這篇文章首發於個人我的網站:據說 - https://tasaid.com/,建議在個人我的網站閱讀,擁有更好的閱讀體驗。css
這篇文章與 博客園 和 Segmentfault 共享。html
前端開發QQ羣:377786580前端
這篇文章主要講述 IIS 8 部署免費 HTTPS 。 HTTPS 是互聯網 web 大勢所趨。TaSaid 最近把機房從香港遷移到青島,趁着此次機會,觀望並折騰了幾天,在遷移中順便完成了 HTTPS 的部署。git
這篇文章收錄在《Said - 從HTTP到HTTPS》系列:github
這裏只介紹在 TaSaid.com 部署HTTPS中嘗試的免費證書方案,部署在 IIS8 上。web
原本在 TaSaid.com 遷移中嘗試部署過沃通 (wosign) 的簽發的免費證書,可是後來發現了 Mozilla 官網( firefox/火狐 背後的開源組織 ) 裏列出了 沃通的一系列可疑行爲和問題,而且沃通 "祕密" 收購 StartCom(著名的免費 HTTPS 證書 StartSSL 即其旗下產品)行爲可疑, Mozilla 基金會正在考慮對沃通以及 StartCom 這兩個 CA 機構一年內新簽發的全部 SSL 證書進行封殺。sql
我在上一篇文章 《從 HTTP 到 HTTPS - 什麼是 HTTPS》 中指出 CA 機構應該是是權威和可信的,但因爲沃通當前的陷入的一系列醜聞,信任度下降,因此暫時不推薦使用沃通。而且沃通官網已暫時關閉免費 HTTPS 證書申請。chrome
這一段內容發表於2016年10月5日,若是您在將來某天閱覽到這個內容,請即時更新瞭解沃通最新的動態。shell
因此咱們此次僅推薦 Let's Encrypt。windows
推薦 Let's Encrypt 理由:
缺點:
默認 Let's Encrypt 申請證書比較繁瑣,因此咱們在 windows 下使用工具 letsencrypt-win-simple 進行部署,簡單方便快捷。
下載最新版 letsencrypt-win-simple:
本人在2016年9月15日下到的最新版是:letsencrypt-win-simple.V1.9.1.zip。
在服務器解壓 letsencrypt-win-simple.V1.9.1
獲得文件夾,打開CMD進入到該文件夾下。
第一次運行命令會鏈接遠程服務器更新,而且會讓你是否輸入郵箱訂閱認證信息,能夠忽略,而後讓作個選擇(忘記什麼選擇了),選擇Y便可,選擇N則會中斷。
部署單個域名
輸入如下命令
letsencrypt.exe --accepttos --manualhost 你的域名 --webroot 你的網站物理路徑(wwwroot路徑)
letsencrypt-win-simple.V1.9.1
會自動生成臨時文件並放到網站根目錄,而後會讓 Let's Encrypt 服務器會訪問這個文件, 用於驗證這個網站是否屬於你。驗證經過後會實時頒發證書,而且 letsencrypt-win-simple.V1.9.1
會自動把證書添加到服務器中,而後直接在 IIS 中進行HTTPS部署便可。
部署多個域名
letsencrypt.exe --san
M
,表示這次須要認證多個域名,
號分隔,好比tasaid.com,www.tasaid.com,m.tasaid.com
C:\Users\linkFly\Documents\Said\SaidTemp
letsencrypt-win-simple.V1.9.1
會自動生成臨時文件並放到網站根目錄,而後會讓 Let's Encrypt 服務器會訪問這個文件, 用於驗證這個網站是否屬於你。更多命令文檔能夠 參考這裏。
解壓 letsencrypt-win-simple.V1.9.1
文件夾,而後點擊文件夾,按住shift
,再點擊右鍵,選擇在此處打開命令窗口
(即讓控制檯打開後直接定位到這個文件夾下)。
使用下面的命令:
letsencrypt.exe --accepttos --manualhost 你的域名 --webroot 你的網站路徑(wwwroot路徑)
好比 https://tasaid.com 部署的命令是這樣的:
letsencrypt.exe --accepttos --manualhost tasaid.com --webroot C:\Users\linkFly\Test
letsencrypt-win-simple
會自動生成臨時文件並放到網站根目錄 (詳情能夠參考下一章節 自動化認證多個域名 ),而後會讓 Let's Encrypt 服務器會訪問這個文件, 用於驗證這個網站是否屬於你。
若是驗證經過,直接進入本文的 部署 章節便可。若是驗證不經過,是由於須要修改 IIS 的一些配置,請參考下一章節 自動化認證多個域名。
CMD 進入 letsencrypt-win-simple.V1.9.1
文件夾,運行以下命令:
letsencrypt.exe --san
而後會彈出一坨選項:
Let's Encrypt (Simple Windows ACME Client)
