承上篇使用 Certbot 工具來申請 Let’s Encrypt 免費的 SSL/TLS 憑證(請參閱:使用官方工具 Certbot 產生 Let’s Encrypt SSL 憑證給 IIS 多域名 (Multi-Domin SSL Certificate) 全詳細教程),這次一樣針對 Windows Server 平台的 IIS 來做一個超簡易且還可以自動更新方法,使用 win-acme 就可以達成!
小編的使用環境:
- Windows Server 2008 R1 SP1
- IIS 7.5
- 兩個網域,各有 3~4 子網域
因為使用 Certbot 工具在 Windows 的 IIS 都需要匯入憑證才能重新套用新的憑證,麻煩許多!小編在找是否可以搭配自動更新到 IIS 方案時正看到一篇自動更新憑證的教學 文章,使用 letsencrypt-win-simple 就可以達到自動檢查憑證日期、自動更新憑證、套用 IIS,但現在版本已經更新為 win-acme ,小編操作一下發現相關設定參數都差不多,很好理解和上手,所以做個紀錄和分享。
1. 先到 https://github.com/PKISharp/win-acme/releases 下載最後的版本,請按你的系統版本下載。
2. 解壓縮後直接執行該目錄下的 wacs.exe,進行相關憑證申請與設定。
3. 程式會掃描出你伺服器的相關情況,如 IIS 版本之類,並跳出以下的選單畫面,第一次執行就是輸入「N」,建立一個新的憑證。
4. 接著顯示你目前 IIS 共有哪些網站,若只要針對單一網域產生憑證,就選擇你特定的網域旁邊的數字編號即可,若你是像小編一樣多個網域(包含子網域)申請,就直接輸入「A」即可。
5. 再來選擇主要的網域,憑證的主要域名名稱就是以這個為主,我這裡就輸入 1 。
6. 再次確認你要放憑證的站台,輸入 yes。
7. 接下來是必須閱讀及同意 Terms of service,全部都輸入 yes 即可。再輸入可以正常收到通知的電子郵件。
8. 接著就會開是執行相關的站台驗證,然後就會直接在 IIS 上安裝 SSL 憑證。
9. 這裡有個地方要注意的是他會在該主機的工作排程器上建立一個排程(如下黃框部份),每天早上九點會自動幫你檢查憑證是否過期需要更新!最後看到 Certificate [IIS] (ant site), (any Host) created 的字眼就代表憑證申請並掛載 IIS 個站台完成囉!且會跳到一開始選單的畫面。
9. 之後就可以到 IIS 上各站台上繫結檢查是否已安裝 SSL 憑證,並可以查閱憑證資訊上的日期是否正確。
10. 在「工作排程器」也會看到 win-acme renew 排程,執行週期是每天早上 9 點,這個就是會幫你自動檢查憑證是否過期,若過期就會自動幫你更新!至於更新結果等三個月後在補充上去囉。對了,這裡有個地方要注意的是之後若你的 win-acme 程式相關目錄,手動刪除或移動,會導致這個排程失效,也就是造成 3 個月之後自動更新失敗,所以有移動程式,就要自行更新「工作排程器」的「動作」執行程式路徑喔。
打完收工,等三個月來驗收成果,做個筆記免得下次忘記。