windows Server下Let‘s Encrypt的SSL证书续期

已于 2024-02-25 17:06:12 修改
阅读量1.2k 收藏 12
点赞数 8
文章标签: windows ssl 网络协议
于 2024-02-24 12:21:06 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bigcarp/article/details/136270179
版权

刚发现在IIS下 用 win-acme (之前称为Let's Encrypt-Win-Simple) 比 Certbot 更简单。为Windows平台上的服务(主要是IIS)自动化Let's Encrypt证书的获取和续期过程。它是完全开源的。

=============

一、手动续期方法:

暂停IIS服务器 --> 暂时关闭防火墙 --> 执行certbot renew --> 打开防火墙 --> 用OpenSSL将证书转换为PFX格式-->pfx文件导入到IIS --> IIS对应网站中绑定新证书 --> 重新启动IIS -->完成

1、暂停IIS服务器

2、暂时关闭防火墙,命令

netsh advfirewall set allprofiles state off

3、在开始菜单中打开Certbot客户端(或者管理员权限powershell进入Certbot安装目录下的\bin目录)

先查看一下到期信息:

certbot certificates

 

执行

certbot renew

成功!

4、关闭防火墙

netsh advfirewall set allprofiles state on

5、用OpenSSL将最新获得的PEM格式的证书和私钥转换为PFX格式

-->C:\Certbot\archive\yourdomain.com\ 目录下找到最新的privkey.pem 和 fullchain.pem,复制到一个指定目录,然后在OpenSSL安装目录下执行:

C:\Program Files\OpenSSL-Win64\bin>openssl pkcs12 -export -out F:\pem\mysite.pfx -inkey F:\pem\privkey.pem -in F:\pem\fullchain.pem

6、双击pfx文件导入到IIS。(需输入创建pfx文件时设置的密码)

7、IIS对应网站中绑定证书:

8、重新启动IIS

 二、自动续期方法

[未验证,以下是GPT的解答]

在Windows和IIS环境下实现SSL证书的自动续期,尤其是当使用Certbot客户端且需要特定操作(如暂停IIS服务器和关闭防火墙)来成功完成续期时,会稍显复杂。不过,你可以通过创建一个自动化脚本并结合Windows任务计划程序来实现这个目标。下面是一种可能的解决方案:

第一步:创建一个批处理脚本

  1. 创建一个新的批处理文件(例如,CertbotRenew.bat),并将其存放在一个可靠的位置,比如C:\Scripts\

  2. 编辑批处理文件,加入以下命令行:

    @echo off
REM 停止IIS服务
iisreset /stop

REM 关闭Windows防火墙
netsh advfirewall set allprofiles state off

REM 执行Certbot续期
"C:\Program Files\Certbot\bin\certbot.exe" renew

REM 开启Windows防火墙
netsh advfirewall set allprofiles state on

REM 重新启动IIS服务
iisreset /start

    确保调整上述脚本中的路径和命令以匹配你的环境和需求。

第二步:使用Windows任务计划程序创建一个任务

  1. 打开任务计划程序:在开始菜单搜索"任务计划程序"并打开它。

  2. 创建新任务:在“操作”菜单中选择“创建任务”。

  3. 配置任务

    • 在“常规”标签下,给任务命名,并选择“不管用户是否登录都要运行”。
    • 在“触发器”标签下,点击“新建”,设置任务的开始时间和重复频率。你可能希望每月运行一次,因为Let's Encrypt的证书有效期为90天,这样可以确保在证书到期之前有足够的时间来解决可能出现的任何问题。
    • 在“操作”标签下,点击“新建”,“操作”选择“启动程序”,在“程序或脚本”框中输入你的批处理文件的路径(例如,C:\Scripts\CertbotRenew.bat)。

  4. 完成和保存任务:配置完毕后,点击“确定”保存新任务。

通过这种方式,你就创建了一个自动化任务,它会根据你设置的时间表自动运行,执行必要的操作来续期你的SSL证书,包括在续期过程中暂停IIS服务和关闭防火墙。

注意事项

  • 确保在设置自动续期前,手动运行一次脚本来验证所有步骤都能正常工作。
  • 考虑到安全性,频繁关闭防火墙并不是一个好的安全实践。如果可能,寻找不需要关闭防火墙的续期方法,例如配置适当的防火墙规则来允许Certbot进行验证,可能会是一个更安全的选择。
  • 如果你的IIS站点配置或DNS记录会经常变动,确保在续期前验证这些配置仍然有效,以免自动续期失败。
  • 考虑在脚本中加入日志记录功能,以便跟踪续期过程中可能出现的任何问题

