从 HTTP 到 HTTPS - IIS 部署免费 HTTPS
2017-03-07 08:47
836 查看
转自http://www.th7.cn/Program/net/201610/979689.shtml
这篇文章主要讲述 IIS 8 部署免费 HTTPS 。 HTTPS 是互联网 web 大势所趋。 TaSaid 最近把机房从香港迁移到青岛,趁着这次机会,观望并折腾了几天,在迁移中顺便完成了 HTTPS 的部署。
这篇文章收录在《Said - 从HTTP到HTTPS》系列:
从 HTTP 到 HTTPS - 什么是 HTTPS
从 HTTP 到 HTTPS - IIS 部署免费 HTTPS
从 HTTP 到 HTTPS - 网站部署 HTTPS 中需要做的事情
有哪些免费证书
这里只介绍在 TaSaid.com 部署HTTPS中尝试的免费证书方案,部署在 IIS8 上。
Let's Encrypt
沃通 (wosign) (不推荐)
本来在 TaSaid.com 迁移中尝试部署过沃通 (wosign) 的签发的免费证书,但是后来发现了 Mozilla 官网( firefox/火狐 背后的开源组织 ) 里列出了 沃通的一系列可疑行为和问题 ,并且沃通 "秘密" 收购 StartCom(著名的免费 HTTPS 证书 StartSSL 即其旗下产品)行为可疑, Mozilla 基金会正在考虑对沃通以及 StartCom 这两个 CA 机构一年内新签发的所有 SSL 证书进行封杀。
我在上一篇文章 《 从 HTTP 到 HTTPS - 什么是 HTTPS 》 中指出 CA 机构应该是是权威和可信的,但由于沃通当前的陷入的一系列丑闻,信任度降低,所以暂时不推荐使用沃通。并且沃通官网已暂时关闭免费 HTTPS 证书申请。
这一段内容发表于2016年10月5日,如果您在未来某天阅览到这个内容,请即时更新了解沃通最新的动态。
所以我们这次仅推荐 Let's Encrypt 。
Let's Encrypt
推荐 Let's Encrypt 理由:
由 ISRG(Internet Security Research Group,互联网安全研究小组)提供服务,而 ISRG 是来自于美国加利福尼亚州的一个公益组织。Let's Encrypt 得到了 Mozilla、Cisco、Akamai、Electronic Frontier Foundation 和 Chrome 等众多公司和机构的支持,发展十分迅猛。
极速申请 - 只要认证的网站通过验证,当时即可颁发证书
免费和访问速度兼得
对于域名所有权的验证,支持两种方式:放临时文件进行验证、查询 whois 给域名所有人发邮件验证
无需注册账户
关键是稳定,背后的支持的组织很强大
缺点:
一次只能颁发3个月有效期的证书,到期之后需要自己再续上 (仍然是免费的),这点维护起来比较麻烦,不过我们可以使用工具自动续期。
不支持通配符泛域名 (*.demo.com),所以在申请认证是时候,要把域名都 301 跳转到证书里包含的域名上,不然浏览器会弹证书错误。
流程
默认 Let's Encrypt 申请证书比较繁琐,所以我们在 windows 下使用工具 letsencrypt-win-simple 进行部署,简单方便快捷。
下载 letsencrypt-win-simple
在服务器中打开CMD,运行letsencrypt-win-simple
在CMD中根据简单的命令,输入要认证的网站域名和网站文件夹
letsencrypt-win-simple 自动验证域名所有权
验证通过后即时颁发证书
部署
使用 letsencrypt-win-simple 进行自动化认证和部署
下载最新版 letsencrypt-win-simple :
本人在2016年9月15日下到的最新版是:letsencrypt-win-simple.V1.9.1.zip。
自动化认证
在服务器解压 letsencrypt-win-simple.V1.9.1 得到文件夹,打开CMD进入到该文件夹下。
第一次运行命令会连接远程服务器更新,并且会让你是否输入邮箱订阅认证信息,可以忽略,然后让做个选择(忘记什么选择了),选择Y即可,选择N则会中断。
部署单个域名
输入以下命令
letsencrypt.exe --accepttos --manualhost 你的域名 --webroot 你的网站物理路径(wwwroot路径)
letsencrypt-win-simple.V1.9.1 会自动生成临时文件并放到网站根目录,然后会让 Let's Encrypt 服务器会访问这个文件, 用于验证这个网站是否属于你。
如果验证不通过,是因为 IIS 需要修改一些配置,具体参见下文的详细说明。
验证通过后会实时颁发证书,并且 letsencrypt-win-simple.V1.9.1 会自动把证书添加到服务器中,然后直接在 IIS 中进行HTTPS部署即可。
部署多个域名
输入命令 letsencrypt.exe --san
输入 M ,表示此次需要认证多个域名
输入网站的 host
输入要认证的多个域名,用 , 号分隔,比如 tasaid.com,www.tasaid.com,m.tasaid.com
输入网站物理路径,比如 C:UserslinkFlyDocumentsSaidSaidTemp
letsencrypt-win-simple.V1.9.1 会自动生成临时文件并放到网站根目录,然后会让 Let's Encrypt 服务器会访问这个文件, 用于验证这个网站是否属于你。
如果验证不通过,是因为 IIS 需要修改一些配置,具体参见下文的详细说明。
验证通过后会实时颁发证书,并且会自动把证书添加到服务器中,然后直接在 IIS 中进行HTTPS部署即可。
更多命令文档可以 参考这里 。
自动化认证单个域名
解压 letsencrypt-win-simple.V1.9.1 文件夹,然后点击文件夹,按住 shift ,再点击右键,选择 在此处打开命令窗口 (即让控制台打开后直接定位到这个文件夹下)。
