windows Server下Let‘s Encrypt的SSL证书续期

已于 2024-02-25 17:06:12 修改
阅读量523 收藏 11
点赞数 7
文章标签: windows ssl 网络协议
于 2024-02-24 12:21:06 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bigcarp/article/details/136270179
版权

刚发现在IIS下 用 win-acme (之前称为Let's Encrypt-Win-Simple) 比 Certbot 更简单。为Windows平台上的服务(主要是IIS)自动化Let's Encrypt证书的获取和续期过程。它是完全开源的。

=============

一、手动续期方法:

暂停IIS服务器 --> 暂时关闭防火墙 --> 执行certbot renew --> 打开防火墙 --> 用OpenSSL将证书转换为PFX格式-->pfx文件导入到IIS --> IIS对应网站中绑定新证书 --> 重新启动IIS -->完成

1、暂停IIS服务器

2、暂时关闭防火墙,命令

netsh advfirewall set allprofiles state off

3、在开始菜单中打开Certbot客户端(或者管理员权限powershell进入Certbot安装目录下的\bin目录)

先查看一下到期信息:

certbot certificates

 

执行

certbot renew

成功!

4、关闭防火墙

netsh advfirewall set allprofiles state on

5、用OpenSSL将最新获得的PEM格式的证书和私钥转换为PFX格式

-->C:\Certbot\archive\yourdomain.com\ 目录下找到最新的privkey.pem 和 fullchain.pem,复制到一个指定目录,然后在OpenSSL安装目录下执行:

C:\Program Files\OpenSSL-Win64\bin>openssl pkcs12 -export -out F:\pem\mysite.pfx -inkey F:\pem\privkey.pem -in F:\pem\fullchain.pem

6、双击pfx文件导入到IIS。(需输入创建pfx文件时设置的密码)

7、IIS对应网站中绑定证书:

8、重新启动IIS

 二、自动续期方法

[未验证,以下是GPT的解答]

在Windows和IIS环境下实现SSL证书的自动续期,尤其是当使用Certbot客户端且需要特定操作(如暂停IIS服务器和关闭防火墙)来成功完成续期时,会稍显复杂。不过,你可以通过创建一个自动化脚本并结合Windows任务计划程序来实现这个目标。下面是一种可能的解决方案:

第一步:创建一个批处理脚本

  1. 创建一个新的批处理文件(例如,CertbotRenew.bat),并将其存放在一个可靠的位置,比如C:\Scripts\

  2. 编辑批处理文件,加入以下命令行:

    @echo off
REM 停止IIS服务
iisreset /stop

REM 关闭Windows防火墙
netsh advfirewall set allprofiles state off

REM 执行Certbot续期
"C:\Program Files\Certbot\bin\certbot.exe" renew

REM 开启Windows防火墙
netsh advfirewall set allprofiles state on

REM 重新启动IIS服务
iisreset /start

    确保调整上述脚本中的路径和命令以匹配你的环境和需求。

第二步:使用Windows任务计划程序创建一个任务

  1. 打开任务计划程序:在开始菜单搜索"任务计划程序"并打开它。

  2. 创建新任务:在“操作”菜单中选择“创建任务”。

  3. 配置任务

    • 在“常规”标签下,给任务命名,并选择“不管用户是否登录都要运行”。
    • 在“触发器”标签下,点击“新建”,设置任务的开始时间和重复频率。你可能希望每月运行一次,因为Let's Encrypt的证书有效期为90天,这样可以确保在证书到期之前有足够的时间来解决可能出现的任何问题。
    • 在“操作”标签下,点击“新建”,“操作”选择“启动程序”,在“程序或脚本”框中输入你的批处理文件的路径(例如,C:\Scripts\CertbotRenew.bat)。

