windows下部署免费ssl证书(letsencrypt)

随着网络的发展,网络安全也越来越重要,对于网站来说,从Http升级到https也是我们要做的首要事情。要实现https,首先我们需要申请一张SSL证书,这篇文章我主要介绍下边这几个方面:

1. SSL简单介绍

2. 免费Letencrypt证书部署

3. 安装注意事项

一.SSL简单介绍

  ssl作为一个网络加密协议,主要是存在于系统中应用层和传输层之间的一个安全套接字层(Secure Socket Layer),也就是位于TCP/IP协议和各个应用层协议之间,为应用数据传输提供加密的协议。当然它内部又分记录协议和握手协议两个部分,这里如果有兴趣的可以去详细了解一下,我先简单介绍一下流程性的东西。

  它的工作流程大概可以理解为这样,客户端发起网络请求给服务端,发起握手,交换证书信息,建立连接。简单来说分为下边几部:

  客户端:发送其支持的ssl版本和加密方式给服务端。

  服务端:选择加密方式并发送证书和公钥给客户端

  客户端:验证证书信息,并通过公钥生成共享秘钥,交换

  服务端:好,咱们可以传递加密数据了

  以上是简单的描述了握手的过程,每一步都可以继续分解,可以自行查找相关文档深入了解。

 

  这里需要介绍的另外一个协议TLS,这个协议建立在SSL3.0规范之上,更加严格明确。其中它又有一个扩展协议叫做 SNI(Server Name Indication-服务器名称指示),这里介绍下它的主要作用。

  在我们常用的主机中,可能会有很多站点,我们并不能够一次性提前获知将使用此服务器的所有域名列表,但是我们不能每次修改域名重新颁发一次证书,所以有了SNI,让我们可以在一台主机上能够部署多个证书, 使得服务器可以在握手阶段选择正确虚拟域,并发送对应证书。在IIS8.0以上版本中,我们绑定域名时会有如下的选项:

 

   当前有很多免费和收费 ssl的证书提供商可以供我们选择,当然我们也可以自己作为颁发主体,制作ssl证书,不过像谷歌等浏览器对于不受信任的证书机构在页面上会给提示存在安全风险,阻止访问,这对用户体验来说是非常糟糕的。根据安全等级,当前ssl证书根据主要有以下几类:

  EV - 业界顶级SSL证书,部署了EV SSL证书的网站,地址栏会变成醒目的绿色,并且显示网站所属企业名称

  OV - 使用较为广泛的企业验证型SSL证书,部署了OV SSL证书之后,地址栏会有安全锁标识显示

  DV - 只验证域名,快速签发的SSL证书。也会在地址栏显示安全锁标识,但证书详情里面不显示O字段,不显示使用者名称,只显示域名

  当前受到主流浏览器承认的很多SSL证书机构颁发的免费证书主要也都是DV等级。下面我介绍一下最近比较知名的 Letencrypt 免费ssl证书在windows下的部署过程。

 

二. 免费Letencrypt证书部署

  这个是由国外发起的一个免费的ssl项目,现在已经得到了谷歌等主流浏览器的认可。从安全角度考虑,通过Letencrypt安装的免费证书只有三个月的有效期,到期之需要重新申请,但是这也给部署造成了一定的麻烦,所以官方也提供了各种自动化的解决方案,这里我介绍的是windows下的证书申请和自动更新工具letsencrypt-win-simple

  首先我们下载   GitHub地址(https://github.com/Lone-Coder/letsencrypt-win-simple/releases) 并解压

  因为安装过程需要在站点下生成验证文件,所以请以管理员模式进入cmd界面,也可以右键开始菜单 点击 命令提示符(管理员)选项

进入解压文件夹,运行 letsencrypt.exe --san 命令

执行完之后会自动将IIS下的所有网站列出来,后边会有如下几个选项:

这几个选项分别对应不同的情况,这里因为我的机器下有好几个站点,我想给他们统一颁发一个证书,我选择S,之后它会提示你输入要安装的站点序号,这里我输入 3,4

 

