從 HTTP 到 HTTPS - IIS 部署免費 HTTPS

時間 2019-11-08

標籤 http https iis 部署免費欄目 HTTP/TCP 简体版

原文原文鏈接

這篇文章首發於個人我的網站：據說 - https://tasaid.com/，建議在個人我的網站閱讀，擁有更好的閱讀體驗。html

這篇文章與博客園和 Segmentfault 共享。前端

前端開發QQ羣：377786580
注意：該文章後續有更新，請在 https://tasaid.com 閱讀更新linux

這篇文章主要講述 IIS 8 部署免費 HTTPS 。 HTTPS 是互聯網 web 大勢所趨。TaSaid 最近把機房從香港遷移到青島，趁着此次機會，觀望並折騰了幾天，在遷移中順便完成了 HTTPS 的部署。git

這篇文章收錄在《Said - 從HTTP到HTTPS》系列：github

從 HTTP 到 HTTPS - 什麼是 HTTPS
從 HTTP 到 HTTPS - IIS 部署免費 HTTPS
從 HTTP 到 HTTPS - 網站部署 HTTPS 中須要作的事情

有哪些免費證書

這裏只介紹在 TaSaid.com 部署HTTPS中嘗試的免費證書方案，部署在 IIS8 上。web

Let's Encrypt
沃通 (wosign) (不推薦)

原本在 TaSaid.com 遷移中嘗試部署過沃通 (wosign) 的簽發的免費證書，可是後來發現了 Mozilla 官網( firefox/火狐背後的開源組織 ) 裏列出了沃通的一系列可疑行爲和問題，而且沃通 "祕密" 收購 StartCom（著名的免費 HTTPS 證書 StartSSL 即其旗下產品）行爲可疑， Mozilla 基金會正在考慮對沃通以及 StartCom 這兩個 CA 機構一年內新簽發的全部 SSL 證書進行封殺。chrome

我在上一篇文章《從 HTTP 到 HTTPS - 什麼是 HTTPS》中指出 CA 機構應該是是權威和可信的，但因爲沃通當前的陷入的一系列醜聞，信任度下降，因此暫時不推薦使用沃通。而且沃通官網已暫時關閉免費 HTTPS 證書申請。shell

這一段內容發表於2016年10月5日，若是您在將來某天閱覽到這個內容，請即時更新瞭解沃通最新的動態。windows

因此咱們此次僅推薦 Let's Encrypt。api

Let's Encrypt

流程

默認 Let's Encrypt 申請證書比較繁瑣，因此咱們在 windows 下使用工具 letsencrypt-win-simple 進行部署，簡單方便快捷。

下載 letsencrypt-win-simple
在服務器中打開CMD，運行letsencrypt-win-simple
在CMD中根據簡單的命令，輸入要認證的網站域名和網站文件夾
letsencrypt-win-simple 自動驗證域名全部權
驗證經過後即時頒發證書
部署

使用 letsencrypt-win-simple 進行自動化認證和部署

下載最新版 letsencrypt-win-simple：

本人在2016年9月15日下到的最新版是：letsencrypt-win-simple.V1.9.1.zip。

自動化認證

在服務器解壓 letsencrypt-win-simple.V1.9.1 獲得文件夾，打開CMD進入到該文件夾下。

第一次運行命令會鏈接遠程服務器更新，而且會讓你是否輸入郵箱訂閱認證信息，能夠忽略，而後讓作個選擇(忘記什麼選擇了)，選擇Y便可，選擇N則會中斷。

部署單個域名

輸入如下命令

letsencrypt.exe --accepttos --manualhost 你的域名 --webroot 你的網站物理路徑(wwwroot路徑)

letsencrypt-win-simple.V1.9.1 會自動生成臨時文件並放到網站根目錄，而後會讓 Let's Encrypt 服務器會訪問這個文件, 用於驗證這個網站是否屬於你。
若是驗證不經過，是由於 IIS 須要修改一些配置，具體參見下文的詳細說明。
驗證經過後會實時頒發證書，而且 letsencrypt-win-simple.V1.9.1 會自動把證書添加到服務器中，而後直接在 IIS 中進行HTTPS部署便可。

部署多個域名

輸入命令 letsencrypt.exe --san
輸入 M ，表示這次須要認證多個域名
輸入網站的 host
輸入要認證的多個域名，用 , 號分隔，好比tasaid.com,www.tasaid.com,m.tasaid.com
輸入網站物理路徑，好比 C:\Users\linkFly\Documents\Said\SaidTemp
letsencrypt-win-simple.V1.9.1 會自動生成臨時文件並放到網站根目錄，而後會讓 Let's Encrypt 服務器會訪問這個文件, 用於驗證這個網站是否屬於你。
若是驗證不經過，是由於 IIS 須要修改一些配置，具體參見下文的詳細說明。
驗證經過後會實時頒發證書，而且會自動把證書添加到服務器中，而後直接在 IIS 中進行HTTPS部署便可。