  4. 完成和保存任务:配置完毕后,点击“确定”保存新任务。

通过这种方式,你就创建了一个自动化任务,它会根据你设置的时间表自动运行,执行必要的操作来续期你的SSL证书,包括在续期过程中暂停IIS服务和关闭防火墙。

注意事项

  • 确保在设置自动续期前,手动运行一次脚本来验证所有步骤都能正常工作。
  • 考虑到安全性,频繁关闭防火墙并不是一个好的安全实践。如果可能,寻找不需要关闭防火墙的续期方法,例如配置适当的防火墙规则来允许Certbot进行验证,可能会是一个更安全的选择。
  • 如果你的IIS站点配置或DNS记录会经常变动,确保在续期前验证这些配置仍然有效,以免自动续期失败。
  • 考虑在脚本中加入日志记录功能,以便跟踪续期过程中可能出现的任何问题

三、windows + IIS 环节下如何使用Webroot插件完成SSL证书续期

在Windows和IIS环境下使用Certbot的Webroot插件完成SSL证书续期,需要确保Certbot能够在你的Web服务器上放置一个特殊文件,Let's Encrypt的验证服务器会访问这个文件以验证域名的所有权。这个过程不需要停止IIS服务或关闭防火墙,但要求IIS能够提供访问.well-known/acme-challenge目录下文件的HTTP服务。

步骤 1: 确保Webroot路径存在

首先,你需要确定或创建一个目录,作为Webroot插件放置验证文件的地方。这通常是你网站文件存放的根目录。例如,如果你的网站根目录是C:\inetpub\wwwroot,你需要确保这个目录存在并且IIS有权限访问它。

步骤 2: 配置IIS以服务.well-known/acme-challenge

  1. 打开IIS管理器。
  2. 选择你的网站。
  3. 在“操作”面板中,点击“浏览目录”并确保.well-known目录存在于你的Webroot目录下。如果不存在,请创建它。
  4. 同样,确保.well-known目录下有一个名为acme-challenge的子目录。
  5. .well-known/acme-challenge目录配置MIME类型,以确保IIS能够正确地服务在此目录下创建的文件。在IIS管理器中选择网站或服务器级别,然后打开“MIME 类型”。添加一个新的MIME类型:文件扩展名为.*,MIME类型为text/plain

步骤 3: 使用Webroot插件续期证书

在确认了上述配置后,你可以使用以下命令来续期证书,其中<your-webroot-path>需要替换为实际的Webroot路径,例如C:\inetpub\wwwroot

certbot certonly --webroot -w <your-webroot-path> -d example.com -d www.example.com

这个命令会告诉Certbot使用Webroot插件,-w选项指定了Webroot目录的路径,-d选项后面跟着你想要证书覆盖的域名。

步骤 4: 更新IIS以使用新的证书

续期证书后,你可能需要手动更新IIS配置,以使用新的证书。这可以通过IIS管理器完成:

  1. 打开IIS管理器。
  2. 选择你的网站,然后点击“绑定…”。
  3. 找到使用旧证书的HTTPS绑定,点击“编辑”。
  4. 在“SSL 证书”下拉菜单中,选择新续期的证书。
  5. 点击“确定”保存更改。

自动化续期

虽然使用Webroot插件可以手动续期证书,但Certbot在Windows上的自动续期可能不如Linux上那么直接。你可以通过创建一个定时任务来定期运行续期命令,并检查日志文件确认续期成功。