接下来它会在每个站点下创建一个里验证文件,验证通过之后就会生成对应证书添加到IIS中,如果一切正常的情况下会在任务管理中创建一个定时更新任务。

 

当前这个软件还存在一些bug,我个人在安装中也遇到了几个异常终止的错误,重复操作两次才正常通过,如果你也遇到问题,可以直接去IIS下证书管理,查看是否已经创建了对应的证书,如果存在可以手动绑定。

 

三. 注意事项

  使用Letencrypt时有一定的次数限制,以防止申请的滥用,这里是 官方网站 给出的限制信息:

If you have a lot of subdomains, you may want to combine them into a single certificate, up to a limit of 100 Names per Certificate. Combined with the above limit, that means you can issue certificates containing up to 2,000 unique subdomains per week. A certificate with multiple names is often called a SAN certificate, or sometimes a UCC certificate.

We also have a Duplicate Certificate limit of 5 certificates per week. A certificate is considered a duplicate of an earlier certificate if they contain the exact same set of hostnames, ignoring capitalization and ordering of hostnames. For instance, if you requested a certificate for the names [www.example.comexample.com], you could request four more certificates for [www.example.comexample.com] during the week. If you changed the set of names by adding [blog.example.com], you would be able to request additional certificates.

  如果你需要测试,可以在命令行中执行:letsencrypt.exe --test 。进入测试环境。

转载于:https://www.cnblogs.com/yulei126/p/6789834.html

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/455796.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

python中什么是关键字参数_如何使用python语言中函数的关键字参数的用法

一般情况下,在调用函数时,使用的是位置参数,即是按照参数的位置来传值;关键字参数是按照定义函数传入的参数名称来传值的。那么,关键字参数怎么使用?工具/原料 python pycharm 截图工具 WPS 方法/步骤 1 打…

【SSL】HTTPS配置全过程

服务器配置https协议 HTTPS,是以安全为目标的HTTP通道,简单讲是HTTP的安全版。即HTTP下加入SSL层,HTTPS的安全基础是SSL,因此加密的详细内容就需要SSL。 配置HTTPS就需要证书,关于证书方面不做过多解释,只…

输出四位完全平方数_完全平方数中的规律

PS:很近之前自己收集的资料一个正整数如果是另一个整数的完全平方,那么我们就称这个数为完全平方数,也叫做平方数。如:0,1,4,9,16,25,36,49&#…

为企业提供本地销售人员的Universal Avenue获1000万美元A轮融资

为各类B2B企业提供本地销售人员的瑞典初创企业Universal Avenue近日获得了1000万美元的A轮融资。此轮融资由Eight Roads(富达国际的投资机构)领投,原有投资者Northzone和MOOR跟投,加上2015年获得的500万美元种子轮融资&#xff0c…

【Linux分享】Linux常用命令+教程分享

今天分享分为两部分 :) PART01 Linux常用命令分享/ PART02 关于BD面试经验分享 30mins Linux Command: PART 1 你本可以张口就来..... 本篇内容分享的宗旨: 拿下Linux面试 别面试的时候呆呆地说个ls了🚑 本篇分享详细地介绍了常用Linux指令的功能、语法、参…

万能无线鼠标对码软件_400元就能买ROG无线游戏鼠标,ROG影刃2无线版使用体验...

影刃2是ROG刚刚推出的一款新产品,定位入门游戏玩家。目前市面上定位入门游戏玩家的无线鼠标真不多,400块以内的预算想要选购一款合适的无线游戏鼠标,选择其实非常有限。 就ROG产品线而言,烈刃2的价格到了700块钱;罗技G…

wampserver 虚拟主机

转载:http://blog.csdn.net/knight_quan/article/details/51830683 1.背景: 在进行网站开发的时候,通常需要以http://localhost或者127.0.0.1等地址来访问本地环境的网站。不过随着开发项目的增多,需要每次先访问localhost然后再选…

PL/SQL的结构

2019独角兽企业重金招聘Python工程师标准>>> [DECLARE] --声明开始关键字/*这里是声明部分,包括PL/SQL中的变量、常量以及类型第等*/BEGIN --执行部分开始标志/*这里是执行部分,是整个PL/SQL块的主体部分,该部分必须存在,可以是SQL语句或流程控制语句等…

cf方框透视易语言代码怎么写_易语言真的那么不入流吗?

