从 HTTP 到 HTTPS - IIS 部署免费 HTTPS

这篇文章首发于我的个人网站：听说 - https://tasaid.com/，建议在我的个人网站阅读，拥有更好的阅读体验。
这篇文章与 博客园 和 Segmentfault 共享。


这篇文章主要讲述 IIS 8 部署免费 HTTPS 。 HTTPS 是互联网 web 大势所趋。TaSaid 最近把机房从香港迁移到青岛，趁着这次机会，观望并折腾了几天，在迁移中顺便完成了 HTTPS 的部署。

这篇文章收录在《Said - 从HTTP到HTTPS》系列：

从 HTTP 到 HTTPS - 什么是 HTTPS

从 HTTP 到 HTTPS - IIS 部署免费 HTTPS

从 HTTP 到 HTTPS - 网站部署 HTTPS 中需要做的事情

有哪些免费证书

这里只介绍在 TaSaid.com 部署HTTPS中尝试的免费证书方案，部署在 IIS8 上。

Let's Encrypt

沃通 (wosign) (不推荐)

本来在 TaSaid.com 迁移中尝试部署过沃通 (wosign) 的签发的免费证书，但是后来发现了 Mozilla 官网( firefox/火狐 背后的开源组织 ) 里列出了 沃通的一系列可疑行为和问题，并且沃通 "秘密" 收购 StartCom（著名的免费 HTTPS 证书 StartSSL 即其旗下产品）行为可疑， Mozilla 基金会正在考虑对沃通以及 StartCom 这两个 CA 机构一年内新签发的所有 SSL 证书进行封杀。

我在上一篇文章 《从 HTTP 到 HTTPS - 什么是 HTTPS》 中指出 CA 机构应该是是权威和可信的，但由于沃通当前的陷入的一系列丑闻，信任度降低，所以暂时不推荐使用沃通。并且沃通官网已暂时关闭免费 HTTPS 证书申请。


所以我们这次仅推荐 Let's Encrypt。

Let's Encrypt

推荐 Let's Encrypt 理由：

由 ISRG（Internet Security Research Group，互联网安全研究小组）提供服务，而 ISRG 是来自于美国加利福尼亚州的一个公益组织。Let's Encrypt 得到了 Mozilla、Cisco、Akamai、Electronic Frontier Foundation 和 Chrome 等众多公司和机构的支持，发展十分迅猛。

极速申请 - 只要认证的网站通过验证，当时即可颁发证书

免费和访问速度兼得

对于域名所有权的验证，支持两种方式：放临时文件进行验证、查询 whois 给域名所有人发邮件验证

无需注册账户

关键是稳定，背后的支持的组织很强大

缺点：

一次只能颁发3个月有效期的证书，到期之后需要自己再续上 (仍然是免费的)，这点维护起来比较麻烦，不过我们可以使用工具自动续期。

不支持通配符泛域名 (*.demo.com)，所以在申请认证是时候，要把域名都 301 跳转到证书里包含的域名上，不然浏览器会弹证书错误。

流程

默认 Let's Encrypt 申请证书比较繁琐，所以我们在 windows 下使用工具 letsencrypt-win-simple 进行部署，简单方便快捷。

下载 letsencrypt-win-simple

在服务器中打开CMD，运行letsencrypt-win-simple

在CMD中根据简单的命令，输入要认证的网站域名和网站文件夹

letsencrypt-win-simple 自动验证域名所有权

验证通过后即时颁发证书

部署

使用 letsencrypt-win-simple 进行自动化认证和部署

下载最新版 letsencrypt-win-simple：



本人在2016年9月15日下到的最新版是：letsencrypt-win-simple.V1.9.1.zip。

自动化认证

在服务器解压

letsencrypt-win-simple.V1.9.1

得到文件夹，打开CMD进入到该文件夹下。


部署单个域名

输入以下命令

letsencrypt.exe --accepttos --manualhost 你的域名 --webroot 你的网站物理路径(wwwroot路径)