请注意,这个过程中的确切步骤可能根据你的具体环境和配置有所不同。如果遇到问题,检查Certbot日志文件和IIS日志文件可以提供有用的信息。

bigcarp
关注
  • 7
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
windows Let's Encrypt工具
08-21
Let's Encrypt是国外一个公共的免费SSL项目,由 Linux 基金会托管,由Mozilla、思科、Akamai、IdenTrust和EFF等组织发起,靠谱!   3、Let's Encrypt安装部署简单、方便,目前Cpanel、Oneinstack等面板都已经集成了Let's Encrypt一键申请安装,简单! 4、Let's Encrypt证书有效期三个月,每三个月需要续签证书 see why 这个工具是Let's Encrypt证书windows平台使用的。
Certbot-windows版本
05-13
https证书生成
Let’s Encrypt免费SSL证书获取以及自动续签
08-03
Let’s Encrypt免费SSL证书获取以及自动续签,配合Nginx实测有效
Let's Encrypt官网一键式免费申请ssl证书脚本
08-30
Let's Encrypt官网一键式免费申请ssl证书脚本, 使用方法是放到linux环境下, 给出执行权限rwx即可 chmod -R 700 certbot-auto , 之后./certbot-auto执行, 过程中会让你选择apache(1)还是nginx(2), 之后还会让你输入域名, 可以在测试服务器上运行试试, 这是截止到20190830最新版本 好像不能免币下载,
certbot客户端certbot-auto
02-22
通过wget https://dl.eff.org/certbot-auto无法下载的用户可以使用此文件。本文件从官网下载,原封不动。
windows下cerbot生成https免费安全证书
jiulinghouxiao的博客
12-07 855
2.使用dns添加后进行生成证书。1.使用访问文件权限来生成证书
windows Server安装Let‘s EncryptSSL证书
bigcarp的专栏
11-20 992
打开 PowerShell 窗口(以管理员身份运行)。你可以在开始菜单中找到 PowerShell,右键点击并选择“以管理员身份运行”。然后根据提示1输入邮箱、2同意协议、3拒绝推广邮件、4输入域名。如果提示失败,通常是防火墙问题。正常的话,会提示接收成功,已经保存到xx目录。2、安装客户端(全部默认安装即可))下载 certbot客户端。3、暂停IIS中的网站。
windows使用Certbot配置nginx的https证书
我是福强的博客
05-13 3135
使用Certbot在windows创建证书的过程 1、下载certbot软件 官网介绍及下载使用 2、双击进行安装 3、安装过后有两种执行方法 第一种:我的网络服务器目前没有在这台机器上运行。 certbot certonly --standalone 第二种:我需要让我的网络服务器继续运行 certbot certonly --webroot 在以上执行命令的过程中需要你的Nginx的80端口是可以通过域名进行访问的 4、执行命令过程 执行命令开始会输入一个邮箱即可 5、看到完成后会看到保存路径.
Let's Encrypt申请证书及使用
weixin_30752699的博客
05-03 456
Let's Encrypt是一个免费的、自动的,开放的CA。 形形色色有证书扩展名和类型,我是通过这篇文章明白个大体的:http://www.cnblogs.com/guogangj/p/4118605.html 一.windows证书生成。   1.工具的使用     参考certify,使用ACMESharp写了一个windowsLet's Encrypt证书申请工具,g...
windows申请免费SSL证书Let's Encrypt
mengzhengjie的专栏
05-13 1361
https://blog.csdn.net/i348018533/article/details/50788703 Let’s Encrypt 项目是由互联网安全研究小组ISRG,Internet Security Research Group主导并开发的一个新型数字证书认证机构CA,Certificate Authority。该项目旨在开发一个自由且开放的自动化 CA 套件,并向公众提供相关的...
certbot-beta-installer-win32.exe
06-17
Let’s Encrypt是一个 CA 机构,签发证书不需要任何费用.Certbot是证书生成工具,通过使用Certbot可以实现证书申请和自动续签。certbot-beta-installer-win32.exe是windows平台下的certbot安装程序。
自动获取Let's Encrypt的免费SSL证书