Renewal Period: 60
Certificate Store: WebHosting
ACME Server: https://acme-v01.api.letsencrypt.org/
Config Folder: C:\Users\linkFly\AppData\Roaming\letsencrypt-win-simple\htpsacme-v01.api.letsencrypt.org
Certificate Folder: C:\Users\linkFly\AppData\Roaming\letsencrypt-win-simpe\httpsacme-v01.api.letsencrypt.org
Loading Signer from C:\Users\linkFly\AppData\Roaming\letsencrypt-win-simpe\httpsacme-v01.api.letsencrypt.org\Signer
Getting AcmeServerDirectory
Loading Registration from C:\Users\linkFly\AppData\Roaming\letsencrypt-win-simple\httpsacme-v01.api.letsencrypt.org\Registration
Scanning IIS Sites
2: SAN - IIS Said (C:\Users\linkFly\Test)
3: SAN - IIS Test (C:\Users\linkFly\Demo)
W: Generate a certificate via WebDav and install it manually. S: Generate a single San certificate for multiple sites. F: Generate a certificate via FTP/ FTPS and install it manually. M: Generate a certificate manually. A: Get certificates for all hosts Q: Quit Which host do you want to get a certificate for:
Scanning IIS Sites
列出了在 IIS 中檢測到的當前已發佈的網站,而後顯示了一系列指令 (W, S, F, M, A),決定你想要的操做:
咱們此次要認證手動認證多個域名,輸入命令:
M
接着出現讓你輸入host( Enter a host name )。 好比 http://tasaid.com 輸入的是tasaid.com
。
而後會讓你輸入要認證的多個域名 (注意這些域名要能夠訪問的,由於一下子會輪流訪問這些域名進行驗證),用,
號分隔 (Enter all Alternative Names seperated by a comma:),而後咱們輸入須要驗證的域名便可:
tasaid.com,www.tasaid.com,m.tasaid.com,wap.tasaid.com
接着輸入站點部署的位置 (Enter a site path ),輸入你的網站部署的位置便可:
C:\Users\linkFly\Documents\Said\SaidTemp
而後輸入是否要指定使用者 (用戶),輸入 N
。( 一旦選擇了Y
,會讓你輸入用戶名和密碼,證書會進行用戶認證 )。
接着會在你這次認證的項目根目錄下 (wwwroot) ,根據你剛纔輸入的域名列表,生成對應的臨時認證文件, Let's Encrypt 服務器會訪問這個文件,結構大概以下:
---- wwwroot(認證的網站根目錄) | -- .well-known | -- acme-challenge | -- DGz4z_A_VsgO3dilCAB8bkgurpPt-EFpLygmua3L6x8 (一個臨時文件,多個域名會有多個臨時文件)
而後 Let's Encrypt 服務器會根據剛纔輸入的域名列表,用 HTTP 輪流訪問這些文件,注意這時候可能存在這個報錯:
****************************************************************************** The ACME server was probably unable to reach http://linkflys.com/.well-known/acme-challenge/DGz4z_A_VsgO3dilCAB8bkgurpPt Check in a browser to see if the answer file is being served correctly. *****************************************************************************
出現這個錯誤表示生成的這個臨時文件訪問不到,驗證不經過。
緣由是由於 .well-know
這個文件夾帶了前綴.