更多命令文檔能夠參考這裏。

自動化認證單個域名

解壓 letsencrypt-win-simple.V1.9.1 文件夾，而後點擊文件夾，按住shift，再點擊右鍵，選擇在此處打開命令窗口 (即讓控制檯打開後直接定位到這個文件夾下)。

使用下面的命令：

letsencrypt.exe --accepttos --manualhost 你的域名 --webroot 你的網站路徑(wwwroot路徑)

好比 https://tasaid.com 部署的命令是這樣的：

letsencrypt.exe --accepttos --manualhost tasaid.com --webroot C:\Users\linkFly\Test

letsencrypt-win-simple 會自動生成臨時文件並放到網站根目錄 (詳情能夠參考下一章節 自動化認證多個域名 )，而後會讓 Let's Encrypt 服務器會訪問這個文件, 用於驗證這個網站是否屬於你。

若是驗證經過，直接進入本文的部署章節便可。若是驗證不經過，是由於須要修改 IIS 的一些配置，請參考下一章節 自動化認證多個域名。

自動化認證多個域名

CMD 進入 letsencrypt-win-simple.V1.9.1 文件夾，運行以下命令：

letsencrypt.exe --san

而後會彈出一坨選項：

Let's Encrypt (Simple Windows ACME Client)
Renewal Period: 60
Certificate Store: WebHosting

ACME Server: https://acme-v01.api.letsencrypt.org/
Config Folder: C:\Users\linkFly\AppData\Roaming\letsencrypt-win-simple\htpsacme-v01.api.letsencrypt.org
Certificate Folder: C:\Users\linkFly\AppData\Roaming\letsencrypt-win-simpe\httpsacme-v01.api.letsencrypt.org
Loading Signer from C:\Users\linkFly\AppData\Roaming\letsencrypt-win-simpe\httpsacme-v01.api.letsencrypt.org\Signer

Getting AcmeServerDirectory
Loading Registration from C:\Users\linkFly\AppData\Roaming\letsencrypt-win-simple\httpsacme-v01.api.letsencrypt.org\Registration

Scanning IIS Sites
2: SAN - IIS Said (C:\Users\linkFly\Test)
3: SAN - IIS Test (C:\Users\linkFly\Demo)

W: Generate a certificate via WebDav and install it manually.
S: Generate a single San certificate for multiple sites.
F: Generate a certificate via FTP/ FTPS and install it manually.
M: Generate a certificate manually.
A: Get certificates for all hosts
Q: Quit
Which host do you want to get a certificate for:

Scanning IIS Sites 列出了在 IIS 中檢測到的當前已發佈的網站，而後顯示了一系列指令 (W, S, F, M, A)，決定你想要的操做：

W - 生成一個證書並經過 WebDav 來進行安裝
S - 給 IIS 當前已經發布的全部網站都部署一個證書
F - 生成一個證書經過FTP、FTPS安裝。
M - 經過配置手動生成證書
A - 給 IIS 當前已經發布的全部網站各自部署上對應的證書

咱們此次要認證手動認證多個域名，輸入命令：

接着出現讓你輸入host( Enter a host name )。好比 http://tasaid.com 輸入的是tasaid.com。

而後會讓你輸入要認證的多個域名 (注意這些域名要能夠訪問的，由於一下子會輪流訪問這些域名進行驗證)，用,號分隔 (Enter all Alternative Names seperated by a comma:)，而後咱們輸入須要驗證的域名便可：

tasaid.com,www.tasaid.com,m.tasaid.com,wap.tasaid.com

接着輸入站點部署的位置 (Enter a site path )，輸入你的網站部署的位置便可：

C:\Users\linkFly\Documents\Said\SaidTemp

而後輸入是否要指定使用者 (用戶)，輸入 N。( 一旦選擇了Y，會讓你輸入用戶名和密碼，證書會進行用戶認證 )。

接着會在你這次認證的項目根目錄下 (wwwroot) ，根據你剛纔輸入的域名列表，生成對應的臨時認證文件， Let's Encrypt 服務器會訪問這個文件，結構大概以下：

---- wwwroot(認證的網站根目錄)
| -- .well-known
    | -- acme-challenge
            | -- DGz4z_A_VsgO3dilCAB8bkgurpPt-EFpLygmua3L6x8 (一個臨時文件，多個域名會有多個臨時文件)

而後 Let's Encrypt 服務器會根據剛纔輸入的域名列表，用 HTTP 輪流訪問這些文件，注意這時候可能存在這個報錯：

******************************************************************************
The ACME server was probably unable to reach http://linkflys.com/.well-known/acme-challenge/DGz4z_A_VsgO3dilCAB8bkgurpPt

Check in a browser to see if the answer file is being served correctly.