三、windows + IIS 环节下如何使用Webroot插件完成SSL证书续期

在Windows和IIS环境下使用Certbot的Webroot插件完成SSL证书续期,需要确保Certbot能够在你的Web服务器上放置一个特殊文件,Let's Encrypt的验证服务器会访问这个文件以验证域名的所有权。这个过程不需要停止IIS服务或关闭防火墙,但要求IIS能够提供访问.well-known/acme-challenge目录下文件的HTTP服务。

步骤 1: 确保Webroot路径存在

首先,你需要确定或创建一个目录,作为Webroot插件放置验证文件的地方。这通常是你网站文件存放的根目录。例如,如果你的网站根目录是C:\inetpub\wwwroot,你需要确保这个目录存在并且IIS有权限访问它。

步骤 2: 配置IIS以服务.well-known/acme-challenge

  1. 打开IIS管理器。
  2. 选择你的网站。
  3. 在“操作”面板中,点击“浏览目录”并确保.well-known目录存在于你的Webroot目录下。如果不存在,请创建它。
  4. 同样,确保.well-known目录下有一个名为acme-challenge的子目录。
  5. .well-known/acme-challenge目录配置MIME类型,以确保IIS能够正确地服务在此目录下创建的文件。在IIS管理器中选择网站或服务器级别,然后打开“MIME 类型”。添加一个新的MIME类型:文件扩展名为.*,MIME类型为text/plain

步骤 3: 使用Webroot插件续期证书

在确认了上述配置后,你可以使用以下命令来续期证书,其中<your-webroot-path>需要替换为实际的Webroot路径,例如C:\inetpub\wwwroot

certbot certonly --webroot -w <your-webroot-path> -d example.com -d www.example.com

这个命令会告诉Certbot使用Webroot插件,-w选项指定了Webroot目录的路径,-d选项后面跟着你想要证书覆盖的域名。

步骤 4: 更新IIS以使用新的证书

续期证书后,你可能需要手动更新IIS配置,以使用新的证书。这可以通过IIS管理器完成:

  1. 打开IIS管理器。
  2. 选择你的网站,然后点击“绑定…”。
  3. 找到使用旧证书的HTTPS绑定,点击“编辑”。
  4. 在“SSL 证书”下拉菜单中,选择新续期的证书。
  5. 点击“确定”保存更改。

自动化续期

虽然使用Webroot插件可以手动续期证书,但Certbot在Windows上的自动续期可能不如Linux上那么直接。你可以通过创建一个定时任务来定期运行续期命令,并检查日志文件确认续期成功。