05-01
NULL 博文链接:https://happysoul.iteye.com/blog/2390306
基于let's encrypt的通配符证书.pptx
07-29
介绍了使用letsencrypt 申请多种 https 免费证书的不同方法,其中用 dns 的方式申请通配符的证书比较省事,在有公网映射,内外网80和443端口映射不一致的环境下推荐使用。
Let's Encrypt Windows认证客户端
12-11
Let's Encrypt Windows认证客户端。 Let's Encrypt是国外一个公共的免费SSL项目,由 Linux 基金会托管,由Mozilla、思科、Akamai、IdenTrust和EFF等组织发起。 Let's Encrypt证书有效期三个月,每三个月需要续签证书Let's Encrypt注册主域名认证频率20个/周,同一域名重复认证 5次/周。
Let's Encrypt证书申请
03-27
Let's Encrypt 证书申请 SSL证书 SSL 详细说明如何申请Let's Encrypt证书
windows下部署免费ssl证书(letsencrypt)的方法
09-30
给大家介绍了windows下部署免费ssl证书(letsencrypt)的方法,非常不错,具有参考借鉴价值,需要的朋友参考下
letsencrypt-win-simple.V1.9.3(Let's Encrypt For Windows
06-23
Let's Encrypt是可以签发免费SSL/TLS证书的CA机构,它是为普及HTTPS而发起的,推动了基础DV SSL证书的普及。其证书已经被Mozilla、Google、Microsoft和Apple等主流浏览器支持,只需要web服务器配置好HTTPS证书,浏览器会在加载时验证web服务器HTTPS证书是否有效。 使用Let’s Encrypt一个很重要的理由是免费,避免ISP劫持;还有申请速度快、无需注册账户等优点。在对比了众多免费CA后,Let’s Encrypt是比较方便和理想的,它提供了基础DV SSL证书,只提供了数据加密;不验证身份,无法向用户证明网站的所有者。但即使这样也满足了基本需要了。 letsencrypt-win-simple可以在Windows系统上自动申请/续期/部署到IIS服务器上。
ThreeJs模拟工厂生产过程八
最新发布
Baker的博客
04-29 313
总的来说比之前好看一些了,但是数字孪生的场景是为了模拟真实情况并查看数据的,所以我们要给设备加点数据才行,之前用了精灵组件简单的做了个设备工序名,这里为了显示更复杂的样式引用CSS2DRender,他的好处是可以做一个html的div显示在设备上,样式与原生的方法一样,这样就可以设置好看的标签样式了。首先我们下载好模型放到本地,我下载的是gltf的格式,之前用引入人的模型已经导入此组件,不用再次导入了,我们只需要在绘制模型的外面加载模型,并在循环中克隆加载到的模型,并根据模型的大小进行缩放和位置偏移。
let's encrypt官网一键式免费申请ssl证书脚本
09-04
let's encrypt是一个非盈利性质的机构,致力于提供免费的SSL证书服务,以促进整个互联网的安全性。在官网上,他们提供了一键式免费申请SSL证书的脚本,使得用户可以快速而简便地获取自己网站的SSL证书。 这个一键式免费申请SSL证书脚本的使用非常简单。首先,用户需要在自己的网站服务器上安装并配置好Certbot工具。Certbot是一个由let's encrypt官方开发的自动化工具,用于申请和更新SSL证书。 在安装和配置好Certbot之后,用户只需要在命令行中输入一条简单的指令,就可以申请自己网站的SSL证书了。具体指令如下: $ sudo certbot certonly --standalone -d <your_domain> 其中,“<your_domain>”替换为用户自己的域名。这条指令的作用是告诉Certbot以standalone模式运行,并申请一个新的证书,该证书将与用户输入的域名关联。 Certbot会自动与let's encrypt的服务器进行通信,验证用户所拥有的域名和服务器的控制权。一旦验证通过,Certbot就会生成一个有效期为90天的SSL证书,并将其保存在用户指定的位置。 用户可以根据自己的需要选择将证书文件保存到哪个目录,以及将其用于哪个Web服务器(例如Apache或Nginx)。 值得一提的是,这个一键式免费申请SSL证书脚本还支持自动续订证书的功能。Certbot会在证书即将过期之前自动执行更新过程,以确保用户的网站能够持续使用最新的SSL证书。 总之,let's encrypt官网提供的一键式免费申请SSL证书脚本极大地简化了证书申请和管理的过程,让网站拥有更安全可靠的加密通信。用户只需几个简单的步骤,就能轻松获得免费的SSL证书,提升网站的安全性和可信度。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值