使用下面的命令:
letsencrypt.exe --accepttos --manualhost 你的域名 --webroot 你的网站路径(wwwroot路径)
比如 https://tasaid.com 部署的命令是这样的:
letsencrypt.exe --accepttos --manualhost tasaid.com --webroot C:/Users/linkFly/Test
letsencrypt-win-simple 会自动生成临时文件并放到网站根目录 (详情可以参考下一章节 自动化认证多个域名 ),然后会让 Let's Encrypt 服务器会访问这个文件, 用于验证这个网站是否属于你。
如果验证通过,直接进入本文的 部署 章节即可。如果验证不通过,是因为需要修改 IIS 的一些配置,请参考下一章节 自动化认证多个域名 。
自动化认证多个域名
CMD 进入 letsencrypt-win-simple.V1.9.1 文件夹,运行如下命令:
letsencrypt.exe --san
然后会弹出一坨选项:
Let's Encrypt (Simple Windows ACME Client)Renewal Period: 60Certificate Store: WebHostingACME Server: https://acme-v01.api.letsencrypt.org/Config Folder: C:/Users/linkFly/AppData/Roaming/letsencrypt-win-simple/htpsacme-v01.api.letsencrypt.orgCertificate Folder:
C:/Users/linkFly/AppData/Roaming/letsencrypt-win-simpe/httpsacme-v01.api.letsencrypt.orgLoading Signer from C:/Users/linkFly/AppData/Roaming/letsencrypt-win-simpe/httpsacme-v01.api.letsencrypt.org/SignerGetting AcmeServerDirectoryLoading Registration from
C:/Users/linkFly/AppData/Roaming/letsencrypt-win-simple/httpsacme-v01.api.letsencrypt.org/RegistrationScanning IIS Sites2: SAN - IIS Said (C:/Users/linkFly/Test)3: SAN - IIS Test (C:/Users/linkFly/Demo)W: Generate a certificate via WebDav and install it manually.S:
Generate a single San certificate for multiple sites.F: Generate a certificate via FTP/ FTPS and install it manually.M: Generate a certificate manually.A: Get certificates for all hostsQ: QuitWhich host do you want to get a certificate for:
Scanning IIS Sites 列出了在 IIS 中检测到的当前已发布的网站,然后显示了一系列指令 (W, S, F, M, A),决定你想要的操作:
W - 生成一个证书并通过 WebDav 来进行安装
S - 给 IIS 当前已经发布的所有网站都部署一个证书
F - 生成一个证书通过FTP、FTPS安装。
M - 通过配置手动生成证书
A - 给 IIS 当前已经发布的所有网站各自部署上对应的证书
我们这次要认证手动认证多个域名,输入命令:
M
接着出现让你输入host( Enter a host name )。 比如 http://tasaid.com 输入的是 tasaid.com 。
然后会让你输入要认证的多个域名 (注意这些域名要可以访问的,因为一会儿会轮流访问这些域名进行验证),用 , 号分隔 (Enter all Alternative Names seperated by a comma:),然后我们输入需要验证的域名即可:
tasaid.com,www.tasaid.com,m.tasaid.com,wap.tasaid.com
接着输入站点部署的位置 (Enter a site path <the web root of the host for http authentication>),输入你的网站部署的位置即可:
C:/Users/linkFly/Documents/Said/SaidTemp
然后输入是否要指定使用者 (用户),输入 N 。( 一旦选择了 Y ,会让你输入用户名和密码,证书会进行用户认证 )。
接着会在你此次认证的项目根目录下 (wwwroot) ,根据你刚才输入的域名列表,生成对应的临时认证文件, Let's Encrypt 服务器会访问这个文件,结构大概如下:
---- wwwroot(认证的网站根目录)| -- .well-known | -- acme-challenge | -- DGz4z_A_VsgO3dilCAB8bkgurpPt-EFpLygmua3L6x8 (一个临时文件,多个域名会有多个临时文件)
然后 Let's Encrypt 服务器会根据刚才输入的域名列表,用 HTTP 轮流访问这些文件,注意这时候可能存在这个报错:
******************************************************************************The ACME server was probably unable to reach http://linkflys.com/.well-known/acme-challenge/DGz4z_A_VsgO3dilCAB8bkgurpPtCheck in a browser to see if the answer file is being served
correctly.*****************************************************************************
出现这个错误表示生成的这个临时文件访问不到,验证不通过。
原因是因为 .well-know 这个文件夹带了前缀 . ,IIS会认为是不可识别的 MIMEType ,只需要在网站根目录下临时加上 mimeMap 配置即可:
<?xml version="1.0" encoding="UTF-8"?><configuration> <system.webServer> <staticContent> <mimeMap fileExtension="." mimeType="text/plain" /> </staticContent> </system.webServer></configuration>
记得验证通过后,如果你的网站不需要这个 mimeMap 配置,要记得删除。
如果验证通过,会显示下图,这时候恭喜你验证通过。
部署
打开 IIS,选择对应的网站,右键 编辑绑定 ,点击 新增 , 类型 选择 https ,则会弹出如下界面:
输入要绑定的域名,然后选择颁发的证书即可。 域名 日期 上午/下午 这种格式就是 Let's Encrypt 此次颁发的证书。
这个时候,使用 https 协议访问你的域名就可以啦,比如: https://tasaid.com 。
查看证书 在服务器中查看证书
在服务器中, Win + R 打开运行,输入 MMC ,打开 控制台 界面。
点击顶部菜单栏 文件 ,然后点击 添加/删除管理单元
弹出的窗口中,在左侧的 可用的管理单元 中点击 证书 ,然后点中间的 添加 ,会弹出如下界面:
选择 计算机账户 ,然后默认下一步完成,点击 确定 ,即可看到证书列表。
展开 证书 ,再展开 中间证书颁发机构 ,选择 证书 ,即可看到 Let's Encrypt 颁发的证书:
在chrome中查看证书
使用 HTTPS 访问网址,点击地址栏的小 绿锁 ,然后点击 详细信息 ,这时候会弹出 chrome 调试工具,点击 View certificate :
就会看到证书的详细信息:
其他 IIS 配置 web.config 实现自动 HTTPS 跳转
为了保证域名统一,将访问 http://www.tasaid.com 、 http://tasaid.com 、 https://www.tasaid.com 的域名都跳转到 https://tasaid.com ,IIS 可以进行如下配置 (需要安装 IIS UrlRewrite 模块,代码注释是为了方便理解,部署到线上请删除中文注释):
<?xml version="1.0" encoding="UTF-8"?><configuration> <system.webServer> <rewrite> <rules> <rule name="HostNameRule1"> <match url="(.*)" /> <!--匹配所有条件--> <conditions logicalGrouping="MatchAny"> <!--当不是使用https协议访问的时候--> <add input="{HTTPS}" pattern="^OFF$" />
<!--并且访问的host不是tasaid.com这种,例如www.tasaid.com--> <add input="{HTTP_HOST}" pattern="^tasaid/.com$" negate="true" /> </conditions> <!--跳转到https--> <action type="Redirect" url="https://tasaid.com/{R:1}" /> </rule> <rule name="HTTPS redirect"> <match url="(.*)"
/> <conditions> <!--当使用HTTPS协议访问--> <add input="{HTTPS}" pattern="^ON$" /> <!--当访问 https://www.tasaid.com的时候 --> <add input="{HTTP_HOST}" pattern="^tasaid/.com$" negate="true" /> </conditions> <!--跳转到HTTPS--> <action type="Redirect" url="https://tasaid.com/{R:1}"
redirectType="SeeOther" /> </rule> </rules> </rewrite> </system.webServer></configuration>
这里需要注意,想让 https://www.tasaid.com 也可以跳转到 https://tasaid.com ,在申请 HTTPS 证书的时候,要把 www.tasaid.com 这种域名也给申请上,否则浏览器会解析不出 https://www.tasaid.com ,因为在进行 HTTPS 加密握手的时候就会认证失败。
chrome 调试中发现 HTTPS 改动不生效
HTTPS 第一次连接域名的时候会和证书颁发机构进行 HTTPS 证书认证,后续的连接会缓存起来,清缓存就好了
参考和引用
Let's Encrypt
github - letsencrypt-win-simple
如何看待 Mozilla 决定停止信任沃通 (WoSign) 和 StartCom 颁发的证书?