请注意,这个过程中的确切步骤可能根据你的具体环境和配置有所不同。如果遇到问题,检查Certbot日志文件和IIS日志文件可以提供有用的信息。

bigcarp
关注
let's encrypt ssl证书续期
Iris_33的博客
03-17 829
证书有效期为三个月,每三个月需要重新生成一次,在此记录: 1.收到证书到期邮件 2.登录网站https://www.sslforfree.com/certificates 3.点击续订/Renew 4.点击手动验证域 5.根据提示,去DNS域名解析的地方,添加DNS TXT记录,点击验证 6.验证的txt匹配,点击下载,得到三个文件 7.登录服务器,更新证书...
Let's Encrypt 证书 SSL通用证书 配置与自动续期
weixin_43139174的博客
11-09 1350
什么是 Let’s Encrypt? 部署 HTTPS 网站的时候需要证书证书由 CA 机构签发,大部分传统 CA 机构签发证书是需要收费的,这不利于推动 HTTPS 协议的使用。Let’s Encrypt 也是一个 CA 机构,但这个 CA 机构是免费的!!!也就是说签发证书不需要任何费用。Let’s Encrypt 由于是非盈利性的组织,需要控制开支,他们搞了一个非常有创意的事情,设计了一...
Let’s Encrypt 提供免费 SSL/TLS 证书,其中通配符证书允许为一个域名及其所有子域名提供加密支持
05-23
描述: Let’s Encrypt 官方推荐的客户端工具,用于自动获取和管理 SSL 证书。支持获取通配符证书,但要求通过 DNS-01 挑战进行域名验证。 主要功能: 自动化证书请求、续期、配置;支持 DNS 插件,用于自动更新 DNS 记录以完成验证。 通过 Let’s Encrypt 自动申请通配符证书时,需要使用 DNS-01 验证方法。Certbot 提供了 --manual-auth-hook 和 --manual-cleanup-hook 两个钩子(hook),可结合 Shell 脚本调用 DNS 服务商的 API 实现自动化操作,动态添加和删除 DNS TXT 记录,从而简化证书的申请和续期过程,避免人工干预。 针对常见的 DNS 提供商(如阿里云 DNS、腾讯云 DNS、华为云 DNS、GoDaddy),通过这种方式,可以实现阿里云 DNS、腾讯云 DNS、华为云 DNS 以及 GoDaddy DNS 的自动化集成,简化 Let’s Encrypt 通配符证书的申请和管理流程,显著提高运维效率。
Let‘s Encrypt在Linux上自动续签HTTPS证书
最新发布
weixin_73725158的博客
09-25 556
Let's Encrypt作为一个由Mozilla、Cisco、Akamai、IdenTrust和EFF等组织发起的项目,致力于通过自动化方式为网站提供免费的SSL/TLS证书,极大地促进了互联网的加密化,保障了用户的在线安全。总之,Let's Encrypt在Linux上通过Certbot实现了HTTPS证书的自动续签,极大地简化了证书管理的复杂性。为了实现证书的自动续签,Certbot会为你设置一个cron作业(或类似的定时任务),该任务会定期检查证书的有效期,并在需要时自动续签证书
Certbot实现 HTTPS 免费证书(Let‘s Encrypt)自动续期
小小明-代码实体的专栏
12-12 6050
以前阿里云支持申请一年的免费https证书,那每年我们手动更新证书并没什么大问题,但现在阿里云的免费证书仅支持3个月,这意味着每三个月都要要申请一下证书显得非常麻烦。下面我们使用Certbot实现ssl证书的自动更新,这次我在Centos8的Nginx上进行演示如何配置SSL证书
Windows服务器申请SSL证书及自动续期
WGLNNGT的专栏
04-10 1578
交互窗口输入IIS站点根目录,以使certbot创建验证文件(通过http协议地址能够被访问到),由于生成验证文件不具备后缀名,在默认IIS安全设置中是不允许此类链接访问的,因此还需要在网站MIME类型中加个通配符类型『.』,配置其对应的类型为『application/octet-stream』。验证通过后会将证书发布至C:\Certbot文件夹下,archive和live目录下均会生成域名对应的文件夹,live为有效的archive目录下快捷方式。
letsencrypt续期 最简单的续期方法更新证书
weixin_30617561的博客
02-21 2191
Let's Encrypt申请的证书会有三个月的有效期,如何更方便的续期呢? 关于证书续期: 所谓letsencrypt续期续期相当于重新申请一次证书,然后在服务器端将过期的证书替换掉即可。由于这个免费的证书只有3个月的有效期,所以需要提前申请好新的证书,然后部署到服务器上。 常规做法: 一般情况下在自己服务器部署申请Let's Encrypt证书环境的话,这些软件都会提供续期功能。 ...
[转]部署Let’s Encrypt免费SSL证书&&自动续期
weixin_30768661的博客
02-23 397
最近公司网站要用https,从自己摸索到找到国内的免费证书到选购正式的收费证书,最后老板说:太贵!不要。一脸懵逼的听老板提到Let’s Encrypt证书,没办法,用呗。之前是有一些了解,国外发布的一款纯免费证书,只是觉得天下没有免费的午餐,免费和收费的差距肯定还是有的。于是,硬着头皮开始鼓捣Let’s Encrypt证书。 前言 Let's Encrypt 作为新的证书颁发机构,免费,...
Let’sEncrypt永久免费SSL证书过程教程
MojxTang_Blog
10-08 2171
http 和 https 是什么? http 是一个传输网页内容的协议,比如你看到的 http 开头的网站 http://www.baidu.com,其网页上的文字、图片、 CSS 、 JS 等文件都是通过 http 协议传输到我们的浏览器,然后被我们看到。 而 https 可以理解为“ HTTP overSSL/TLS”,http 为什么需要“ over...
Let’s Encrypt ssl 证书申请 + 自动续期
Double_wood的博客
10-25 1253
文章源地址:文章源地址 根据现在的规定,http 协议被标记为不安全,需要转换为 https 协议 本文采用 Let’s encrypt 提供的 ssl 证书,将网站升级为 https 协议,并自动更新。 一、下载 let’s encrypt service nginx stop # 关闭 nginx 服务 apt-get update add-apt-repository ppa:certbot/certbot apt-get install certbot # 申请泛域名证书需要添加 DNS 解
