windows Server下Let‘s Encrypt的SSL证书续期

一、手动续期方法:

暂停IIS服务器 --> 暂时关闭防火墙 --> 执行certbot renew --> 打开防火墙 --> 用OpenSSL将证书转换为PFX格式-->pfx文件导入到IIS --> IIS对应网站中绑定新证书 --> 重新启动IIS -->完成

1、暂停IIS服务器

2、暂时关闭防火墙,命令

netsh advfirewall set allprofiles state off

3、在开始菜单中打开Certbot客户端(或者管理员权限powershell进入Certbot安装目录下的\bin目录)

先查看一下到期信息:

certbot certificates

 

执行

certbot renew

成功!

4、关闭防火墙

netsh advfirewall set allprofiles state on

5、用OpenSSL将最新获得的PEM格式的证书和私钥转换为PFX格式

-->C:\Certbot\archive\yourdomain.com\ 目录下找到最新的privkey.pem 和 fullchain.pem,复制到一个指定目录,然后在OpenSSL安装目录下执行:

C:\Program Files\OpenSSL-Win64\bin>openssl pkcs12 -export -out F:\pem\mysite.pfx -inkey F:\pem\privkey.pem -in F:\pem\fullchain.pem

6、双击pfx文件导入到IIS。(需输入创建pfx文件时设置的密码)

7、IIS对应网站中绑定证书:

8、重新启动IIS

 二、自动续期方法

[未验证,以下是GPT的解答]

在Windows和IIS环境下实现SSL证书的自动续期,尤其是当使用Certbot客户端且需要特定操作(如暂停IIS服务器和关闭防火墙)来成功完成续期时,会稍显复杂。不过,你可以通过创建一个自动化脚本并结合Windows任务计划程序来实现这个目标。下面是一种可能的解决方案:

第一步:创建一个批处理脚本

  1. 创建一个新的批处理文件(例如,CertbotRenew.bat),并将其存放在一个可靠的位置,比如C:\Scripts\

  2. 编辑批处理文件,加入以下命令行:

    @echo off
    REM 停止IIS服务
    iisreset /stopREM 关闭Windows防火墙
    netsh advfirewall set allprofiles state offREM 执行Certbot续期
    "C:\Program Files\Certbot\bin\certbot.exe" renewREM 开启Windows防火墙
    netsh advfirewall set allprofiles state onREM 重新启动IIS服务
    iisreset /start
    

    确保调整上述脚本中的路径和命令以匹配你的环境和需求。

第二步:使用Windows任务计划程序创建一个任务

  1. 打开任务计划程序:在开始菜单搜索"任务计划程序"并打开它。

  2. 创建新任务:在“操作”菜单中选择“创建任务”。

  3. 配置任务

    • 在“常规”标签下,给任务命名,并选择“不管用户是否登录都要运行”。
    • 在“触发器”标签下,点击“新建”,设置任务的开始时间和重复频率。你可能希望每月运行一次,因为Let's Encrypt的证书有效期为90天,这样可以确保在证书到期之前有足够的时间来解决可能出现的任何问题。
    • 在“操作”标签下,点击“新建”,“操作”选择“启动程序”,在“程序或脚本”框中输入你的批处理文件的路径(例如,C:\Scripts\CertbotRenew.bat)。
  4. 完成和保存任务:配置完毕后,点击“确定”保存新任务。

通过这种方式,你就创建了一个自动化任务,它会根据你设置的时间表自动运行,执行必要的操作来续期你的SSL证书,包括在续期过程中暂停IIS服务和关闭防火墙。

注意事项

  • 确保在设置自动续期前,手动运行一次脚本来验证所有步骤都能正常工作。
  • 考虑到安全性,频繁关闭防火墙并不是一个好的安全实践。如果可能,寻找不需要关闭防火墙的续期方法,例如配置适当的防火墙规则来允许Certbot进行验证,可能会是一个更安全的选择。
  • 如果你的IIS站点配置或DNS记录会经常变动,确保在续期前验证这些配置仍然有效,以免自动续期失败。
  • 考虑在脚本中加入日志记录功能,以便跟踪续期过程中可能出现的任何问题

三、windows + IIS 环节下如何使用Webroot插件完成SSL证书续期

在Windows和IIS环境下使用Certbot的Webroot插件完成SSL证书续期,需要确保Certbot能够在你的Web服务器上放置一个特殊文件,Let's Encrypt的验证服务器会访问这个文件以验证域名的所有权。这个过程不需要停止IIS服务或关闭防火墙,但要求IIS能够提供访问.well-known/acme-challenge目录下文件的HTTP服务。

步骤 1: 确保Webroot路径存在

首先,你需要确定或创建一个目录,作为Webroot插件放置验证文件的地方。这通常是你网站文件存放的根目录。例如,如果你的网站根目录是C:\inetpub\wwwroot,你需要确保这个目录存在并且IIS有权限访问它。

