Nainštalujte bezplatný certifikát Šifrujme TLS / SSL na serveri IIS / RDS v systéme Windows Server 2016/2012 R2

V tomto prehľade budeme hovoriť o vlastnostiach inštalácie a viazania bezplatného certifikátu TLS / SSL od Let's Encrypt pre web na webovom serveri IIS spustenom v systéme Windows Server 2019/2016/2012 R2..

obsah:

  • Poďme šifrovať a ACME klientov pre Windows
  • Klient WACS na inštaláciu TLS Šifrujme certifikát v IIS na Windows Server
  • Presmerovanie prevádzky webu IIS z HTTP na adresu HTTPS
  • Používanie šifrovacieho certifikátu pre služby vzdialenej pracovnej plochy

Poďme šifrovať a ACME klientov pre Windows

Prítomnosť certifikátu TLS / SSL na mieste vám umožňuje chrániť údaje používateľa prenášané v sieti pred útokmi typu človek v strede a zaručiť integritu prenášaných údajov. Nezisková certifikačná autorita nechať, s šifrovanie Umožňuje automaticky vydávať prostredníctvom kryptografických certifikátov TLS X.509 pre šifrovanie (HTTPS) automaticky API. Vydávajú sa iba certifikáty na overenie domény s dobou platnosti 90 dní (pre jednu doménu týždenne je limit 50 certifikátov). Môžete však automaticky znova vydať certifikát SSL pre svoje stránky podľa plánu.

Nazýva sa API na automatické vydávanie certifikátov automatizovaný certifikát management prostredie (ACME) API. Pre systémy Windows v súčasnosti existujú 3 z najobľúbenejších implementácií klienta ACME API:

  • užitočnosť windows ACME prostý (WACS) - obslužný program príkazového riadku na interaktívne vydávanie certifikátov a ich prepojenie s konkrétnymi servermi na vašom webovom serveri IIS;
  • modul Powershell ACMESharp - Knižnica Powershell s mnohými príkazmi na interakciu prostredníctvom rozhrania ACME API so servermi Let's Encrypt;
  • potvrdiť - Grafický manažér certifikátov SSL pre Windows, ktorý umožňuje interaktívnu správu certifikátov prostredníctvom rozhrania ACME API.

Klient WACS na inštaláciu TLS Šifrujme certifikát v IIS na Windows Server

Najjednoduchší spôsob, ako získať certifikát SSL od Let's Encrypt, je použiť obslužný program konzoly Windows ACME Jednoduché (WACS) (predtým bol projekt nazývaný LetsEncrypt-výhra-prostý). Je to jednoduchý sprievodca, ktorý vám umožní vybrať jednu z lokalít spustených v službe IIS a automaticky na ňu vydať a pripojiť certifikát SSL..

Predpokladajme teda, že máme webovú stránku v službe IIS, ktorá je nasadená v systéme Windows Server 2016. Našou úlohou je prepnúť ju do režimu HTTPS inštaláciou certifikátu SSL z programu Let's Encrypt.

Stiahnite si najnovšie vydanie klienta WACS zo stránky projektu na stránke GitHub https://github.com/PKISharp/win-acme/releases (v mojom prípade je to verzia v2.0.10 - win-acme.v2.0.10.444.zip).

Rozbaľte archív do adresára na serveri pomocou služby IIS: c: \ inetpub \ letsencrypt

Aby ste mohli používať Win-Acme, musíte nainštalovať .NET Framework 4.7.2 alebo vyšší (Ako zistiť, ktorá verzia .Net je nainštalovaná?).

Otvorte príkazový riadok s oprávneniami správcu, prejdite na c: \ inetpub \ letsencrypt a spustite ho WACS.exe.

Spustí sa interaktívny sprievodca na generovanie certifikátu Let's Encrypt a jeho naviazanie na lokalitu IIS. Ak chcete rýchlo vytvoriť nový certifikát, vyberte položku N: - Vytvorte nové certifikáty (jednoduché pre IIS).

Potom musíte vybrať typ certifikátu. V našom príklade nie je potrebné používať certifikát s aliasmi (viac SAN - alternatívny názov subjektu), takže stačí vybrať 1. Jediná väzba na miesto IIS. Ak potrebujete certifikát Wildcard, vyberte možnosť 3.

Ďalej obslužný program zobrazí zoznam lokalít spustených na serveri IIS a ponúkne možnosť vybrať lokalitu, pre ktorú potrebujete vytvoriť a zviazať nový certifikát SSL..

