【http轉https】其之二：申請Let's Encrypt頒發SSL證書

時間 2019-11-20

標籤 http轉https 之二申請 let's let encrypt 頒發 ssl 證書欄目 SSL 简体版

原文原文鏈接

【http轉https】其之二：申請Let's Encrypt頒發SSL證書

文：鐵樂貓
2017年1月12日html

申請Let's Encrypt頒發SSL證書git

由 ISRG（Internet Security Research Group，互聯網安全研究小組）提供服務， ISRG 來自於美國加利福尼亞州的一個公益組織。Let's Encrypt 獲得了 Mozilla、Cisco、Akamai、Electronic Frontier Foundation 和 Chrome 等衆多公司和機構的支持，發展十分迅猛。github

對於域名全部權的驗證，支持兩種方式：放置臨時文件進行驗證、查詢 whois 給域名全部人發郵件驗證web

須要注意的是它一次只會頒發3個月有效期的證書，到期以後須要本身再續上 (仍然是免費的)，維護起來比較麻煩，不過可使用工具去自動續期。另外它不支持通配符泛域名 (*.demo.com)，因此在申請認證的時候，要把域名都 301 跳轉到證書裏包含的域名上，否則瀏覽器會彈證書錯誤。windows

windows在Let's Encrypt獲取證書,也就是IIS的站點獲取SSL證書，通常使用certify這個自動化工具會方便不少。
另外常見的一種就是用工具 letsencrypt-win-simple
下載最新版 letsencrypt-win-simple：
連接很差找：https://github.com/Lone-Coder/letsencrypt-win-simple/releases
最新版是：letsencrypt-win-simple.V1.9.1.zip。在服務器解壓 letsencrypt-win-simple.V1.9.1 ，解壓後運行lessencrypt.exe。
會彈出一個cmd窗口，第一次運行會讓你先填一個郵箱地址。用於更新失敗時郵件通知你。
瀏覽器

輸入email後，還會再問你贊成與否，後面列出的一個網址，看pdf（估計就是協議），那必須得填Y阿。
安全

W - 生成一個證書並經過 WebDav 來進行安裝
F - 生成一個證書經過FTP、FTPS安裝。
M - 經過配置手動生成證書
A - 給 IIS 當前已經發布的全部網站各自部署上對應的證書
會自動替你掃描出IIS上的站點，讓你選擇，通常選M手動獲取站點證書。
服務器

這樣接下來就是填入host name 站點主機名，web root 網站的根目錄。
letsencrypt-win-simple.V1.9.1 會自動生成臨時文件並放到網站根目錄，而後 Let's Encrypt 服務器會訪問這個文件, 用於驗證這個網站是否屬於你。markdown

若是驗證不經過，是由於 IIS 須要修改一些配置，驗證經過後會實時頒發證書，而且會自動把證書添加到服務器中，而後直接在 IIS 中進行HTTPS部署便可。
除了直接運行letsencrypt程序來交互操做，還能夠在CMD上敲命令去單條命令完成，例如：
部署單個域名
輸入如下命令
letsencrypt.exe --accepttos --manualhost 你的域名 --webroot 你的網站物理路徑(wwwroot路徑)less

除了用官方自帶的命令行工具外，還有一個第三方的更好用的圖形界面下的工具：
一個能夠自動續訂Let's Encrypt頒發證書的 GUI 軟件，叫作 certify
做用是能夠自動配置、建立和自動續訂證書，而且到快要續訂的時候會自動發郵件給你。
首先先去官網下載 certify ，而後在服務器上安裝。
官網下載連接：http://certify.webprofusion.com/
注意，certify 要求以管理員權限運行，而且要求服務器安裝了 PowerShell 4.0。
PowerShell 4.0 默認集成在 Windows Management Framework 4.0 中，而 Windows Management Framework 4.0 又依賴 Microsoft .NET Framework 4.5 。
能夠查看下本身的服務器是否具有這些環境，而後按需更新便可。更新以後安裝 certify 運行。

點擊 New Contact 按鈕，建立一個聯繫人，這個聯繫人會在證書快要過時的時候收到續訂證書的提醒郵件，輸入email 便可。
（注：第一次啓動程序的時候也會彈出對話框讓你填這個新聯繫人)

點擊 New Certificate，certify 會自動掃描 IIS 中的站點，選擇你要申請證書的域名。

[](http://images2015.cnblogs.com/blog/965728/201701/965728-20170120142406406-684809033.jpg）
點擊 Request Certificate 獲取證書，certify 會在網站根目錄下生成 .well-known 文件夾，而且會自動配置 web.config，自動驗證證書。

驗證完成後會彈窗顯示證書已安裝。就能夠去看本身已經申請的證書詳細信息了。

且 IIS 中也已經自動給你配置好了證書，這點是省了很多事。

若是發現證書沒有續訂或者沒有生效，點擊一下 Auto Apply 就能夠了。
最後記得把網站根目錄下的 .well-known 目錄給刪掉，以保持網站目錄乾淨。

用certify這個工具簡直不能太讚了，圖形化界面比letsencrypt自身的官方腳本工具直觀，又會在IIS上自動替你綁定443，還帶自動續訂和郵件通知的功能。