanager. (Там есть готовый бесплатный модуль).

А вот если нужно, это сделать на Windows когда веб сервере IIS, перевести на https (Конечно с использованием бесплатного сертификата от Let’s Encrypt, то проблемы могут быть).

Толковых инструкций (где бы не нужно было использовать Linux или Visual Studio) не нашел, поэтому решил написать статью сам.

Илон Маск рекомендует:  Названия цветов в HTML

Шаг №1. Доменное имя.

У Вас должно быть доменное имя.

Если у Вас нет доменного имени, то, как получить его бесплатно на 12 мес. писал вот здесь.

Первым делом нужно привязать его к нашему статическому IP адресу.


Здесь это показано, иначе нужно делать у Вас на хостинге.

Шаг № 2. Пробросить порт.

Открыть и пробросить порт 80 и 443 на сервер где у Вас работает веб сервер IIS.

В моем случаи, это локальный IP адрес 192.168.128.58

(После успешной реализации 80-тый порт снова закроем).

Шаг № 3. Проверим доступность сайта

Проверяем, доступен ли сайт, по нашему доменному имени извне, (Opera с VPN Вам в этом поможет).

Если все хорошо, тогда приступаем к следующему шагу.

Шаг № 4. Запись в Hosts.

Теперь нужно сделать привязку к локальному localhost на сервере, где работает веб сервер IIS.

Открываем «C:\Windows\System32\drivers\etc\ hosts»

Открывать для редактирования этот файлик нужно от имени администратора (Например, через обычный блокнот.)

И внесем такую запись

Сохраним наш hosts.

Шаг № 5. Привязка к домену на веб сервере IIS.

Нам также нужно сделать еще одну привязку на веб сервере IIS.

Это нужно для работы «клиента», которого мы скачаем чуть позже, чтоб он понимал, какими DNS именами мы располагаем и на какое имя делать сертификат.

Привязку делаем на 80 порт, а потом программа «клиент» сама создаст привязку на 443 порт.

Запускаем «IIS Manager».

Далее развернем компоненты и выбираем «Sites» -«Default Web Site», затем правый клик мышкой «Bindings…» или «Привязки».

Клик по кнопке «Edit» и в поле «Host name:» пропишем наш домен sklad1c.cf

Шаг № 6. «Клиент»

Теперь нам нужно скачать ту самую программу «клиент- letsencrypt-win-simple v1.9.3»

Она сделает всю работу по запросу, созданию и установке сертификата на наш веб сервер IIS.

После скачивания программы, распакуем архив и запустим ее.

Клик по «letsencrypt.exe». – запуск от имени администратора.

Программка имеет консольный интерфейс, но не волнуйтесь, нам для настройки потребуется лишь ввести свой email и несколько раз подтвердить действия.

Для начала введем email (любой).

Кликаем Enter и ждем следующего вопроса.

Кликаем по клавише «Y».

И теперь наш «Клиент» должен найти DNS записи, наш домен на веб сервере IIS — sklad1c.cf

Ставим единицу (цифра соответствует строке домена, у меня лишь один — sklad1c.cf).

Кликаем по клавише «Enter».

После чего набираемся терпения и ждем несколько минут 3 -5 -10 на получение и установку сертификата.

Как видно из скрина выше, все прошло успешно и мы получили сертификат!

(Было даже несколько «матюков» так как раньше я использовал самозаверяющийся сертификат).

Но это никак не повлияло на результат, сертификат от Let’s Encrypt успешно установлен!

Кликаем по клавише «N», и на этом работа закончена.

Проверяем

И сам сертификат

«Контрольный» через Opera VPN

Финиш — проверка сертификата

Как видите все получилось, сертификат работает.

Уже в следующей статье покажу как 1С Предприятие будет работать на этом сертификате.

Установка бесплатного TLS/SSL сертификата Let’s Encrypt в IIS в Windows Server 2020/2012 R2

В этом обзоре мы расскажем об особенностях установки и привязки бесплатного TLS/SSL сертификата от Let’s Encrypt для сайта на веб сервере IIS, запущенного на Windows Server 2020/2020/2012 R2.

Let’s Encrypt и ACME клиенты для Windows

Наличие TLS/SSL сертификата у сайта позволяет защитить данные пользователей, передаваемые по сети от атак человек-посередине (man-in-the-middle) и гарантировать целостность переданных данных. Некоммерческий центр сертификации Let’s Encrypt позволяет в автоматическом режиме через API выпускать бесплатные криптографические TLS сертификаты X.509 для шифрования (HTTPS) . Выдаются только сертификаты для валидации доменов (domain validation), со сроком действия 90 дней (есть ограничение – 50 сертификатов для одного домена в неделю). Но вы можете автоматически перевыпускать SSL сертификат для своего сайта по расписанию.

API интерфейс, позволяющий автоматически выпускать сертификаты называется Automated Certificate Management Environment (ACME) API. Для Windows систем на данный момент имеется 3 самых популярных реализации клиента ACME API:

  • Утилита WindowsACMESimple(WACS) – утилита командной строки для интерактивного выпуска сертификата и привязки его к определенному сайту на вашем веб сервере IIS;
  • Модуль PowershellACMESharp – библиотека Powershell с множеством команд для взаимодействия через ACME API с серверами Let’s Encrypt;
  • Certify – графический менеджер SSL сертификатов для Windows, позволяет интерактивно управления сертификатами через ACME API.