letsencrypt-win-simple.V1.9.1

会自动生成临时文件并放到网站根目录，然后会让 Let's Encrypt 服务器会访问这个文件, 用于验证这个网站是否属于你。

如果验证不通过，是因为 IIS 需要修改一些配置，具体参见下文的详细说明。

验证通过后会实时颁发证书，并且

letsencrypt-win-simple.V1.9.1

会自动把证书添加到服务器中，然后直接在 IIS 中进行HTTPS部署即可。

部署多个域名

输入命令

letsencrypt.exe --san

输入

M

，表示此次需要认证多个域名

输入网站的 host

输入要认证的多个域名，用

,

号分隔，比如

tasaid.com,www.tasaid.com,m.tasaid.com

输入网站物理路径，比如

C:\Users\linkFly\Documents\Said\SaidTemp

letsencrypt-win-simple.V1.9.1

会自动生成临时文件并放到网站根目录，然后会让 Let's Encrypt 服务器会访问这个文件, 用于验证这个网站是否属于你。

如果验证不通过，是因为 IIS 需要修改一些配置，具体参见下文的详细说明。

验证通过后会实时颁发证书，并且会自动把证书添加到服务器中，然后直接在 IIS 中进行HTTPS部署即可。

更多命令文档可以 参考这里。

自动化认证单个域名

解压

letsencrypt-win-simple.V1.9.1

文件夹，然后点击文件夹，按住

shift

，再点击右键，选择

在此处打开命令窗口

(即让控制台打开后直接定位到这个文件夹下)。

使用下面的命令：

letsencrypt.exe --accepttos --manualhost 你的域名 --webroot 你的网站路径(wwwroot路径)

比如 https://tasaid.com 部署的命令是这样的：

letsencrypt.exe --accepttos --manualhost tasaid.com --webroot C:\Users\linkFly\Test

letsencrypt-win-simple

会自动生成临时文件并放到网站根目录 (详情可以参考下一章节 自动化认证多个域名 )，然后会让 Let's Encrypt 服务器会访问这个文件, 用于验证这个网站是否属于你。

如果验证通过，直接进入本文的 部署 章节即可。如果验证不通过，是因为需要修改 IIS 的一些配置，请参考下一章节 自动化认证多个域名。

自动化认证多个域名

CMD 进入

letsencrypt-win-simple.V1.9.1

文件夹，运行如下命令：

letsencrypt.exe --san

然后会弹出一坨选项：

Let's Encrypt (Simple Windows ACME Client)
Renewal Period: 60
Certificate Store: WebHosting

ACME Server: https://acme-v01.api.letsencrypt.org/ Config Folder: C:\Users\linkFly\AppData\Roaming\letsencrypt-win-simple\htpsacme-v01.api.letsencrypt.org
Certificate Folder: C:\Users\linkFly\AppData\Roaming\letsencrypt-win-simpe\httpsacme-v01.api.letsencrypt.org
Loading Signer from C:\Users\linkFly\AppData\Roaming\letsencrypt-win-simpe\httpsacme-v01.api.letsencrypt.org\Signer

Getting AcmeServerDirectory
Loading Registration from C:\Users\linkFly\AppData\Roaming\letsencrypt-win-simple\httpsacme-v01.api.letsencrypt.org\Registration

Scanning IIS Sites
2: SAN - IIS Said (C:\Users\linkFly\Test)
3: SAN - IIS Test (C:\Users\linkFly\Demo)

W: Generate a certificate via WebDav and install it manually.
S: Generate a single San certificate for multiple sites.
F: Generate a certificate via FTP/ FTPS and install it manually.
M: Generate a certificate manually.
A: Get certificates for all hosts
Q: Quit
Which host do you want to get a certificate for:

Scanning IIS Sites

列出了在 IIS 中检测到的当前已发布的网站，然后显示了一系列指令 (W, S, F, M, A)，决定你想要的操作：

W - 生成一个证书并通过 WebDav 来进行安装

S - 给 IIS 当前已经发布的所有网站都部署一个证书

F - 生成一个证书通过FTP、FTPS安装。

M - 通过配置手动生成证书

A - 给 IIS 当前已经发布的所有网站各自部署上对应的证书

我们这次要认证手动认证多个域名，输入命令：

M

接着出现让你输入host( Enter a host name )。 比如 http://tasaid.com 输入的是

tasaid.com

。

然后会让你输入要认证的多个域名 (注意这些域名要可以访问的，因为一会儿会轮流访问这些域名进行验证)，用

,

号分隔 (Enter all Alternative Names seperated by a comma:)，然后我们输入需要验证的域名即可：

tasaid.com,www.tasaid.com,m.tasaid.com,wap.tasaid.com

接着输入站点部署的位置 (Enter a site path )，输入你的网站部署的位置即可：

C:\Users\linkFly\Documents\Said\SaidTemp

然后输入是否要指定使用者 (用户)，输入

N

。( 一旦选择了

Y

，会让你输入用户名和密码，证书会进行用户认证 )。

接着会在你此次认证的项目根目录下 (wwwroot) ，根据你刚才输入的域名列表，生成对应的临时认证文件， Let's Encrypt 服务器会访问这个文件，结构大概如下：

---- wwwroot(认证的网站根目录)
| -- .well-known
| -- acme-challenge
| -- DGz4z_A_VsgO3dilCAB8bkgurpPt-EFpLygmua3L6x8 (一个临时文件，多个域名会有多个临时文件)

然后 Let's Encrypt 服务器会根据刚才输入的域名列表，用 HTTP 轮流访问这些文件，注意这时候可能存在这个报错：

******************************************************************************
The ACME server was probably unable to reach http://linkflys.com/.well-known/acme-challenge/DGz4z_A_VsgO3dilCAB8bkgurpPt 
Check in a browser to see if the answer file is being served correctly.