*****************************************************************************

出現這個錯誤表示生成的這個臨時文件訪問不到，驗證不經過。

緣由是由於 .well-know 這個文件夾帶了前綴.，IIS會認爲是不可識別的 MIMEType ，只須要在網站根目錄下臨時加上 mimeMap 配置便可：

<?xml version="1.0" encoding="UTF-8"?>
<configuration>
    <system.webServer>
        <staticContent>
            <mimeMap fileExtension="." mimeType="text/plain" />
        </staticContent>
    </system.webServer>
</configuration>

記得驗證經過後，若是你的網站不須要這個 mimeMap 配置，要記得刪除。

若是驗證經過，會顯示下圖，這時候恭喜你驗證經過。

部署

打開 IIS，選擇對應的網站，右鍵 編輯綁定，點擊 新增，類型選擇https，則會彈出以下界面：

輸入要綁定的域名，而後選擇頒發的證書便可。域名日期上午/下午這種格式就是 Let's Encrypt 這次頒發的證書。

這個時候，使用 https 協議訪問你的域名就能夠啦，好比：https://tasaid.com。

查看證書

在服務器中查看證書

在服務器中，Win + R 打開運行，輸入 MMC，打開 控制檯 界面。

點擊頂部菜單欄 文件，而後點擊 添加/刪除管理單元

彈出的窗口中，在左側的 可用的管理單元 中點擊 證書，而後點中間的 添加，會彈出以下界面：

選擇 計算機帳戶，而後默認下一步完成，點擊 肯定，便可看到證書列表。

展開 證書，再展開 中間證書頒發機構，選擇 證書，便可看到 Let's Encrypt 頒發的證書：

在chrome中查看證書

使用 HTTPS 訪問網址，點擊地址欄的小 綠鎖，而後點擊 詳細信息，這時候會彈出 chrome 調試工具，點擊 View certificate：

就會看到證書的詳細信息：

其餘

IIS 配置 web.config 實現自動 HTTPS 跳轉

爲了保證域名統一，將訪問 http://www.tasaid.com、http://tasaid.com、https://www.tasaid.com 的域名都跳轉到 https://tasaid.com，IIS 能夠進行以下配置 (須要安裝 IIS UrlRewrite 模塊，代碼註釋是爲了方便理解，部署到線上請刪除中文註釋)：

<?xml version="1.0" encoding="UTF-8"?>
<configuration>
    <system.webServer>
        <rewrite>
            <rules>
                <rule name="HostNameRule1">
                    <match url="(.*)" />
                    <!--匹配全部條件-->
                    <conditions logicalGrouping="MatchAny">
                        <!--當不是使用https協議訪問的時候-->
                        <add input="{HTTPS}" pattern="^OFF$" />
                        <!--而且訪問的host不是tasaid.com這種，例如www.tasaid.com-->
                        <add input="{HTTP_HOST}" pattern="^tasaid\.com$" negate="true" />
                    </conditions>
                    <!--跳轉到https-->
                    <action type="Redirect" url="https://tasaid.com/{R:1}" />
                </rule>
                <rule name="HTTPS redirect">
                    <match url="(.*)" />
                    <conditions>
                        <!--當使用HTTPS協議訪問-->
                        <add input="{HTTPS}" pattern="^ON$" />
                        <!--當訪問 https://www.tasaid.com的時候 -->
                        <add input="{HTTP_HOST}" pattern="^tasaid\.com$" negate="true" />
                    </conditions>
                    <!--跳轉到HTTPS-->
                    <action type="Redirect" url="https://tasaid.com/{R:1}" redirectType="SeeOther" />
                </rule>
            </rules>
        </rewrite>
    </system.webServer>
</configuration>

這裏須要注意，想讓 https://www.tasaid.com 也能夠跳轉到 https://tasaid.com，在申請 HTTPS 證書的時候，要把 www.tasaid.com 這種域名也給申請上，不然瀏覽器會解析不出 https://www.tasaid.com，由於在進行 HTTPS 加密握手的時候就會認證失敗。