在 IIS Web 服务器/RDS 上安装免费的 Let’s Encrypt TLS/SSL 证书

在本指南中，我们将向您展示如何为 Windows Server 2019/2016/2012 R2 上运行的 IIS Web 服务器上的站点安装和绑定免费的 TLS/SSL Let's Encrypt 证书。

Let’s Encrypt 和 ACME Windows 客户端

网站的 TLS/SSL 证书可以保护通过公共网络传输的用户数据免受中间人 (MITM) 攻击，并提供数据完整性。非营利认证中心Let’s Encrypt允许您使用 API 自动颁发免费的 X.509 加密 TLS 证书以进行 HTTPS 加密。仅颁发 90 天后过期的域验证证书（一个域每周最多可颁发 50 个证书）。但您可以使用简单的计划自动续订网站的 SSL 证书。

自动颁发证书的 Let’s Encrypt API 接口称为自动证书管理环境(ACME) API。 Windows 系统有 3 种最流行的 ACME API 客户端实现：

1. Windows ACME Simple (WACS)是命令提示符工具，用于交互式颁发 SSL 证书并将其绑定到 IIS Web 服务器上的特定站点；

2. Powershell ACMESharp 模块 - 是 PowerShell 库，具有许多 cmdlet，可通过 ACME API 与 Let’s Encrypt 服务器进行交互；

3. Certify是一个 Windows 图形工具，用于使用 ACME API 以交互方式管理 SSL 证书。

WACS Clint 将在 Windows Server 上的 IIS 中安装 Let's Encrypt TLS 证书

从 Let’s Encrypt 获取 SSL 证书的最简单方法是使用控制台工具 Windows ACME Simple (WACS)（以前该项目称为 LetsEncrypt-Win-Simple）。它是一个简单的向导，允许您选择在 IIS 上运行的网站之一，自动颁发 SSL 证书并将其绑定到该网站。

假设您有一个在 Windows Server 2016 上运行的 IIS 网站。您的任务是通过安装 Let’s Encrypt 的免费 SSL 证书将网站切换到 HTTPS 模式。

从 GitHub https://github.com/PKISharp/win-acme/releases 下载最新版本的 WACS 客户端（在我的例子中，这是版本 v2.0.10 - 文件名为 win-acme.v2.0.10.444.zip）。

将 zip 存档解压到安装 IIS 的服务器上的以下目录：

c:\inetpub\letsencrypt

您必须安装 .NET Framework 4.7.2 或更高版本才能使用 Win-Acme（如何检查安装的 .NET Framework 版本？）。

打开提升的命令提示符，转到 c:\inetpub\letsencrypt 目录并运行 wacs.exe。这将启动交互式 Let's Encrypt 证书生成和绑定到 IIS 站点向导。要快速创建新证书，请选择N: - 创建新证书（对于 IIS 来说很简单）。

接下来，您需要选择证书类型。在我们的示例中，不需要使用带有别名的证书（多个 SAN - 主题备用名称），因此只需选择一个项目1。 IIS 站点的单一绑定。如果您需要通配符证书，请选择选项3。

然后，该实用程序会显示在 IIS 上运行的网站列表，并提示您选择要为其颁发证书的网站。

指定您的电子邮件地址，有关证书续订问题以及其他关键消息和滥用行为的通知将发送到该地址（您可以指定多个电子邮件地址，以逗号分隔）。您仍需同意使用条款，Windows ACME Simple 将连接到 Let’s Encrypt 服务器并尝试自动为您的网站生成新的 SSL 证书。

为 IIS 生成和安装 SSL Let's Encrypt 证书的过程是完全自动化的。

默认情况下，域验证在 http-01 验证（SelfHosting） 模式下执行。为此，您必须有指向您的 Web 服务器的域 DNS 记录。在手动模式（完整选项）下运行 WACS 时，您可以选择验证类型 - 4 [http-01]在 IIS 中创建临时应用程序（推荐）。在这种情况下，将在 IIS Web 服务器上创建一个小型应用程序，Let’s Encrypt 服务器将能够通过该应用程序执行域验证。

注意。在 TLS/HTTP 验证期间，您的站点必须可以通过 HTTP (80/TCP) 和 HTTPS (443/TCP) 协议通过其完整 DNS 名称从 Internet 访问。

WACS 工具将证书的私钥 (*.pem)、证书本身以及许多其他文件保存在 C:\Users\%username%\AppData\Roaming\letsencrypt-win-simple 中。然后它将安装后台生成的 Let’s Encrypt SSL 证书并将其绑定到您的 IIS 站点。如果站点上安装了 SSL 证书（例如自签名证书），则会将其替换为新证书。

在 IIS 管理器中，打开您网站的站点绑定设置，并验证它是否使用由 Let’s Encrypt Authority X3 颁发的证书。

如果您已更新 Windows 受信任的根证书颁发机构，则此证书将在您的计算机上显示为受信任。

您可以在虚拟主机 -> 证书下的计算机证书存储中找到 Let's Encrypt IIS 证书。

Windows ACME Simple 在 Windows 任务计划程序中创建一个新作业 (

win-acme-renew (acme-v02.api.letsencrypt.org)