*****************************************************************************

出现这个错误表示生成的这个临时文件访问不到，验证不通过。

原因是因为

.well-know

这个文件夹带了前缀

.

，IIS会认为是不可识别的 MIMEType ，只需要在网站根目录下临时加上

mimeMap

配置即可：

<?xml version="1.0" encoding="UTF-8"?>
<configuration>
<system.webServer>
<staticContent>
<mimeMap fileExtension="." mimeType="text/plain" />
</staticContent>
</system.webServer>
</configuration>

记得验证通过后，如果你的网站不需要这个

mimeMap

配置，要记得删除。

如果验证通过，会显示下图，这时候恭喜你验证通过。

部署

打开 IIS，选择对应的网站，右键

编辑绑定

，点击

新增

， 类型 选择

https

，则会弹出如下界面：



输入要绑定的域名，然后选择颁发的证书即可。

域名 日期 上午/下午

这种格式就是

Let's Encrypt

此次颁发的证书。

这个时候，使用 https 协议访问你的域名就可以啦，比如：https://tasaid.com。

查看证书

在服务器中查看证书

在服务器中，

Win + R

打开运行，输入

MMC

，打开

控制台

界面。

点击顶部菜单栏

文件

，然后点击

添加/删除管理单元

弹出的窗口中，在左侧的 可用的管理单元 中点击

证书

，然后点中间的

添加

，会弹出如下界面：



选择

计算机账户

，然后默认下一步完成，点击

确定

，即可看到证书列表。

展开

证书

，再展开

中间证书颁发机构

，选择

证书

，即可看到

Let's Encrypt

颁发的证书：

在chrome中查看证书

使用 HTTPS 访问网址，点击地址栏的小

绿锁

，然后点击

详细信息

，这时候会弹出 chrome 调试工具，点击

View certificate

：



就会看到证书的详细信息：

其他

IIS 配置 web.config 实现自动 HTTPS 跳转

为了保证域名统一，将访问

http://www.tasaid.com

、

http://tasaid.com

、

https://www.tasaid.com

的域名都跳转到

https://tasaid.com

，IIS 可以进行如下配置 (需要安装 IIS UrlRewrite 模块，代码注释是为了方便理解，部署到线上请删除中文注释)：

<?xml version="1.0" encoding="UTF-8"?>
<configuration>
<system.webServer>
<rewrite>
<rules>
<rule name="HostNameRule1">
<match url="(.*)" />
<!--匹配所有条件-->
<conditions logicalGrouping="MatchAny">
<!--当不是使用https协议访问的时候-->
<add input="{HTTPS}" pattern="^OFF$" />
<!--并且访问的host不是tasaid.com这种，例如www.tasaid.com-->
<add input="{HTTP_HOST}" pattern="^tasaid\.com$" negate="true" />
</conditions>
<!--跳转到https-->
<action type="Redirect" url="https://tasaid.com/{R:1}" />
</rule>
<rule name="HTTPS redirect">
<match url="(.*)" />
<conditions>
<!--当使用HTTPS协议访问-->
<add input="{HTTPS}" pattern="^ON$" />
<!--当访问 https://www.tasaid.com的时候 -->
<add input="{HTTP_HOST}" pattern="^tasaid\.com$" negate="true" />
</conditions>
<!--跳转到HTTPS-->
<action type="Redirect" url="https://tasaid.com/{R:1}" redirectType="SeeOther" />
</rule>
</rules>
</rewrite>
</system.webServer>
</configuration>

这里需要注意，想让 https://www.tasaid.com 也可以跳转到 https://tasaid.com，在申请 HTTPS 证书的时候，要把

www.tasaid.com

这种域名也给申请上，否则浏览器会解析不出

https://www.tasaid.com

，因为在进行 HTTPS 加密握手的时候就会认证失败。

chrome 调试中发现 HTTPS 改动不生效

HTTPS 第一次连接域名的时候会和证书颁发机构进行 HTTPS 证书认证，后续的连接会缓存起来，清缓存就好了

这篇文章首发于我的个人网站：听说 - https://tasaid.com/，建议在我的个人网站阅读，拥有更好的阅读体验。
这篇文章与 博客园 和 Segmentfault 共享。

参考和引用

Let's Encrypt

github - letsencrypt-win-simple

如何看待 Mozilla 决定停止信任沃通 (WoSign) 和 StartCom 颁发的证书？

屈屈 - Let's Encrypt，免费好用的 HTTPS 证书

屈屈 - 开始使用 ECC 证书

Let's Encrypt 试用记

使用 SSL For Free 產生 Let’s Encrypt SSL 憑證上傳給 IIS 站台使用

IIS 使用 Let’s Encrypt 的 SSL 免費憑證

聊聊“沃通/WoSign”的那些破事儿