Skip to main content

TẠO SSL MIỄN PHÍ BẰNG LETS ENCRYPT TRÊN WINDOWS

 

1. Tạo chứng chỉ tự ký trong IIS

Bước này là tùy chọn. Trước khi chúng tôi yêu cầu chứng chỉ sản xuất, hãy tạo một chứng chỉ Self-Signed Certificate để kiểm tra xem nó có thể phục vụ các trang HTTPS từ máy chủ của bạn không.

1. Mở IIS và bấm vào nút máy chủ trong cây bên trái.
2. Chọn “Server Certificates”.
3. Nhấp vào “Create Self-Signed Certificate…” bên phải và đặt tên cho nó.
4. Đi vào trang web “Default website” trong cây bên trái.
5. Nhấp vào “Bindings…” và thêm một ràng buộc mới.
6. Chọn loại là HTTPS, port là 443 và chọn chứng chỉ tự ký của bạn từ danh sách chứng chỉ SSL, sau đó đóng cửa sổ.

Self signed certificate in IIS

Bây giờ khi bạn truy cập phiên bản https của trang web, nó sẽ tải. Tuy nhiên, Google Chrome sẽ gắn cờ là không an toàn vì chứng chỉ không hợp lệ. Đây là những gì chúng tôi muốn bởi vì bây giờ chúng tôi biết rằng máy chủ web đã được thiết lập để cho phép kết nối HTTPS. Chúng tôi đã sẵn sàng để tiến hành.

HTTPS self signed certificate

Nếu trang web không tải hoặc tiếp tục quay, hãy kiểm tra xem tường lửa và nhà cung cấp máy chủ đám mây của bạn có chấp nhận các kết nối TCP gửi đến cổng 443 không.

 

 

2. Cài đặt Windows ACME Simple (WACS)

Giao thức để nhận các chứng chỉ Let's Encrypt được gọi là ACME (Môi trường quản lý chứng chỉ tự động). Chúng tôi sẽ cần cài đặt ứng dụng khách ACME để gửi yêu cầu chứng chỉ SSL / TLS miễn phí. Vì chứng chỉ Let's Encrypt hết hạn sau 3 tháng, ứng dụng khách ACME này tạo ra một tác vụ theo lịch trình cho các lần gia hạn tự động yêu cầu những cái mới một vài tuần trước khi chúng được thiết lập hết hạn.

Có nhiều khách hàng ACME có sẵn nhưng chúng tôi sẽ sử dụng win-acme bởi PKISharp. Tải xuống bản phát hành mới nhất của win-acme và trích xuất nội dung của nó vào một thư mục trên ổ cứng của bạn, C:\LetsEncrypt trong ví dụ này.

Phiên bản win-acme được sử dụng tại thời điểm viết bài viết này là v2.0.10.444

3. Tạo chứng chỉ Let Encrypt Encrypt và tự động thiết lập gia hạn

1. Mở PowerShell và chạy: cd c:\LetsEncrypt
2. Chạy: .\wacs.exe

win acme

Nhấn N để tạo chứng chỉ mới.

Chúng tôi chỉ có một trang web duy nhất trong ví dụ này, vì vậy Nhấn 1 để Single binding of an IIS site. Chứng chỉ SAN cho phép nhiều tên miền phụ cũng được hỗ trợ.

Chọn ràng buộc. Một lần nữa, chúng tôi chỉ có một trang web nên Nhấn 1.

Cung cấp (các) email để thông báo về các sự cố nếu gia hạn tự động không thành công. Bạn có thể để trống này và tiếp tục. (Địa chỉ email này sẽ không được công khai)

Đồng ý và Chấp nhận các điều khoản và điều kiện của họ sau đó để win-acme làm điều đó thì bạn đã hoàn thành!

4. Xác minh mọi thứ đang hoạt động

Nhấn L từ menu chính của win-acme client để thấy rằng gia hạn tự động đã được tạo. Tại đây bạn có thể xem chi tiết cho lần gia hạn tiếp theo.

win acme

Nhìn vào các ràng buộc cho HTTPS trong IIS và bạn sẽ thấy chứng chỉ của mình được chọn.

Let's Encrypt certificate in IIS

Bây giờ khi bạn điều hướng đến phiên bản HTTPS của URL, nó sẽ hiển thị dưới dạng an toàn trong Chrome.

Secure Let's Encrypt certificate

Nhấp qua để xem chứng chỉ.

Valid Let's Encrypt certificate

Labels:

Comments

Post a Comment

Popular posts from this blog

[RAID] SWITCH FROM AHCI TO RAID WITH INTEL C600 CONTROLLER

I personally have used other ways to do this. Manipulating some registry settings in combination with a safe boot before booting normally does the trick as well. This works with both SATA SSD and M.2 NVMe drives and it enables relatively fast switching between back and forth between AHCI and RAID. I have described this method below.  I have also tried the same process used to switch from RAD to AHCI and that works as well. Switch to safe boot Reboot into BIOS Change from AHCI to RAID in the BIOS Boot into safe mode Turn off safe mode and reboot normally again Nothing else and that also did the trick, just like with moving from RAID to AHCI.  So the link above and my step by step below is here for completeness. You have options in case one of them doesn’t work! Step by step AHCI to RAID registry method This procedure I describe below works on Windows 10 1803/1809 and has been tested on Dell Latitude E6220 an XPS 13 9360. Editing the registry is...
Post a Comment
Read more

TẠO DKIM RECORD CHO EXCHANGE SERVER

  Source: https://www.linkedin.com/pulse/how-configure-dkim-exchange-2019-simple-way-seyed-abdollahi Installation In Exchange Online DKIM is a built-in service, but on an on-prem Exchange 2019 deployment we need a 3rd party application to add this functionality to our Exchange infrastructure. In this guide we use Stefan Profanter's excellent dkim-exchange application for this purpose, which is available here:  https://github.com/Pro/dkim-exchange/releases/latest After installing the program, we open  Configuration.DkimSigner.exe and click on the "Install" button, or download the installer straight from https://codeload.github.com/Pro/dkim-exchange/legacy.zip/v*** Configuration After installation finished, open the configurator. C:\Program Files\Exchange DkimSigner\Configuration.DkimSigner.exe Click on the "Configure" button and move the DkimSigner agent to the very bottom of the list. Under the DKIM settings tab select relaxed canonicalization as Exchange t...
Post a Comment
Read more

GIA HẠN SSL CHO EXCHANGE SERVER 2019

LINK: https://www.alitajran.com/create-certificate-exchange-server/#h-step-2-generate-exchange-certificate-request  ==Create request SSL New-ExchangeCertificate -Server "EXIDC1" -GenerateRequest -FriendlyName "EXCERT2025" -PrivateKeyExportable $true -SubjectName "c=VN, s=HCM, l=HCM, o=TTT, ou=IT, cn=mail.ttt.vn" -DomainName mail.ttt.vn,autodiscover.ttt.vn,autodiscover.saigonxanh.com,autodiscover.mpu.edu.vn ==Complete SSL Import-ExchangeCertificate -FileData ([System.IO.File]::ReadAllBytes('\\exidc1\Cert$\2378696128.crt')) -PrivateKeyExportable:$true -Password (ConvertTo-SecureString -String 'tttcompany' -AsPlainText -Force)
Post a Comment
Read more