Python_Certbot是eff的工具,可以从Lets Encrypt获取证书,并可选择在服务器上自动启用HTTP.zip
05-23
此工具的主要目标是促进互联网上的安全通信,通过自动化流程帮助用户从Let's Encrypt这样的免费证书颁发机构获取SSL证书Let's Encrypt是一家非营利组织,致力于提供免费且易于使用的HTTPS证书,从而提高互联网的...
获取Let‘s Encrypt https 证书并自动更新
qq_22783587的博客
08-18 475
参考官方文档 环境: CentOS/RHEL 7 1. 安装snap,如果已安装,确保是最新版 sudo snap install core; sudo snap refresh core 2. 删除 certbot-auto 以及任何 Certbot OS 安装包 根据你安装时使用的工具执行不同的命令 sudo apt-get remove certbot, sudo dnf remove certbot sudo yum remove certbot. 3. 安装 Certbot sudo snap
申请Let‘s Encrypt免费SSL证书、自动化续签证书
赵昕彧
06-08 5448
使用certbot工具能够很方便的申请和续签let’s encript证书。这里配置的是每周一 10点执行一次,根据个人需求更改配置即可。站点目录:html文件保存位置,只需要到文件夹即可。联系人email地址:填写自己的邮箱即可。3、加入命令(续签并重载nginx配置),如果没有安装Nginx则需要先安装。1、根据需求,选择下面两句话之一。5、可以查看一下证书有效期。6、配置Nginx(参考)2、安装 certbot。站点域名:购买的域名。2、加入crontab。4、申请成功后,会在。
宝塔 续签Let's Encrypt证书
qq_36746815的博客
02-21 908
操作如图: 脚本内容: python /www/server/panel/class/panelLets.py renew_lets_ssl 完成,OK .
宝塔续签Let‘s Encrypt证书
abchuangyoucheng的博客
11-12 2982
/www/server/panel/pyenv/bin/python -u /www/server/panel/class/acme_v2.py --renew=1
letsencrypt证书续期
shenxiaomo1688的博客
01-16 2582
1.停止tomcat服务,因两者所使用的端口号都是8080,所以如果tomcat在运行,进行续期,会报如下错误: produced an unexpected error: Problem binding to port 80: Could not bind to IPv4 or IPv6… Skipping. 2.进入到letsencrypt所在的目录,如cd letsencrypt 3.输入命...
快速签发 Let's Encrypt 证书指南
dgrvsq1048的博客
07-12 370
说在前面 本文仅记录给自己的网站添加“小绿锁”的动手操作过程,不涉及 HTTPS 工作原理等内容的讲解,感兴趣的同学可以参考篇尾的文章自行了解。 简单了解下我的实验环境: 云服务器:CentOS 7.4 网站宿主:Nginx 1.12.2 备案域名:www.esofar.cn 这里以www.esofar.cn作为演示域名,届时一定要修改为自己的域名。 什么是 Let's Encr...
宝塔自动续签Let‘s Encrypt证书
weixin_61769998的博客
08-16 1360
宝塔自动续签Let's Encrypt证书
certbot续签Let's Encrypt免费SSL证书
tornge的博客
07-09 1978
今天用chrome打开网站提示不安全的链接,后来一查发现证书过期了,手动续期后解决。 命令: certbot certonly --webroot -w /usr/local/nginx/html/ -d yourdomain.com 回头做个定时任务,让这个命令定期自动执行。 参考: https://segmentfault.com/a/1190000005797776...
let's encrypt官网一键式免费申请ssl证书脚本
09-04
let's encrypt是一个非盈利性质的机构,致力于提供免费的SSL证书服务,以促进整个互联网的安全性。在官网上,他们提供了一键式免费申请SSL证书的脚本,使得用户可以快速而简便地获取自己网站的SSL证书。 这个一键式免费申请SSL证书脚本的使用非常简单。首先,用户需要在自己的网站服务器上安装并配置好Certbot工具。Certbot是一个由let's encrypt官方开发的自动化工具,用于申请和更新SSL证书。 在安装和配置好Certbot之后,用户只需要在命令行中输入一条简单的指令,就可以申请自己网站的SSL证书了。具体指令如下: $ sudo certbot certonly --standalone -d <your_domain> 其中,“<your_domain>”替换为用户自己的域名。这条指令的作用是告诉Certbot以standalone模式运行,并申请一个新的证书,该证书将与用户输入的域名关联。 Certbot会自动与let's encrypt的服务器进行通信,验证用户所拥有的域名和服务器的控制权。一旦验证通过,Certbot就会生成一个有效期为90天的SSL证书,并将其保存在用户指定的位置。 用户可以根据自己的需要选择将证书文件保存到哪个目录,以及将其用于哪个Web服务器(例如Apache或Nginx)。 值得一提的是,这个一键式免费申请SSL证书脚本还支持自动续订证书的功能。Certbot会在证书即将过期之前自动执行更新过程,以确保用户的网站能够持续使用最新的SSL证书。 总之,let's encrypt官网提供的一键式免费申请SSL证书脚本极大地简化了证书申请和管理的过程,让网站拥有更安全可靠的加密通信。用户只需几个简单的步骤,就能轻松获得免费的SSL证书,提升网站的安全性和可信度。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值