Установка TLS сертификата от Let’s Encrypt на веб сервер IIS (бесплатный https)

Внимание, способ мог устареть из-за ввода новшеств со стороны Lets Encrypt! Суть не поменялась, но актуальнее способ тут, хоть речь и про Exchange:

https://adminotes.ru/let-s-encrypt-dlya-exchange-i-postfix/

В связи с недавними атаками шифровальщиков WannaCry, Petya и им подобных, многие компании, наконец, всерьез задумались об информационной безопасности.

А что? надо же когда-то начинать ).

И хоть сегодняшняя статья и не имеет прямого отношения к защите от выше представленных «шифровальщиков».

Но кто знает, где завтра вскроется очередная «дыра»?

Сегодня решил написать подробную статью о том, как бесплатно получить TLS сертификат безопасности от центра сертификации Let’s Encrypt, и установить его на веб сервере IIS, чтобы сайты могли открываться по протоколу https. Этот протокол очень нравится и браузерам (сайты будут помечаться зеленым замочком) и поисковым системам (ПС), что в свою очередь положительно скажется на ранжировании в результатах поиска.

Делать все это, мы будем на Windows Server 2016 Standard.

Let's Encrypt установка на windows веб сервер IIS

Let’s Encrypt установка на windows веб сервер IIS

О SSl сертификатах слышали многие, а вот о TLS стоит сказать два слова:

Протокол TLS (transport layer security) основан на протоколе SSL.

Сертификат способен надежно защитить, например 1С Предприятие от несанкционированного доступа! (Кто работает в 1С через ВЕБ).

Да, собственно это позволит защитить и все Ваши сервисы, сайты, которые раньше работали на обычном HTTP.

Сертификатам от организации Let’s Encrypt доверяют все браузеры, так как используется надежное шифрование SHA-256+RSA, к тому же сегодня многие известные компании используют сертификаты от Let’s Encrypt, (Facebook, Cisco, Chrome) посему можно сделать вывод, что этот центр сертификации не «сдуется» как это было с WoSign и StartCom.

Стоит отметить также, что еще в 2016-том, было выдано больше миллиона сертификатов.

Организация сегодня активно развивается.

Из минусов:

Сертификат выдается лишь на 90 дней, но его всегда можно быстро обновить, по факту использования данного сертификата, могу сказать, что с этим проблем нет никаких.

О сайтах:

С недавних пор мои сайты также перешли на защищенный протокол https, используя сертификат TLS от Let’s Encrypt.

И причина перехода была не только в безопасности, но и угрозы от большинства веб обозревателей.

К примеру, если у Вас на сайте есть «форма входа или регистрации» то без https, браузеры будут говорить пользователю что «вход не безопасный», «Данные не шифруются» или будут выдавать другие подобные предостережения, которые конечно скажутся на доверии, конверсии и так далее.

Да что говорить, если даже GOOGLE, собирается понижать в поисковой выдаче сайты без https.

А дословно, «Приоритет будет отдан тем сайтам, что используют https».

Переход на https:

Совершить переход на https при помощи сертификатов от Let’s Encrypt на Linux не составит труда, в интернете уже есть сотни подробных инструкций.

Еще проще это сделать, если Вы используете ISPmanager. (Там есть готовый бесплатный модуль).

А вот если нужно, это сделать на Windows когда веб сервере IIS, перевести на https (Конечно с использованием бесплатного сертификата от Let’s Encrypt, то проблемы могут быть).

Толковых инструкций (где бы не нужно было использовать Linux или Visual Studio) не нашел, поэтому решил написать статью сам.

Шаг №1. Доменное имя.

У Вас должно быть доменное имя.

Если у Вас нет доменного имени, то, как получить его бесплатно на 12 мес. писал вот здесь.

Первым делом нужно привязать его к нашему статическому IP адресу.

Здесь это показано, иначе нужно делать у Вас на хостинге.

Шаг № 2. Пробросить порт.

Открыть и пробросить порт 80 и 443 на сервер где у Вас работает веб сервер IIS.

В моем случаи, это локальный IP адрес 192.168.128.58

(После успешной реализации 80-тый порт снова закроем).

Шаг № 3. Проверим доступность сайта

Проверяем, доступен ли сайт, по нашему доменному имени извне, (Opera с VPN Вам в этом поможет).

Если все хорошо, тогда приступаем к следующему шагу.

Шаг № 4. Запись в Hosts.

Теперь нужно сделать привязку к локальному localhost на сервере, где работает веб сервер IIS.

Открываем «C:\Windows\System32\drivers\etc\ hosts»

Открывать для редактирования этот файлик нужно от имени администратора (Например, через обычный блокнот.)

И внесем такую запись 127.0.0.1 sklad1c.cf

Сохраним наш hosts.

Шаг № 5. Привязка к домену на веб сервере IIS.

Нам также нужно сделать еще одну привязку на веб сервере IIS.

Это нужно для работы «клиента», которого мы скачаем чуть позже, чтоб он понимал, какими DNS именами мы располагаем и на какое имя делать сертификат.

Привязку делаем на 80 порт, а потом программа «клиент» сама создаст привязку на 443 порт.

Запускаем «IIS Manager».

Далее развернем компоненты и выбираем «Sites» -«Default Web Site», затем правый клик мышкой «Bindings…» или «Привязки».

Клик по кнопке «Edit» и в поле «Host name:» пропишем наш домен sklad1c.cf

Шаг № 6. «Клиент»

Теперь нам нужно скачать ту самую программу «клиент- letsencrypt-win-simple v1.9.3»

Вот прямая ссылка на github: https://github.com/Lone-Coder/letsencrypt-win-simple/releases

Она сделает всю работу по запросу, созданию и установке сертификата на наш веб сервер IIS.

После скачивания программы, распакуем архив и запустим ее.

Клик по «letsencrypt.exe». – запуск от имени администратора.

Программка имеет консольный интерфейс, но не волнуйтесь, нам для настройки потребуется лишь ввести свой email и несколько раз подтвердить действия.

Для начала введем email (любой).

Кликаем Enter и ждем следующего вопроса.

Кликаем по клавише “Y”.

И теперь наш “Клиент” должен найти DNS записи, наш домен на веб сервере IIS – sklad1c.cf

Ставим единицу (цифра соответствует строке домена, у меня лишь один – sklad1c.cf).

Кликаем по клавише “Enter”.

После чего набираемся терпения и ждем несколько минут 3 -5 -10 на получение и установку сертификата.

Как видно из скрина выше, все прошло успешно и мы получили сертификат!

(Было даже несколько “матюков” так как раньше я использовал самозаверяющийся сертификат).

Но это никак не повлияло на результат, сертификат от Let’s Encrypt успешно установлен!

Кликаем по клавише “N”, и на этом работа закончена.

Проверяем

И сам сертификат

“Контрольный” через Opera VPN

Финиш – проверка сертификата

Как видите все получилось, сертификат работает.

Богдан, спасибо!