Клиент WACS для установки TLS сертификата Let’s Encrypt в IIS на Windows Server

Самый простой способ получить SSL сертификат от Let’s Encrypt — воспользоваться консольной утилитой Windows ACME Simple (WACS) (ранее проект назывался LetsEncrypt-Win-Simple). Она представляет собой простой мастер, который позволяет выбрать один из сайтов, запущенных на IIS, и автоматически выпустить и привязать к нему SSL сертификат.

Итак, предположим у нас имеется веб сайт на IIS, развёрнутый под управлением Windows Server 2020. Наша задача, переключить его в HTTPS режим, установив SSL сертификат от Let’s Encrypt.

Скачайте последний релиз клиента WACS со страницы проекта на GitHub https://github.com/PKISharp/win-acme/releases (в моем случае это версия v2.0.10 – файл win-acme.v2.0.10.444.zip).

Распакуйте архив в каталог на сервере с IIS: c:\inetpub\letsencrypt

Откройте командную строку с правами администратора, перейдите в каталог c:\inetpub\ letsencrypt и запустите wacs.exe.

Запустится интерактивный мастер генерации сертификата Let’s Encrypt и привязки его к сайту IIS. Чтобы быстро создать новый сертификат выберите N: — Create new certificates (simple for IIS).

Затем нужно выбрать тип сертификата. В нашем примере нет необходимости использовать сертификат с псевдонимами (несколькими SAN — Subject Alternative Name), поэтому достаточно выбрать пункт 1. Single binding of an IIS site. Если вам нужен Wildcard-сертификат, выберите опцию 3.

Далее утилита выведет список сайтов, запущенных на сервере IIS и предложит выбрать сайт, для которого нужно создать и привязать новый SSL сертификат.

Укажите ваш email, на который будут отправляться уведомления о проблемах с обновлением сертификата сайта и другие о повешения (можно указать несколько email через запятую). Осталось согласится с условиями использования и Windows ACME Simple подключится к серверам Let’s Encrypt и попытается автоматически сгенерировать новый SSL сертификат для вашего сайта.

Процесс генерации и установки SSL сертификата Let’s Encrypt для IIS полностью автоматизирован.

По умолчанию выполняется валидация домена в режиме http-01 validation (SelfHosting). Для этого нужно, чтобы в DNS домена имелась запись, указывающая на ваш веб сервера. При запуске WACS в ручном режиме можно выбрать валидацию типа — 4 [http-01] Create temporary application in IIS (recommended). В этом случае на веб-сервере IIS будет создано небольшое приложение, через которое сервера Let’s Encrypt смогут провести валидацию.

Утилита WACS сохраняет закрытый ключ сертификата (*.pem), сам сертфикат и ряд других файлов в каталог C:\Users\%username%\AppData\Roaming\letsencrypt-win-simple. Затем она в фоновом режиме установит сгенерированный SSL сертификат Let’s Encrypt и привяжет его к вашему сайту IIS. Если на сайте уже установлен SSL сертификат (например, самоподписанный), он будет заменен новым.

В IIS Manager откройте меню Site Binding для вашего сайта и убедитесь, что для него используется сертификат, выданный Let’s Encrypt Authority X3.

В хранилище сертификатов компьютера сертификат Let’s Encrypt для IIS вы можете найти в разделе Web Hosting -> Certificates.

Windows ACME Simple создает новое правило в планировщике заданий Windows (win-acme-renew (acme-v02.api.letsencrypt.org)) для автоматического продления сертификата. Задание запускается каждый день, продление сертификата выполняется через 60 дней. Планировщик запускает команду:

C:\inetpub\letsencrypt\wacs.exe —renew —baseuri «https://acme-v02.api.letsencrypt.org»

Эту же команду вы можете использовать для ручного обновления сертфиката.

Перенаправление трафика IIS сайта с HTTP на HTTPS адрес

Чтобы перенаправить весь входящий HTTP трафик на HTTPS сайт, нужно установить модуль Microsoft URL Rewrite Module (https://www.iis.net/downloads/microsoft/url-rewrite), и убедиться, что в настройках сайта не включена опция обязательного использования SSL (Require SSL). Осталось настроить редирект в файле web.config:

Также вы можете настроить перенаправление трафика через URL Rewrite через графический интерфейс IIS Manager. Выберите Sites -> yoursitename -> URL Rewrite.

Создайте новое правило Add Rule -> Blank rule.

Укажите имя правила и измените значения параметров:

  • Requested URL -> Matches the Pattern
  • Using -> Regular Expressions
  • Pattern -> (.*)

В блоке Conditions измените Logical Grouping -> Match All и нажмите Add. Укажите

  • Condition input ->
  • Check if input string -> Matches the Pattern
  • Pattern -> ^OFF$

Теперь в блоке Action выберите:

  • Action Type -> Redirect
  • Redirect URL -> https:///
  • Redirect type -> Permanent (301)

Откройте браузер и попробуйте открыть ваш сайт по HTTP адресу, вас должно автоматически перенаправить на HTTPS URL.

Отметим, что сертификаты Let’s Encrypt в настоящий момент широко используются на сайтах многих крупных компаний и им доверяют все браузеры. Надеюсь, что судьба бесплатного центра сертификации Let’s Encrypt не постигнет участь WoSign и StartCom.

Понравилась статья? Поделиться с друзьями:
Кодинг, CSS и SQL