Uveďte svoju e-mailovú adresu, na ktorú sa budú posielať oznámenia o problémoch s aktualizáciou certifikátu stránok a ďalšie informácie o zavesení (môžete určiť viac e-mailov oddelených čiarkami). Zostáva súhlasiť s podmienkami používania a systém Windows ACME Simple sa pripojí k serverom Šifrujme šifrovanie a pokúsi sa automaticky vygenerovať nový certifikát SSL pre vaše stránky..

Proces generovania a inštalácie Let's Encrypt SSL certificate for IIS je plne automatizovaný.

V predvolenom nastavení sa overenie domény vykonáva v režime http-01 validácia (SelfHosting). Na to musíte mať v doméne DNS záznam smerujúci na váš webový server. Pri spustení systému WACS v manuálnom režime môžete zvoliť overenie typu - 4 [http-01] Vytvoriť dočasný prihláška v IIS (odporúča). V tomto prípade sa na webovom serveri IIS vytvorí malá aplikácia, prostredníctvom ktorej sa môžu overiť servery Poďme šifrovať.

poznámka. Pri overovaní TLS / HTTP by mala byť vaša stránka prístupná zvonka pomocou celého názvu DNS pomocou protokolov HTTP (80 / TCP) a HTTPS (443 / TCP)..

Obslužný program WACS uloží súkromný kľúč certifikátu (* .pem), samotný certifikát a niekoľko ďalších súborov do adresára. C: \ Users \% username% \ AppData \ Roaming \ letsencrypt-win-simple. Potom nainštaluje certifikát Let's Encrypt SSL generovaný na pozadí a pripojí ho k vášmu serveru IIS. Ak je na webe už nainštalovaný certifikát SSL (napríklad podpísaný sám sebou), nahradí sa novým.

V Správcovi služby IIS otvorte ponuku Viazanie na web a uistite sa, že používa certifikát vydaný spoločnosťou Šifrujme autoritu X3.

Tento certifikát bude dôveryhodný, ak ste včas aktualizovali koreňové certifikáty systému Windows..

V úložisku certifikátov počítačov sa poďme šifrovať pre certifikát IIS nájdete v sekcii Webhosting -> Certifikáty.

Windows ACME Simple vytvára nové pravidlo v Plánovači úloh systému Windows (win-acme -enew (acme-ctv.api.letsencrypt.org)) na automatické obnovenie certifikátu. Úloha sa začína každý deň, obnovenie certifikátu sa uskutoční po 60 dňoch. Plánovač spustí príkaz:

C: \ inetpub \ letsencrypt \ wacs.exe --renew --baseuri "https://acme-ctv.api.letsencrypt.org"

Rovnaký príkaz môžete použiť na manuálnu aktualizáciu certifikátu.

Presmerovanie prevádzky webu IIS z HTTP na adresu HTTPS

Ak chcete presmerovať všetku prichádzajúcu komunikáciu HTTP na web HTTPS, musíte nainštalovať modul Microsoft URL prepísať modul (https://www.iis.net/downloads/microsoft/url-rewrite) a uistite sa, že v nastaveniach stránok nie je povolená možnosť SSL (Vyžadovať SSL). Zostáva nakonfigurovať presmerovanie v súbore web.config:













Môžete tiež nakonfigurovať presmerovanie prenosu prostredníctvom adresy URL na prepísanie pomocou GUI IIS Manager. Vyberte položku Webové stránky -> vaše meno -> Prepísanie adresy URL.

Vytvorte nové pravidlo Pridať pravidlo -> Prázdne pravidlo.

Zadajte názov pravidla a zmeňte hodnoty parametrov:

  • Požadovaná adresa URL -> Zodpovedá vzoru
  • Pomocou -> Regulárne výrazy
  • Vzor -> (. *)

V bloku Podmienky zmeňte Logické zoskupenie -> Zhodiť všetko a kliknite na Pridať. špecifikovať

  • Zadanie stavu -> HTTPS
  • Skontrolujte, či vstupný reťazec -> Zodpovedá vzoru
  • Vzor -> ^ OFF $

Teraz v bloku akcie vyberte:

  • Typ akcie -> Presmerovanie
  • Adresa URL presmerovania -> https: // HTTP_HOST / R: 1
  • Typ presmerovania -> Permanentný (301)

Otvorte prehliadač a skúste otvoriť svoje stránky pomocou adresy HTTP, mali by ste byť automaticky presmerovaní na adresu HTTPS.