屈屈 - Let's Encrypt,免费好用的 HTTPS 证书
屈屈 - 开始使用 ECC 证书
Let's Encrypt 试用记
使用 SSL For Free 產生 Let’s Encrypt SSL 憑證上傳給 IIS 站台使用
IIS 使用 Let’s Encrypt 的 SSL 免費憑證
这篇文章主要讲述 IIS 8 部署免费 HTTPS 。 HTTPS 是互联网 web 大势所趋。 TaSaid 最近把机房从香港迁移到青岛,趁着这次机会,观望并折腾了几天,在迁移中顺便完成了 HTTPS 的部署。
这篇文章收录在《Said - 从HTTP到HTTPS》系列:
从 HTTP 到 HTTPS - 什么是 HTTPS
从 HTTP 到 HTTPS - IIS 部署免费 HTTPS
从 HTTP 到 HTTPS - 网站部署 HTTPS 中需要做的事情
有哪些免费证书
这里只介绍在 TaSaid.com 部署HTTPS中尝试的免费证书方案,部署在 IIS8 上。
Let's Encrypt
沃通 (wosign) (不推荐)
本来在 TaSaid.com 迁移中尝试部署过沃通 (wosign) 的签发的免费证书,但是后来发现了 Mozilla 官网( firefox/火狐 背后的开源组织 ) 里列出了 沃通的一系列可疑行为和问题 ,并且沃通 "秘密" 收购 StartCom(著名的免费 HTTPS 证书 StartSSL 即其旗下产品)行为可疑, Mozilla 基金会正在考虑对沃通以及 StartCom 这两个 CA 机构一年内新签发的所有 SSL 证书进行封杀。
我在上一篇文章 《 从 HTTP 到 HTTPS - 什么是 HTTPS 》 中指出 CA 机构应该是是权威和可信的,但由于沃通当前的陷入的一系列丑闻,信任度降低,所以暂时不推荐使用沃通。并且沃通官网已暂时关闭免费 HTTPS 证书申请。
这一段内容发表于2016年10月5日,如果您在未来某天阅览到这个内容,请即时更新了解沃通最新的动态。
所以我们这次仅推荐 Let's Encrypt 。
Let's Encrypt
推荐 Let's Encrypt 理由:
由 ISRG(Internet Security Research Group,互联网安全研究小组)提供服务,而 ISRG 是来自于美国加利福尼亚州的一个公益组织。Let's Encrypt 得到了 Mozilla、Cisco、Akamai、Electronic Frontier Foundation 和 Chrome 等众多公司和机构的支持,发展十分迅猛。
极速申请 - 只要认证的网站通过验证,当时即可颁发证书
免费和访问速度兼得
对于域名所有权的验证,支持两种方式:放临时文件进行验证、查询 whois 给域名所有人发邮件验证
无需注册账户
关键是稳定,背后的支持的组织很强大
缺点:
一次只能颁发3个月有效期的证书,到期之后需要自己再续上 (仍然是免费的),这点维护起来比较麻烦,不过我们可以使用工具自动续期。
不支持通配符泛域名 (*.demo.com),所以在申请认证是时候,要把域名都 301 跳转到证书里包含的域名上,不然浏览器会弹证书错误。
流程
默认 Let's Encrypt 申请证书比较繁琐,所以我们在 windows 下使用工具 letsencrypt-win-simple 进行部署,简单方便快捷。
下载 letsencrypt-win-simple
在服务器中打开CMD,运行letsencrypt-win-simple
在CMD中根据简单的命令,输入要认证的网站域名和网站文件夹
letsencrypt-win-simple 自动验证域名所有权
验证通过后即时颁发证书
部署
使用 letsencrypt-win-simple 进行自动化认证和部署
下载最新版 letsencrypt-win-simple :
本人在2016年9月15日下到的最新版是:letsencrypt-win-simple.V1.9.1.zip。
自动化认证
在服务器解压 letsencrypt-win-simple.V1.9.1 得到文件夹,打开CMD进入到该文件夹下。
第一次运行命令会连接远程服务器更新,并且会让你是否输入邮箱订阅认证信息,可以忽略,然后让做个选择(忘记什么选择了),选择Y即可,选择N则会中断。
部署单个域名
输入以下命令
letsencrypt.exe --accepttos --manualhost 你的域名 --webroot 你的网站物理路径(wwwroot路径)
letsencrypt-win-simple.V1.9.1 会自动生成临时文件并放到网站根目录,然后会让 Let's Encrypt 服务器会访问这个文件, 用于验证这个网站是否属于你。
如果验证不通过,是因为 IIS 需要修改一些配置,具体参见下文的详细说明。
验证通过后会实时颁发证书,并且 letsencrypt-win-simple.V1.9.1 会自动把证书添加到服务器中,然后直接在 IIS 中进行HTTPS部署即可。
部署多个域名
输入命令 letsencrypt.exe --san
输入 M ,表示此次需要认证多个域名
输入网站的 host