步骤 2: 配置IIS以服务.well-known/acme-challenge

  1. 打开IIS管理器。
  2. 选择你的网站。
  3. 在“操作”面板中,点击“浏览目录”并确保.well-known目录存在于你的Webroot目录下。如果不存在,请创建它。
  4. 同样,确保.well-known目录下有一个名为acme-challenge的子目录。
  5. .well-known/acme-challenge目录配置MIME类型,以确保IIS能够正确地服务在此目录下创建的文件。在IIS管理器中选择网站或服务器级别,然后打开“MIME 类型”。添加一个新的MIME类型:文件扩展名为.*,MIME类型为text/plain

步骤 3: 使用Webroot插件续期证书

在确认了上述配置后,你可以使用以下命令来续期证书,其中<your-webroot-path>需要替换为实际的Webroot路径,例如C:\inetpub\wwwroot

certbot certonly --webroot -w <your-webroot-path> -d example.com -d www.example.com

这个命令会告诉Certbot使用Webroot插件,-w选项指定了Webroot目录的路径,-d选项后面跟着你想要证书覆盖的域名。

步骤 4: 更新IIS以使用新的证书

续期证书后,你可能需要手动更新IIS配置,以使用新的证书。这可以通过IIS管理器完成:

  1. 打开IIS管理器。
  2. 选择你的网站,然后点击“绑定…”。
  3. 找到使用旧证书的HTTPS绑定,点击“编辑”。
  4. 在“SSL 证书”下拉菜单中,选择新续期的证书。
  5. 点击“确定”保存更改。

自动化续期

虽然使用Webroot插件可以手动续期证书,但Certbot在Windows上的自动续期可能不如Linux上那么直接。你可以通过创建一个定时任务来定期运行续期命令,并检查日志文件确认续期成功。

请注意,这个过程中的确切步骤可能根据你的具体环境和配置有所不同。如果遇到问题,检查Certbot日志文件和IIS日志文件可以提供有用的信息。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/700677.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

【LeetCode每日一题】 单调栈的案例 42. 接雨水

这道题是困难&#xff0c;但是可以使用单调栈&#xff0c;非常简洁通俗。 关于单调栈可以参考单调栈总结以及Leetcode案例解读与复盘 42. 接雨水 给定 n 个非负整数表示每个宽度为 1 的柱子的高度图&#xff0c;计算按此排列的柱子&#xff0c;下雨之后能接多少雨水。 示例 …

命令记录学习

1. 查看当前用户 cat /etc/passwd 添加test用户 useradd test -G root 查看test用户状态 id test 查看用户adaminstrator passwd -S adaminstrator 禁用用户adaminstrator passwd -l adaminstrator 密码策略设置文件地址 vi /etc/pam.d/system-auth 设…

浅析SpringBoot框架常见未授权访问漏洞

文章目录 前言Swagger未授权访问RESTful API 设计风格swagger-ui 未授权访问swagger 接口批量探测 Springboot Actuator未授权访问数据利用未授权访问防御手段漏洞自动化检测工具 CVE-2022-22947 RCE漏洞原理分析与复现漏洞自动化利用工具 其他常见未授权访问Druid未授权访问漏…

私域运营-需要认清的事实

一、私域不能单纯依靠微信渠道 误区&#xff1a;很多企业仍停留在如何让用户在微信去分享裂变&#xff0c;然后带动新用户的阶段。 私域的核心在于“开源节流”&#xff0c;就是如何通过更多渠道获取更多客户&#xff0c;并且避免客户的批量流失。 私域讲究的是如何从公域的“…

【读博杂记】:近期日常240223

近期日常 最近莫名其妙&#xff0c;小导悄悄卷起来&#xff0c;说要早上八点半开始打卡&#xff0c;我感觉这是要针对我们在学校住的&#xff0c;想让我们自己妥协来这边租房子住&#xff0c;但我感觉这是在逼我养成规律作息啊&#xff01;现在基本上就是6~7点撤退&#xff0c;…

Oracle EBS FA折旧回滚的分录追溯

FA模块向子分类账和总账追溯分为两部分&#xff1a;事务表和折旧&#xff0c;但是FA相关表做其实关联计划外折旧的分录会被遗漏的原因&#xff1a; 如果已经当月折旧&#xff0c;运行完成折旧后&#xff0c;又进行了计划外折旧&#xff0c;因为计划折旧时又要区分【是否进行当月…

【Pytorch】各种维度变换函数总结

维度变换千万不要混着用&#xff0c;尤其是交换维度的transpose和更改观察视角的view或者reshape&#xff01;混用了以后虽然不会报错&#xff0c;但是数据是乱的, 建议用einops中的rearrange&#xff0c;符合人的直观&#xff0c;不容易出错。 一个例子&#xff1a; >>…

如何提高测试人员在公司的影响力?“小题大做”少不了!

