IIS - 自動申請、部署Let's Encrypt的免費SSL證書(讓網站實現HTTPS協議)
一、HTTPS 協議介紹
1,什麼是 HTTPS 協議?
- HTTPS(全稱:Hyper Text Transfer Protocol over Secure Socket Layer),是以安全為目標的 HTTP 通道,即 HTTP 的安全版。
- 簡單來說 HTTPS 就是在 HTTP 上面加了一層 SSL 協議。我們可以在 HTTP 站點上部署 SSL 數字證書將其變成 HTTPS。
- 對使用者來說最直觀的表現就是當訪問 HTTPS 站點時(比如 https://www.baidu.com),可以看到在位址列裡有一個小綠鎖圖示,說明這個網站使用了 HTTPS 協議。
2,為什麼要使用 HTTPS 協議
(1)通過加密通訊連線,可以保證資料傳輸的安全,這點在交易支付方面尤為重要。雖然 SSL 並不是無懈可擊的,但是這樣做起碼可以提高竊聽成本。
(2)使用了 HTTPS 之後,如果網站的訪客是從其他已經使用了 HTTPS 的網站上跳轉過來,你就能在 Google Analytics 中獲取更完整的來源資訊。
(3)如果你要部署釋出一個 iOS 企業應用,那麼下載伺服器就必須使用 HTTPS 協議。
3,如何使用 HTTPS 協議
(1)目前想在 web 上使用 HTTPS 的話。你首先需要獲得一個 SSL 證書檔案,該證書由一個受瀏覽器信任的公司所簽署。
(2)獲得證書以後,你需要在你的 web 伺服器上指定其所在的位置,以及與你關聯的私鑰的位置,並開啟 443 埠準備使用。
二、Let's Encrypt 介紹
1,基本介紹
(1)Let's Encrypt 是國外一個公共的免費 SSL 專案,由 ISRG 聯手組成證書頒發機構,可以簽發免費 SSL/TLS 證書。
ISRG(Internet Security Research Group,網際網路安全研究小組)是一個關注網路安全的公益組織,其贊助商從非商業組織到財富100強公司都有,包括 Mozilla,Akamai,思科,Facebook,密歇根大學等等。
(2)Let,s Encrypt 是為普及 HTTPS 而發起的,它推動了基礎 DV SSL 證書的普及。其證書已經被 Mozilla、Google、Microsoft 和 Apple 等主流瀏覽器支援,只需要 web 伺服器配置好 HTTPS 證書,瀏覽器會在載入時驗證 web 伺服器 HTTPS 證書是否有效。
(3)隨著 https 的普及,Let’s Encrypt 目前已成為全球最受歡迎的免費 SSL 證書籤發機構。
2,使用優點
- 完全免費,避免 ISP 劫持
- 申請速度快、無需註冊賬戶
3,注意事項
- Let's Encrypt 的基礎 DV SSL 證書,只提供了資料加密,不驗證身份,無法向使用者證明網站的所有者。但即使這樣也滿足了基本需要了。
- 它一次只會頒發 3 個月有效期的證書,到期之後需要自己再續上(仍然是免費的)。不過我們可以自己寫定時指令碼任務或者使用工具來自動續約。
三、使用 Certify 來自動申請並配置證書
1,Certify 介紹
- Certify 是一個可以自動續訂 Let's Encrypt 頒發證書的第三方 GUI 軟體(圖形介面工具)
- 使用它可以自動配置、建立和自動續訂證書,並且到快要續訂的時候會自動發郵件通知我們。
2,使用步驟
(1)首先將 Certify 下載到伺服器上並安裝。注意其依賴 Microsoft .NET Framework 4.5,安裝時會提示。
(2)第一次啟動程式時會彈出對話方塊讓我們填寫個郵箱地址,等證書快要過期的時候我們會收到續訂證書的提醒郵件。這裡我們填上常用的 email 地址。
(3)點選“新建證書”按鈕,certify 會自動掃描 IIS 中的站點,選擇我們要申請證書的域名。完畢後點選“儲存”按鈕進行儲存。
(4)儲存後點選“請求證書”按鈕獲取證書。
(5)在申請的同時,Certify 會在網站根目錄下生成 .well-known 資料夾,並自動配置 web.config,自動驗證證書。完全不用我們干預。
(6)待其執行完畢後,返回 Certify 的首頁面可以看到站站點已經成功使用了 Let's Encrypt 的證書了。
(7)我們可以把網站根目錄下之前自動建立的 .well-known 目錄給刪掉,以保持網站目錄乾淨。
3,測試檢查
(1)首先使用瀏覽器訪問:https://www.hangge.com,可以看到位址列前面已經帶了個小綠鎖,說明 SSL 證書已經成功配置。
(2)開啟 IIS 可以看到 SSL 證書確實已經自動配置好了。