输入要认证的多个域名,用 , 号分隔,比如 tasaid.com,www.tasaid.com,m.tasaid.com
输入网站物理路径,比如 C:UserslinkFlyDocumentsSaidSaidTemp
letsencrypt-win-simple.V1.9.1 会自动生成临时文件并放到网站根目录,然后会让 Let's Encrypt 服务器会访问这个文件, 用于验证这个网站是否属于你。
如果验证不通过,是因为 IIS 需要修改一些配置,具体参见下文的详细说明。
验证通过后会实时颁发证书,并且会自动把证书添加到服务器中,然后直接在 IIS 中进行HTTPS部署即可。
更多命令文档可以 参考这里 。
自动化认证单个域名
解压 letsencrypt-win-simple.V1.9.1 文件夹,然后点击文件夹,按住 shift ,再点击右键,选择 在此处打开命令窗口 (即让控制台打开后直接定位到这个文件夹下)。
使用下面的命令:
letsencrypt.exe --accepttos --manualhost 你的域名 --webroot 你的网站路径(wwwroot路径)
比如 https://tasaid.com 部署的命令是这样的:
letsencrypt.exe --accepttos --manualhost tasaid.com --webroot C:/Users/linkFly/Test
letsencrypt-win-simple 会自动生成临时文件并放到网站根目录 (详情可以参考下一章节 自动化认证多个域名 ),然后会让 Let's Encrypt 服务器会访问这个文件, 用于验证这个网站是否属于你。
如果验证通过,直接进入本文的 部署 章节即可。如果验证不通过,是因为需要修改 IIS 的一些配置,请参考下一章节 自动化认证多个域名 。
自动化认证多个域名
CMD 进入 letsencrypt-win-simple.V1.9.1 文件夹,运行如下命令:
letsencrypt.exe --san
然后会弹出一坨选项:
Let's Encrypt (Simple Windows ACME Client)Renewal Period: 60Certificate Store: WebHostingACME Server: https://acme-v01.api.letsencrypt.org/Config Folder: C:/Users/linkFly/AppData/Roaming/letsencrypt-win-simple/htpsacme-v01.api.letsencrypt.orgCertificate Folder:
C:/Users/linkFly/AppData/Roaming/letsencrypt-win-simpe/httpsacme-v01.api.letsencrypt.orgLoading Signer from C:/Users/linkFly/AppData/Roaming/letsencrypt-win-simpe/httpsacme-v01.api.letsencrypt.org/SignerGetting AcmeServerDirectoryLoading Registration from
C:/Users/linkFly/AppData/Roaming/letsencrypt-win-simple/httpsacme-v01.api.letsencrypt.org/RegistrationScanning IIS Sites2: SAN - IIS Said (C:/Users/linkFly/Test)3: SAN - IIS Test (C:/Users/linkFly/Demo)W: Generate a certificate via WebDav and install it manually.S:
Generate a single San certificate for multiple sites.F: Generate a certificate via FTP/ FTPS and install it manually.M: Generate a certificate manually.A: Get certificates for all hostsQ: QuitWhich host do you want to get a certificate for:
Scanning IIS Sites 列出了在 IIS 中检测到的当前已发布的网站,然后显示了一系列指令 (W, S, F, M, A),决定你想要的操作:
W - 生成一个证书并通过 WebDav 来进行安装
S - 给 IIS 当前已经发布的所有网站都部署一个证书
F - 生成一个证书通过FTP、FTPS安装。
M - 通过配置手动生成证书
A - 给 IIS 当前已经发布的所有网站各自部署上对应的证书
我们这次要认证手动认证多个域名,输入命令:
M
接着出现让你输入host( Enter a host name )。 比如 http://tasaid.com 输入的是 tasaid.com 。