很多人鄙视易语言,为什么那么多人一提易语言,除了骂,还是骂,易语言很大错误吗?知乎上的大神们是这么说的一个语言的“入流”,和是不是英文关键字无关,而是和这种语言进入某一子行业的契机有关。…

python发展历程

作者:Vamei 出处:http://www.cnblogs.com/vamei 欢迎转载,也请保留这段声明。谢谢! Python是我喜欢的语言,简洁,优美,容易使用。前两天,我很激昂的向朋友宣传Python的好处。 听过之…

【Django】RBAC权限管理系统模块-理解

今天文章分为两部分 :) PART1 RBAC权限管理内容分享/ PART2 关于字节跳动一面 10 Minutes Django-RBAC: PART 1 这权限管理系统主要功能是什么? 顾名思义,在系统中可以灵活的划分角色组,可以根据功能特性来划分:- 比如设置系…

Linux使用circos

1.在conda中安装bioconda conda install -c bioconda circos -y # 测试是否所有的module都安装好了 circos -module # 所有都显示OK则成功 ok 0.39 Font::TTF::Font ok 2.68 GD ok 0.2 GD::Polyline ... .... 2.检查模块是否齐全 circos -module 3.下…

【Mysql】数据库主从搭建-基于docker

后台可回复【1024】即可获取相关宝藏内容分享 :) 为什么基于Docker搭建? 资源有限 虚拟机搭建对机器配置有要求,并且安装mysql步骤繁琐 一台机器上可以运行多个Docker容器 Docker容器之间相互独立,有独立ip,互不冲突…

java创建对象new后面为啥可以传入参数_你有认真了解过自己的“Java对象”吗?渣男...

对象在 JVM 中是怎么存储的对象头里有什么?作为一名 Javaer,生活中的我们可能暂时没有对象,但是工作中每天都会创建大量的 Java 对象,你有试着去了解下自己的“对象”吗?我们从四个方面重新认识下自己的“对象”创建对…

【技术+某度面经】Jenkins 内容+百度面经分享

后台可回复【1024】即可获取相关宝藏内容分享 :) Q1: Jenkins是什么?? A:Jenkins是一款开源 CI&CD 软件,用于自动化各种任务,包括构建、测试和部署软件。 今天文章分为两部分 :) PART1 Jenkins技术分享 / PART2 关…

xcode多工程联编 - 详细教程

2019独角兽企业重金招聘Python工程师标准>>> 一、创建workspace (MyProject)放入MyProject文件夹内 二、先 打开workspace 创建app1工程 点击next之后注意选择 workspace 同理创建app2 或者更多的工程 完成之后的工作 重新打开workspace的样子 三、使用pod 库 首先…

实数是不是python数据类型_python 基本数据类型

一、数据类型及操作 #整数类型,和数学中整数的一样,可正可负 *十进制:210 *二进制:以0B或者0b开头:0b1010 *八进制:以0O或者0o开头:0o123 *十六进制:以0x或者0X开头:0x9a…

Principle of Computing (Python)学习笔记(7) DFS Search + Tic Tac Toe use MiniMax Stratedy

1. Trees Tree is a recursive structure. 1.1 math nodes https://class.coursera.org/principlescomputing-001/wiki/view?pagetrees 1.2 CODE无parent域的树 http://www.codeskulptor.org/#poc_tree.py class Tree:"""Recursive definition for tree…

C#线程篇---Task(任务)和线程池不得不说的秘密

我们要知道的是,QueueUserWorkItem这个技术存在许多限制。其中最大的问题是没有一个内建的机制让你知道操作在什么时候完成,也没有一个机制在操作完成是获得一个返回值,这些问题使得我们都不敢启用这个技术。 Microsoft为了克服这些限制&…