Skip to main content

TẠO SSL MIỄN PHÍ BẰNG LETS ENCRYPT TRÊN WINDOWS

 

1. Tạo chứng chỉ tự ký trong IIS

Bước này là tùy chọn. Trước khi chúng tôi yêu cầu chứng chỉ sản xuất, hãy tạo một chứng chỉ Self-Signed Certificate để kiểm tra xem nó có thể phục vụ các trang HTTPS từ máy chủ của bạn không.

1. Mở IIS và bấm vào nút máy chủ trong cây bên trái.
2. Chọn “Server Certificates”.
3. Nhấp vào “Create Self-Signed Certificate…” bên phải và đặt tên cho nó.
4. Đi vào trang web “Default website” trong cây bên trái.
5. Nhấp vào “Bindings…” và thêm một ràng buộc mới.
6. Chọn loại là HTTPS, port là 443 và chọn chứng chỉ tự ký của bạn từ danh sách chứng chỉ SSL, sau đó đóng cửa sổ.

Self signed certificate in IIS

Bây giờ khi bạn truy cập phiên bản https của trang web, nó sẽ tải. Tuy nhiên, Google Chrome sẽ gắn cờ là không an toàn vì chứng chỉ không hợp lệ. Đây là những gì chúng tôi muốn bởi vì bây giờ chúng tôi biết rằng máy chủ web đã được thiết lập để cho phép kết nối HTTPS. Chúng tôi đã sẵn sàng để tiến hành.

HTTPS self signed certificate

Nếu trang web không tải hoặc tiếp tục quay, hãy kiểm tra xem tường lửa và nhà cung cấp máy chủ đám mây của bạn có chấp nhận các kết nối TCP gửi đến cổng 443 không.

 

 

2. Cài đặt Windows ACME Simple (WACS)

Giao thức để nhận các chứng chỉ Let's Encrypt được gọi là ACME (Môi trường quản lý chứng chỉ tự động). Chúng tôi sẽ cần cài đặt ứng dụng khách ACME để gửi yêu cầu chứng chỉ SSL / TLS miễn phí. Vì chứng chỉ Let's Encrypt hết hạn sau 3 tháng, ứng dụng khách ACME này tạo ra một tác vụ theo lịch trình cho các lần gia hạn tự động yêu cầu những cái mới một vài tuần trước khi chúng được thiết lập hết hạn.

Có nhiều khách hàng ACME có sẵn nhưng chúng tôi sẽ sử dụng win-acme bởi PKISharp. Tải xuống bản phát hành mới nhất của win-acme và trích xuất nội dung của nó vào một thư mục trên ổ cứng của bạn, C:\LetsEncrypt trong ví dụ này.

Phiên bản win-acme được sử dụng tại thời điểm viết bài viết này là v2.0.10.444

3. Tạo chứng chỉ Let Encrypt Encrypt và tự động thiết lập gia hạn

1. Mở PowerShell và chạy: cd c:\LetsEncrypt
2. Chạy: .\wacs.exe

win acme

Nhấn N để tạo chứng chỉ mới.

Chúng tôi chỉ có một trang web duy nhất trong ví dụ này, vì vậy Nhấn 1 để Single binding of an IIS site. Chứng chỉ SAN cho phép nhiều tên miền phụ cũng được hỗ trợ.

Chọn ràng buộc. Một lần nữa, chúng tôi chỉ có một trang web nên Nhấn 1.

Cung cấp (các) email để thông báo về các sự cố nếu gia hạn tự động không thành công. Bạn có thể để trống này và tiếp tục. (Địa chỉ email này sẽ không được công khai)

Đồng ý và Chấp nhận các điều khoản và điều kiện của họ sau đó để win-acme làm điều đó thì bạn đã hoàn thành!

4. Xác minh mọi thứ đang hoạt động

Nhấn L từ menu chính của win-acme client để thấy rằng gia hạn tự động đã được tạo. Tại đây bạn có thể xem chi tiết cho lần gia hạn tiếp theo.

win acme

Nhìn vào các ràng buộc cho HTTPS trong IIS và bạn sẽ thấy chứng chỉ của mình được chọn.