然后会让你输入要认证的多个域名 (注意这些域名要可以访问的,因为一会儿会轮流访问这些域名进行验证),用 , 号分隔 (Enter all Alternative Names seperated by a comma:),然后我们输入需要验证的域名即可:
tasaid.com,www.tasaid.com,m.tasaid.com,wap.tasaid.com
接着输入站点部署的位置 (Enter a site path <the web root of the host for http authentication>),输入你的网站部署的位置即可:
C:/Users/linkFly/Documents/Said/SaidTemp
然后输入是否要指定使用者 (用户),输入 N 。( 一旦选择了 Y ,会让你输入用户名和密码,证书会进行用户认证 )。
接着会在你此次认证的项目根目录下 (wwwroot) ,根据你刚才输入的域名列表,生成对应的临时认证文件, Let's Encrypt 服务器会访问这个文件,结构大概如下:
---- wwwroot(认证的网站根目录)| -- .well-known | -- acme-challenge | -- DGz4z_A_VsgO3dilCAB8bkgurpPt-EFpLygmua3L6x8 (一个临时文件,多个域名会有多个临时文件)
然后 Let's Encrypt 服务器会根据刚才输入的域名列表,用 HTTP 轮流访问这些文件,注意这时候可能存在这个报错:
******************************************************************************The ACME server was probably unable to reach http://linkflys.com/.well-known/acme-challenge/DGz4z_A_VsgO3dilCAB8bkgurpPtCheck in a browser to see if the answer file is being served
correctly.*****************************************************************************
出现这个错误表示生成的这个临时文件访问不到,验证不通过。
原因是因为 .well-know 这个文件夹带了前缀 . ,IIS会认为是不可识别的 MIMEType ,只需要在网站根目录下临时加上 mimeMap 配置即可:
<?xml version="1.0" encoding="UTF-8"?><configuration> <system.webServer> <staticContent> <mimeMap fileExtension="." mimeType="text/plain" /> </staticContent> </system.webServer></configuration>
记得验证通过后,如果你的网站不需要这个 mimeMap 配置,要记得删除。
如果验证通过,会显示下图,这时候恭喜你验证通过。
部署
打开 IIS,选择对应的网站,右键 编辑绑定 ,点击 新增 , 类型 选择 https ,则会弹出如下界面:
输入要绑定的域名,然后选择颁发的证书即可。 域名 日期 上午/下午 这种格式就是 Let's Encrypt 此次颁发的证书。
这个时候,使用 https 协议访问你的域名就可以啦,比如: https://tasaid.com 。
查看证书 在服务器中查看证书
在服务器中, Win + R 打开运行,输入 MMC ,打开 控制台 界面。
点击顶部菜单栏 文件 ,然后点击 添加/删除管理单元
弹出的窗口中,在左侧的 可用的管理单元 中点击 证书 ,然后点中间的 添加 ,会弹出如下界面:
选择 计算机账户 ,然后默认下一步完成,点击 确定 ,即可看到证书列表。
展开 证书 ,再展开 中间证书颁发机构 ,选择 证书 ,即可看到 Let's Encrypt 颁发的证书:
在chrome中查看证书
使用 HTTPS 访问网址,点击地址栏的小 绿锁 ,然后点击 详细信息 ,这时候会弹出 chrome 调试工具,点击 View certificate :
就会看到证书的详细信息:
其他 IIS 配置 web.config 实现自动 HTTPS 跳转
为了保证域名统一,将访问 http://www.tasaid.com 、 http://tasaid.com 、 https://www.tasaid.com 的域名都跳转到 https://tasaid.com ,IIS 可以进行如下配置 (需要安装 IIS UrlRewrite 模块,代码注释是为了方便理解,部署到线上请删除中文注释):
<?xml version="1.0" encoding="UTF-8"?><configuration> <system.webServer> <rewrite> <rules> <rule name="HostNameRule1"> <match url="(.*)" /> <!--匹配所有条件--> <conditions logicalGrouping="MatchAny"> <!--当不是使用https协议访问的时候--> <add input="{HTTPS}" pattern="^OFF$" />
