windows下申請免費ssl證書的方法 (letsencrypt)

時間 2019-11-16

標籤 windows 申請免費 ssl 證書方法 letsencrypt 欄目 Windows 简体版

原文原文鏈接

Let's Encrypt，官網是https://letsencrypt.org/，它是一個由各大公司贊助的公益組織；html

有趨勢有需求，天然也有免費可用。免費的SSL證書中，首推就是Let's Encrypt。git

這裏介紹幾種免費的SSL證書申請方法：github

一、發錢辦理ssl證書，國內也有不少家這樣的平臺，像景安、又拍雲等等，收費的，咋先不搞它；web

二、在服務端，注意是服務端，就是你iis的那臺機器，使用windows power shell 執行命令來建立ssl證書算法

2.1 找到power shell，能夠直接搜索它，找不到的請度娘shell

2.2 最好用管理員身份打開，而後查看power shell的版本，查看命令：get-hostwindows

2.3 若是是5.0及以上的執行命令：Install-Module -Name ACMESharpapi

2.3 若是你的服務器PowerShell版本是3.0 or 4.0的則麻煩些，先須要在powershell上安裝chocolatey命令行包管理器，而後利用chocolatey安裝服務器

先執行：iex ((new-object net.webclient).DownloadString('https://chocolatey.org/install.ps1'))app

在執行：choco install acmesharp-posh-all

OK，ACMESharp安裝完畢咱們來申請LE證書吧

2.4 導入ACMESharp模塊

執行：Import-Module ACMESharp

2.5 初始化ACMEVault來保存和管理證書信息

執行：Initialize-ACMEVault

2.6 在LE填寫註冊信息，接受註冊協議

執行：New-ACMERegistration -Contacts mailto:youremail@example.com -AcceptTos

將youremail@example.com 替換你的郵箱

2.7 建立一個你要申請域名身份

執行 New-ACMEIdentifier -Dns myserver.example.com -Alias dns1

myserver.example.com 請替換爲你須要申請SSL證書的那個域名， dns1 是別名，請替換爲任意的一個別名，這個別名將用於後續申請中，用於代指你的域名。

2.8 認證域名全部權，就是驗證一下這個域名是否在當前電腦訪問的通，let's Encrypt 提供了三種驗證方式：

2.8.1 經過IIS來驗證，IIS若是是7.0及以上版本的，則能夠經過驗證

執行：Complete-ACMEChallenge dns1 -ChallengeType http-01 -Handler iis -HandlerParameters @{ WebSiteRef = 'Default Web Site' }

其中'Default Web Site' 是IIS中這個Website的名稱

2.8.2 經過在網站指定目錄下存放指定文件來驗證，文件中存放指定內容

2.8.3 經過設置一個獨立的二級域名來驗證

這裏咱們不過多描述方法2和方法3

如須要 http://www.cnblogs.com/denny-duan/p/apply-free-ssl-ca-win7-powershell-letsencrypt.html 這個地址裏面有詳細介紹

2.9 提交認證

執行：Submit-ACMEChallenge dns1 -ChallengeType http-01

2.10 提交以後咱們接下來就須要等待LE服務器來驗證了，咱們能夠經過命令查看狀態：

執行：Update-ACMEIdentifier dns1

pedding 正在等待驗證
valid 驗證經過
invalid 驗證失敗，若是驗證失敗，請查看對應的反饋的錯誤，通常都是沒法訪問http://myserver.example.com/.well-known/acme-challenge/2yRd04TwqiZTh6TWLZ1azL15QIOGaiRmx8MjAoA5QH0 這個地址的文件，須要配置iis的mime類型，在mime類型中添加一個能夠訪問沒有後綴名的文件類型，以下圖，詳情清查看 http://www.hangge.com/blog/cache/detail_1560.html 。而後須要從新申請一次，也就是從2.7 再次開始

2.11 若是返回valid表示驗證成功後咱們繼續下一步建立證書申請

執行：New-ACMECertificate dns1 -Generate -Alias cert1

執行：Submit-ACMECertificate cert1

cert1 是你本身定義的證書名稱

2.12 接下來，執行以下命令，更新證書

執行：Update-ACMECertificate cert1

能夠看到證書的簽名算法是sha256RSA。至此，能夠導出證書了

2.13 下載證書文件

下載私鑰：Get-ACMECertificate cert1 -ExportKeyPEM "c:\ssl\cert1.key.pem"

下載LE證書： Get-ACMECertificate cert1 -ExportCertificatePEM "c:\ssl\cert1.crt.pem" -ExportCertificateDER "c:\ssl\cert1.crt"

下載CA中間證書：Get-ACMECertificate cert1 -ExportIssuerPEM "c:\ssl\cert1-issuer.crt.pem" -ExportIssuerDER "c:\ssl\cert1-issuer.crt"

下載IIS用的PFX文件一個有密一個無密，選一個便可：

Get-ACMECertificate cert1 -ExportPkcs12 "c:\ssl\cert1.pfx"

Get-ACMECertificate cert1 -ExportPkcs12 "c:\ssl\cert1.pfx" -CertificatePassword '123456789'

上面的地址須要先建立哦，要不找不到路徑保存，都執行後在對應的目錄裏面能夠看到下載的ssl文件了。

2.14 下一步，將是安裝證書了。再iis裏面的證書服務裏面導入證書，綁定https的的便可，這再也不細說；

3 第三種方案，借住工具執行腳本命令，最快速，推薦使用

3.1 下載一個letsencrypt-win-simple的工具

這個地址有最新的版本和source： https://github.com/Lone-Coder/letsencrypt-win-simple/releases

也能夠用我雲盤地址，直接下載1.9.6的版本：http://pan.baidu.com/s/1nveHTlJ

3.2 下載完以後解壓運行裏面的letsencrypt.exe打開控制檯窗口，第一次運行會提示你輸入一個郵箱以供後續使用

輸入一個可用郵箱回車即開始註冊，並問你是否贊成協議

輸入Y回車，郵箱註冊完以後，程序會自動獲取當前服務器部署的全部網站，以下：

按N 再按1, 再選擇要生成ssl的域名項便可，最後配置自動更新程序，選擇y

生成的證書在C:\Users\Administrator\AppData\Roaming\letsencrypt-win-simple\httpsacme-v01.api.letsencrypt.org下

注意： 1 生成的計劃任務的執行程序默認是生成證書時的letsencrypt.exe的路徑，請到管理工具-計劃任務查看相應任務屬性，確認action的letsencrypt.exe路徑對不對，若是移動到其它地方了也須要進行相應修改，不然會執行失敗

2 iis須要配置mime類型：擴展名：. mime類型：application/octet-stream，添加無後綴的文件訪問，不然驗證不經過，跟上面2.10 提到的是同樣的；

3 因爲Let's Encrypt免費SSL證書只有90天的有效期，過時須要更新，該程序會生成一個計劃任務，天天上午9點鐘運行檢查過時的證書並更新。因此生成完成證書會提示你是否是須要指定用戶運行刷新證書的計劃任務（會顯示下次過時的時間），選擇Y，輸入相應的系統登陸用戶名和密碼便可。

相關標籤/搜索

每日一句

每一个你不满意的现在，都有一个你没有努力的曾经。

windows下 申請免費ssl證書的方法 (letsencrypt)

windows下申請免費ssl證書的方法 (letsencrypt)