Používanie šifrovacieho certifikátu pre služby vzdialenej pracovnej plochy

Ak na pripojenie externých používateľov k podnikovej sieti použijete bránu vzdialenej pracovnej plochy / webový prístup k RD, môžete namiesto zvyčajného certifikátu s vlastným podpisom použiť štandardný certifikát šifrovania SSL. Pozrime sa, ako správne nainštalovať certifikát Let's Encrypt pre zabezpečenú službu Remote Desktop Services v systéme Windows Server..

Ak je úloha RDSH tiež vyzdvihnutá na serveri brány vzdialenej pracovnej plochy, musíte zabrániť čítaniu používateľov v prístupe k adresáru, v ktorom máte WACS (v mojom príklade c: \ inetpub \ letsencrypt) a certifikátu Pošifrovať (adresár certifikátov C: \ ProgramData) \ win-acme).

Potom na serveri RDP GW spustite wacs.exe, ako je opísané vyššie, a vyberiete požadovaný server IIS (zvyčajne predvolený web). Poďme šifrovať vám nový certifikát, ktorý je nainštalovaný na webe a úloha pre automatické obnovenie certifikátu sa objaví v plánovači.

Tento certifikát môžete manuálne exportovať a pomocou väzby SSL nadviazať na požadované služby RDS. Tieto kroky však budete musieť vykonať manuálne každých 60 dní pri opätovnom vydaní certifikátu Let's Encrypt.

Potrebujeme skript, ktorý by ihneď po prijatí (obnovení) certifikátu Poďme šifrovať použil pre bránu RD.

Projekt win-acme má hotový skript PowerShell ImportRDGateway.ps1 (https://github.com/PKISharp/win-acme/tree/master/dist/Scripts), čo vám umožňuje nainštalovať vybraný certifikát SSL pre službu Remote Desktop Services. Hlavnou nevýhodou skriptu je, že musíte ručne určiť odtlačok prsta nového certifikátu:
ImportRDGateway.ps1

Ak chcete automaticky získať odtlačok certifikátu z určeného webu IIS, použite upravený skript ImportRDGateway_Cert_From_IIS.ps1 (na základe štandardného ImportRDGateway.ps1).

Inštrukciu a upravený skript PowerShell poslal náš čitateľ Anton, za ktorý mu posielame lúče vďačnosti!

Tento skript môžete spustiť manuálne:

powershell - Import súboruRDGateway_Cert_From_IIS.ps1

Ak vaša brána RDS žije na štandardnom webe IIS „Default Web Site“ s indexom 0, môžete použiť skript bez zmien.

Ak chcete získať ID lokality v IIS, otvorte konzolu PowerShell a spustite:

Webová správa pre importovací modul
Get-ChildItem IIS: Webové stránky

Získajte zoznam formulárov:

Stĺpec ID zobrazuje index vášho webu a odpočíta ho od neho. Výsledný index vašej stránky by sa mal zadať namiesto 0 v 27. riadku skriptu PowerShell:

$ NewCertThumbprint = (Get-ChildItem IIS: SSLBindings) [0] .Tumbprint

Teraz otvorte úlohu plánovača win-acme -enew (acme- Návod.api.letsencrypt.org) a na kartu Akcia pridajte novú aktualizáciu, ktorá po aktualizácii certifikátu spustí skript ImportRDGateway_Cert_From_IIS.ps1..

Aby ste nezmenili povolenia na vykonávanie skriptov PowerShell, môžete skript zavolať príkazom:

PowerShell.exe -VýkonPolicy Bypass -Súbor c: \ inetpub \ letsencrypt \ ImportRDGateway_Cert_From_IIS.ps1

Skript na viazanie SSL certifikátu na RDS sa teraz vykoná okamžite po obnovení certifikátu Let's Encrypt. V takom prípade sa služba RD Gateway automaticky reštartuje príkazom:

Služba TSGateway s reštartom

Po reštartovaní služby TSGateway sa prerušia všetky aktuálne relácie používateľov, preto je vhodné zmeniť frekvenciu spúšťania úlohy aktualizácie certifikátu o 1 čas za 60 dní..

Upozorňujeme, že certifikáty Poďme šifrovať sa v súčasnosti široko používajú na webových stránkach mnohých veľkých spoločností a všetky prehliadače ich dôverujú. Dúfam, že osud bezplatnej certifikačnej autority Poďme šifrovať netrpí osudom WoSign a StartCom..