<!--并且访问的host不是tasaid.com这种,例如www.tasaid.com--> <add input="{HTTP_HOST}" pattern="^tasaid/.com$" negate="true" /> </conditions> <!--跳转到https--> <action type="Redirect" url="https://tasaid.com/{R:1}" /> </rule> <rule name="HTTPS redirect"> <match url="(.*)"
/> <conditions> <!--当使用HTTPS协议访问--> <add input="{HTTPS}" pattern="^ON$" /> <!--当访问 https://www.tasaid.com的时候 --> <add input="{HTTP_HOST}" pattern="^tasaid/.com$" negate="true" /> </conditions> <!--跳转到HTTPS--> <action type="Redirect" url="https://tasaid.com/{R:1}"
redirectType="SeeOther" /> </rule> </rules> </rewrite> </system.webServer></configuration>
这里需要注意,想让 https://www.tasaid.com 也可以跳转到 https://tasaid.com ,在申请 HTTPS 证书的时候,要把 www.tasaid.com 这种域名也给申请上,否则浏览器会解析不出 https://www.tasaid.com ,因为在进行 HTTPS 加密握手的时候就会认证失败。
chrome 调试中发现 HTTPS 改动不生效
HTTPS 第一次连接域名的时候会和证书颁发机构进行 HTTPS 证书认证,后续的连接会缓存起来,清缓存就好了
参考和引用
Let's Encrypt
github - letsencrypt-win-simple
如何看待 Mozilla 决定停止信任沃通 (WoSign) 和 StartCom 颁发的证书?
屈屈 - Let's Encrypt,免费好用的 HTTPS 证书
屈屈 - 开始使用 ECC 证书
Let's Encrypt 试用记
使用 SSL For Free 產生 Let’s Encrypt SSL 憑證上傳給 IIS 站台使用
IIS 使用 Let’s Encrypt 的 SSL 免費憑證
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- 从 HTTP 到 HTTPS - IIS 部署免费 HTTPS
- 从 HTTP 到 HTTPS - IIS 部署免费 HTTPS
- 从 HTTP 到 HTTPS - IIS 部署免费 HTTPS
- 从 HTTP 到 HTTPS - IIS 部署免费 HTTPS
- 从 HTTP 到 HTTPS - IIS 部署免费 HTTPS
- IIS 8.0 发布网站。SSL部署后,将http自动强制转换https访问
- IIS - 自动申请、部署Let's Encrypt的免费SSL证书(让网站实现HTTPS协议)
- 使用 Cerbot 部署 Let's Encrypt免费证书 简单 升级 http 到 https 申请单域名ssl证书
- Win7 IIS 部署站点遇到的问题 如 HTTP 错误 404.XX
- [记]iis7.5部署WCF 访问.svc发生HTTP 错误 404.2
- 在IIS里,自动把需要用https访问的http页面转换
- 新版startssl 免费SSL证书申请 (实测 笔记 https http2 必要条件)
- IIS 7.x or higher version HTTP redirect to HTTPS
- IIS Internal Server Error &IIS8中部署WCF服务出错:HTTP 错误 404.3 - Not Found
- IIS 多站点HTTPS加密及自动http跳转到https
- windows2008 IIs部署MVC + mvc4 http错误403.14 forbidden
- http免费升级https 攻略(超简单)
- WCF部署到IIS异常(详细: 不能加载类型System.ServiceModel.Activation.HttpModule )
- [整理]IIS 6.0 下部署 Asp.net MVC Web Api 后 HTTP PUT and DELETE 请求失败
- IIS 7.5 部署webservice出错:0x80070021错误代码--HTTP 错误500.19 -Internal Server Error