) 自动更新证书。任务每天开始，60天后进行证书更新。此任务运行命令：

C:\inetpub\letsencrypt\wacs.exe --renew --baseuri "https://acme-v02.api.letsencrypt.org"

您可以使用相同的命令手动更新 Let’s Encrypt 证书。

使用 IIS URL 重写从 HTTP 重定向到 HTTPS

要将所有传入 HTTP 流量重定向到 HTTPS 网站 URL，请安装 Microsoft URL 重写模块(https://www.iis.net/downloads/microsoft/url-rewrite)，并确保在站点设置中禁用“需要 SSL”选项。现在使用重写规则在 web.config 中配置重定向：

<system.webServer>
<rewrite>
<rules>
<rule name=”HTTP to HTTPS Redirect” enabled=”true” stopProcessing=”true”>
<match url=”(.*)” />
<conditions>
<add input=”{HTTPS}” pattern=”off” ignoreCase=”true” />
</conditions>
<action type=”Redirect” url=”https://{HTTP_HOST}/{R:1}” appendQueryString=”true” redirectType=”Permanent” />
</rule>
</rules>
</rewrite>
</system.webServer>

您还可以通过 IIS 管理器 GUI 使用 URL 重写扩展来配置流量重定向。选择网站 -> 您的网站名称 -> 网址重写。

创建新规则添加规则 -> 空白规则。

指定规则名称并更改以下参数值：

• 请求的 URL：与模式匹配

• 使用：正则表达式

• 模式：(.*)

在条件部分中，更改逻辑分组：全部匹配，然后单击添加。指定以下设置：

• 条件输入： {HTTPS}

• 检查输入字符串：是否与模式匹配

• 模式： ^OFF$

现在在操作块中选择：

• 操作类型：重定向

• 重定向网址：https://{HTTP_HOST}/{R:1}

• 重定向类型：永久 (301)

打开浏览器并尝试使用 HTTP 地址打开您的网站；您应该会自动重定向到 HTTPS URL。

将 Let’s Encrypt 证书与 RDS 网关和 Web 访问结合使用

如果您使用 RDS 网关或 RDS Web 访问将外部用户连接到公司网络，则可以使用 Let’s Encrypt 的受信任 SSL 证书而不是自签名证书。考虑如何正确安装 Let’s Encrypt 证书以保护 Windows Server 上的远程桌面服务。

如果远程桌面网关服务器上也安装了 RDSH 角色，则必须阻止非管理员用户访问存储 WACS 文件（在我的示例中为 c:\inetpub\letsencrypt）以及 Let’s encrypt 证书和密钥 (C:\ProgramData\win-acme) 的目录。

然后，在 RD 网关服务器上运行 wacs.exe，如上所述。选择所需的 IIS 站点（通常是默认网站。Let’s Encrypt 将为您颁发新证书并将其绑定到 IIS 网站，自动证书续订任务将出现在任务计划程序中。

您可以手动导出此证书并通过 SSL 绑定将其绑定到所需的 RDS 服务。但是，当更新 Let’s Encrypt 证书时，您必须每 60 天手动执行一次这些步骤。

更新 Let’s Encrypt 证书后，我们可以使用 PowerShell 脚本自动将 SSL 证书绑定到 RDS 网关。

win-acme 项目中有一个现成的 PowerShell 脚本 - ImportRDGateway.ps1 (https://github.com/PKISharp/win-acme/tree/master/dist/Scripts)，它允许您为远程桌面服务安装选定的 SSL 证书。该脚本的主要缺点是您必须手动指定新证书的指纹：

ImportRDGateway.ps1 <certThumbprint>

要自动从指定的 IIS 站点获取证书指纹，请使用修改后的脚本 ImportRDGateway_Cert_From_IIS.ps1（基于 ImportRDGateway.ps1）。

您可以手动运行此脚本：

powershell -File ImportRDGateway_Cert_From_IIS.ps1

如果您的 RDS 网关在索引为 0 的 IIS“默认网站”上运行，则无需更改即可使用该脚本。

要获取 IIS 上的站点 ID，请打开 PowerShell 控制台并运行：

Import-Module WebAdministration
Get-ChildItem IIS:Sites|ft -AutoSize

$NewCertThumbprint = (Get-ChildItem IIS:SSLBindings)[0].Thumbprint

现在打开 win-acme-renew 调度程序任务，并在操作选项卡上添加一个新任务，该任务在更新 SSL 证书后运行 ImportRDGateway_Cert_From_IIS.ps1 脚本。

为了不更改PowerShell执行策略，您可以使用以下命令运行脚本：

PowerShell.exe -ExecutionPolicy Bypass -File c:\inetpub\letsencrypt\ImportRDGateway_Cert_From_IIS.ps1

现在，在 Let’s Encrypt 证书续订后，将立即执行将 SSL 证书绑定到 RDS 的脚本。在这种情况下，RD 网关服务将使用以下命令自动重新启动：

Restart-Service TSGateway

[aler]当TSGateway服务重新启动时，所有当前用户会话都会断开，因此建议将启动证书更新任务的频率更改为每60天一次。[/alert]