Let's Encrypt certificate in IIS

Bây giờ khi bạn điều hướng đến phiên bản HTTPS của URL, nó sẽ hiển thị dưới dạng an toàn trong Chrome.

Secure Let's Encrypt certificate

Nhấp qua để xem chứng chỉ.

Valid Let's Encrypt certificate

Labels:

Comments

Post a Comment

Popular posts from this blog

[RAID] SWITCH FROM AHCI TO RAID WITH INTEL C600 CONTROLLER

I personally have used other ways to do this. Manipulating some registry settings in combination with a safe boot before booting normally does the trick as well. This works with both SATA SSD and M.2 NVMe drives and it enables relatively fast switching between back and forth between AHCI and RAID. I have described this method below.  I have also tried the same process used to switch from RAD to AHCI and that works as well. Switch to safe boot Reboot into BIOS Change from AHCI to RAID in the BIOS Boot into safe mode Turn off safe mode and reboot normally again Nothing else and that also did the trick, just like with moving from RAID to AHCI.  So the link above and my step by step below is here for completeness. You have options in case one of them doesn’t work! Step by step AHCI to RAID registry method This procedure I describe below works on Windows 10 1803/1809 and has been tested on Dell Latitude E6220 an XPS 13 9360. Editing the registry is...
Post a Comment
Read more

[Hyper-V] - Lỗi không boot vào được sau khi convert máy vật lý sang máy ảo

XỬ LÝ LỖI KHÔNG BOOT ĐƯỢC VÀO MÁY ẢO SAU KHI CONVERT TỪ MÁY VẬT LÝ BẰNG DISK2VHD Sau khi convert server vật lý sang file VHD để import vào Hyper thì khi start máy ảo lên màn hình máy ảo chỉ nhấp nháy con trỏ chuột trên màn hình đen (blinking cursor) NGUYÊN NHÂN Do máy vật lý sử dụng ổ đĩa cài OS được format theo chuẩn GPT (thay vì MBR như truyền thống, tham khảo GPT và MBR ) XỬ LÝ Bước 1: chuyển ổ GPT thành MBR Copy file VHD của ổ đĩa chứa OS về 1 máy tính Windows 8 trở lên Trên máy Windows 8+ click phải chuột lên file VHD vừa copy, chọn lệnh Mount . Lúc này dùng 1 phần mềm miễn phí (vd: Mini Partition Wizard ) để convert ổ đĩa vừa mount từ GPT  -> MBR Sau đó Delete phần Partition dư ra ở phần đầu ổ đĩa được mount (khoảng vài trăm MB) Set " Active " cho ổ đĩa này để là ổ đĩa boot OS Nhấn Apply để phần mềm thực thi tác vụ Sau khi phần mềm làm xong, tắt phần mềm Mini Partition Wizard, vào My Computer chọn eject ổ đĩa đang mount . Copy file VHD vừa đư...
Post a Comment
Read more

LỖI "The provided partition "Migration...." is not a valid Migration mailbox"

  Solution for a valid Migration mailbox could not be found for this organization To address this issue, we will: Delete Migration mailbox in Active Directory Users and Computers Recreate Migration mailbox with /PrepareAD command Enable Migration mailbox with Exchange Management Shell 1. Delete Migration mailbox in Active Directory Users and Computers We do see the mailbox in ADUC, let’s remove it. If you don’t see it, search for it. It might be in a different container than the default container  Users . We can always verify in Exchange Management Shell if the Migration mailbox is present. If it shows up in the output, it means that it’s present and enabled. The output should be empty. [PS] C:\> Set - ADServerSettings - ViewEntireForest $true ; Get - Mailbox - Identity "Migration.8f3e7716-2011-43e4-96b1-aba62d229136" - Arbitration | Format-Table Name , ServerName , Database , AdminDisplayVersion , ProhibitSendQuota Copy 2. Recreate Migration mailbox with /Prepare...
Post a Comment
Read more