,IIS會認爲是不可識別的 MIMEType ,只須要在網站根目錄下臨時加上 mimeMap
配置便可:
<?xml version="1.0" encoding="UTF-8"?> <configuration> <system.webServer> <staticContent> <mimeMap fileExtension="." mimeType="text/plain" /> </staticContent> </system.webServer> </configuration>
記得驗證經過後,若是你的網站不須要這個 mimeMap
配置,要記得刪除。
若是驗證經過,會顯示下圖,這時候恭喜你驗證經過。
打開 IIS,選擇對應的網站,右鍵 編輯綁定
,點擊 新增
, 類型 選擇https
,則會彈出以下界面:
輸入要綁定的域名,而後選擇頒發的證書便可。域名 日期 上午/下午
這種格式就是 Let's Encrypt
這次頒發的證書。
這個時候,使用 https 協議訪問你的域名就能夠啦,好比:https://tasaid.com。
在服務器中,Win + R
打開運行,輸入 MMC
,打開 控制檯
界面。
點擊頂部菜單欄 文件
,而後點擊 添加/刪除管理單元
彈出的窗口中,在左側的 可用的管理單元 中點擊 證書
,而後點中間的 添加
,會彈出以下界面:
選擇 計算機帳戶
,而後默認下一步完成,點擊 肯定
,便可看到證書列表。
展開 證書
,再展開 中間證書頒發機構
,選擇 證書
,便可看到 Let's Encrypt
頒發的證書:
使用 HTTPS 訪問網址,點擊地址欄的小 綠鎖
,而後點擊 詳細信息
,這時候會彈出 chrome 調試工具,點擊 View certificate
:
就會看到證書的詳細信息:
爲了保證域名統一,將訪問 http://www.tasaid.com
、http://tasaid.com
、https://www.tasaid.com
的域名都跳轉到 https://tasaid.com
,IIS 能夠進行以下配置 (須要安裝 IIS UrlRewrite 模塊,代碼註釋是爲了方便理解,部署到線上請刪除中文註釋):
<?xml version="1.0" encoding="UTF-8"?> <configuration> <system.webServer> <rewrite> <rules> <rule name="HostNameRule1"> <match url="(.*)" /> <!--匹配全部條件--> <conditions logicalGrouping="MatchAny"> <!--當不是使用https協議訪問的時候--> <add input="{HTTPS}" pattern="^OFF$" /> <!--而且訪問的host不是tasaid.com這種,例如www.tasaid.com--> <add input="{HTTP_HOST}" pattern="^tasaid\.com$" negate="true" /> </conditions> <!--跳轉到https--> <action type="Redirect" url="https://tasaid.com/{R:1}" /> </rule> <rule name="HTTPS redirect"> <match url="(.*)" /> <conditions> <!--當使用HTTPS協議訪問--> <add input="{HTTPS}" pattern="^ON$" /> <!--當訪問 https://www.tasaid.com的時候 --> <add input="{HTTP_HOST}" pattern="^tasaid\.com$" negate="true" /> </conditions> <!--跳轉到HTTPS--> <action type="Redirect" url="https://tasaid.com/{R:1}" redirectType="SeeOther" /> </rule> </rules> </rewrite> </system.webServer> </configuration>
這裏須要注意,想讓 https://www.tasaid.com 也能夠跳轉到 https://tasaid.com,在申請 HTTPS 證書的時候,要把 www.tasaid.com
這種域名也給申請上,不然瀏覽器會解析不出 https://www.tasaid.com
,由於在進行 HTTPS 加密握手的時候就會認證失敗。
HTTPS 第一次鏈接域名的時候會和證書頒發機構進行 HTTPS 證書認證,後續的鏈接會緩存起來,清緩存就行了