背景:一件不太合理却又常见的小诉求 某天,一个新入职的运营人员在公司聊天软件里找到我,希望我团队的QA同学能在test环境给他介绍一下当前业务APP里的功能操作,提及了多个模块。 我把聊天内容转给我团队中的小H看,小H的反应是“这活儿也太杂了吧,连运营人员想了解业务…

Ubuntu20.04开启/禁用ipv6

文章目录 Ubuntu20.04开启/禁用ipv61.ipv62. 开启ipv6step1. 编辑sysctl.confstep2. 编辑网络接口配置文件 3. 禁用ipv6&#xff08;sysctl&#xff09;4. 禁用ipv6&#xff08;grub&#xff09;附&#xff1a;总结linux网络配置 Ubuntu20.04开启/禁用ipv6 1.ipv6 IP 是互联网…

C/C++ PrefixToNetmask、NetmaskToPrefix(网络掩码、Prefix 互转)

作用&#xff1a; Netmask&#xff1a;255.255.255.0 互转 Prefix&#xff1a;24 新实现&#xff1a; static int NetmaskToPrefix(unsigned char* bytes, int bytes_size) noexcept {if (NULL bytes || bytes_…

openGauss学习笔记-227 openGauss性能调优-系统调优-其他因素对LLVM性能的影响

文章目录 openGauss学习笔记-227 openGauss性能调优-系统调优-其他因素对LLVM性能的影响 openGauss学习笔记-227 openGauss性能调优-系统调优-其他因素对LLVM性能的影响 LLVM优化效果不仅依赖于数据库内部具体的实现&#xff0c;还与当前所选择的硬件环境等有关。 表达式调用C…

视频监控集中管理的好处

在视频监控建设的进程中&#xff0c;许多单位采用分期、分批的方式进行&#xff0c;不同的部门、项目所采纳的监控系统和平台各有不同。面对这样一个复杂的状况&#xff0c;大型企业经常需应对多平台、多品牌录像机和监控设备的挑战。这无疑给后续的应用管理带来了不小的困扰。…

2.23C语言学习

P1480 A/B Problem 高精度数除以非高精度数 #include<bits/stdc.h> long long b[66660],c[66660],sum0; char a[66660]; int n; int main(){scanf("%s",a);scanf("%d",&n);int lenstrlen(a);for(int i1;i<len;i){b[i]a[i-1]-0;}for(int i1;…

Qt之Qstring元素访问

和之前讲述的访问QByteArray类对象中某个元素的方式类似&#xff0c;访问QString 类对象方式的某个元素采用类似的4种主要方式&#xff0c;分别为[、at&#xff08;&#xff09;、data[]和 constData[]。其中&#xff0c;[]和data[]方式为可读可写&#xff0c;at&#xff08;&a…

【力扣白嫖日记】176.第二高的薪水

前言 练习sql语句&#xff0c;所有题目来自于力扣&#xff08;https://leetcode.cn/problemset/database/&#xff09;的免费数据库练习题。终于把所有的简单题刷完&#xff0c;进入第一道中等题。 今日题目&#xff1a; 176.第二高的薪水 表&#xff1a;Employee 列名类型…

CSS 的圆角矩形

CSS 的圆角矩形 通过 border-radius 属性使矩形边框带圆角效果成为圆角矩形 语法&#xff1a;border-radius: length; length 是内切圆的半径&#xff0c;其数值越大, 弧线越明显 border-radius 属性值描述length定义圆角的形状%以百分比定义圆角的形状 生成圆形 让 border-…

村镇医院医疗中心污废水如何处理达标

污废水处理是村镇医院医疗中心运营中不可忽视的重要环节。如何有效处理污废水&#xff0c;使其达到相关标准&#xff0c;是保障医疗中心环境卫生的关键之一。 首先&#xff0c;村镇医院医疗中心应建立科学的废水处理系统。该系统应包括预处理、初级处理、中级处理和高级处理等环…

整型数组按个位值排序/最低位排序(C语言)

题目来自于博主算法大师的专栏&#xff1a;最新华为OD机试C卷AB卷OJ&#xff08;CJavaJSPy&#xff09; https://blog.csdn.net/banxia_frontend/category_12225173.html 题目描述 给定一个非空数组&#xff08;列表&#xff09;&#xff0c;其元素数据类型为整型&#xff0c…

JVM(1)

JVM简介 JVM是Java Virtual Machine的简称,意为Java虚拟机. 在java中,它归属于jre(java运行时环境), 而jre归属于jdk(java开发工具包). 虚拟机是指通过软件模拟的具有完整硬件功能的,运行在一个完全隔离的环境中的完整计算机系统. 常见的虚拟机:JVM, VMwave, VirtualBox. J…

2024 Impeller:快速了解 Flutter 的渲染引擎的优势

参考原文 &#xff1a;https://tomicriedel.medium.com/understanding-impeller-a-deep-dive-into-flutters-rendering-engine-ba96db0c9614 最近&#xff0c;在 Flutter 2024 路线规划里明确提出了&#xff0c;今年 Flutter Team 将计划删除 iOS 上的 Skia 的支持&#xff0c;…