艾銻知識 | windows下部署免費ssl證書(letsencrypt)的方法

2020-03-05 17:18 作者：艾銻無限 瀏覽量：

3月2日早晨,這個世界上最偉大的CEO,前通用電器的掌舵人杰克韋爾奇因病逝世。在他執掌通用電器的19年中，公司一路迅跑，并因此連續三年在美國<<財富雜志>>全美最受推崇公司評選中名列前茅。

通用電器在他的執掌時市場資本增長30多倍，達到了4500億美元，排名從世界第10提升到第1名。已有12個事業部，在其各自的市場上數一數二。如果單獨排名，通用電器有9個事業部能入選財富500強，從一家制造業巨頭轉變為以服務業和電子商務為導向的企業巨人，使百年歷史的通用電器成為真正的業界領袖級企業。
 
 
本人喜歡杰克韋爾奇，并不是因為他創造了這樣一家偉大的企業，貢獻了這樣一個讓人難以啟迪的高度，而是因為他的管理哲學以及管理理念，他認為在你沒有成為領導者之前,最大的成功就是自己的成長，而成為領導者之后，最大的成功就是幫助他人成長,培養更多的優秀人才才是領導者重之之重的工作。

 
在一次電視訪談中,主持人問杰克,除了你的這些管理理念,還有什么對于一個CEO來說是非常重要的,杰克韋爾奇說偉大的CEO就是偉大的教練，作為一名CEO,不只是去管理你的企業,更需要幫助你的管理者成為領導者,讓他們的潛能發揮出來,這才是一名CEO該做的事.
杰克為什么會這么推崇一位CEO要成為一名教練,我想也是源于他和管理學大師德魯克先生的一段故事.
 
當年，杰克·韋爾奇出任通用電氣總裁伊始，他去求見德魯克，咨詢有關企業成長的課題。德魯克送給他一個簡單的問題：假設你是投資人，通用電氣這家公司有哪些事業，你會想要買？這個大乎哉的問題對韋爾奇產生了決定性的影響。經過反復思考，韋爾奇作出了著名的策略決定：通用電氣旗下的每個事業，都要成為市場領導者，“不是第一，就是第二，否則退出市場”。
 
透過這個故事我們發現,管理學的大師德魯克先生并沒有給杰克什么解決方案,而只是僅僅提出了一個問題,讓杰克從更高維度上來思考通用這家公司,到底作為CEO你想要的是什么,他就立刻知道自己接下來如何干了.

作為企業CEO的你又是如何做的呢?

艾銻知識 |windows下部署免費ssl證書(letsencrypt)的方法


隨著網絡的發展，網絡安全也越來越重要，對于網站來說，從Http升級到https也是我們要做的首要事情。要實現https，首先我們需要申請一張SSL證書，這篇文章我主要介紹下邊這幾個方面：

1. SSL簡單介紹

2. 免費Letencrypt證書部署

3. 安裝注意事項

一.SSL簡單介紹

　　ssl作為一個網絡加密協議，主要是存在于系統中應用層和傳輸層之間的一個安全套接字層（Secure Socket Layer），也就是位于TCP/IP協議和各個應用層協議之間，為應用數據傳輸提供加密的協議。當然它內部又分記錄協議和握手協議兩個部分，這里如果有興趣的可以去詳細了解一下，我先簡單介紹一下流程性的東西。

　　它的工作流程大概可以理解為這樣，客戶端發起網絡請求給服務端，發起握手，交換證書信息，建立連接。簡單來說分為下邊幾部：

　　客戶端：發送其支持的ssl版本和加密方式給服務端。

　　服務端：選擇加密方式并發送證書和公鑰給客戶端

　　客戶端：驗證證書信息，并通過公鑰生成共享秘鑰，交換

　　服務端：好，咱們可以傳遞加密數據了

　　以上是簡單的描述了握手的過程，每一步都可以繼續分解，可以自行查找相關文檔深入了解。

　　這里需要介紹的另外一個協議TLS，這個協議建立在SSL3.0規范之上，更加嚴格明確。其中它又有一個擴展協議叫做 SNI（Server Name Indication-服務器名稱指示），這里介紹下它的主要作用。

　　在我們常用的主機中，可能會有很多站點，我們并不能夠一次性提前獲知將使用此服務器的所有域名列表，但是我們不能每次修改域名重新頒發一次證書，所以有了SNI，讓我們可以在一臺主機上能夠部署多個證書， 使得服務器可以在握手階段選擇正確虛擬域，并發送對應證書。在IIS8.0以上
版本中，我們綁定域名時會有如下的選項：


　　

當前有很多免費和收費 ssl的證書提供商可以供我們選擇，當然我們也可以自己作為頒發主體，制作ssl證書，不過像谷歌等瀏覽器對于不受信任的證書機構在頁面上會給提示存在安全風險，阻止訪問，這對用戶體驗來說是非常糟糕的。根據安全等級，當前ssl證書根據主要有以下幾類：

　　EV - 業界頂級SSL證書，部署了EV SSL證書的網站，地址欄會變成醒目的綠色，并且顯示網站所屬企業名稱

　　OV - 使用較為廣泛的企業驗證型SSL證書，部署了OV SSL證書之后，地址欄會有安全鎖標識顯示

　　DV - 只驗證域名，快速簽發的SSL證書。也會在地址欄顯示安全鎖標識，但證書詳情里面不顯示O字段，不顯示使用者名稱，只顯示域名

　　當前受到主流瀏覽器承認的很多SSL證書機構頒發的免費證書主要也都是DV等級。下面我介紹一下最近比較知名的 Letencrypt 免費ssl證書在windows下的部署過程。

二. 免費Letencrypt證書部署

　　這個是由國外發起的一個免費的ssl項目，現在已經得到了谷歌等主流瀏覽器的認可。從安全角度考慮，通過Letencrypt安裝的免費證書只有三個月的有效期，到期之需要重新申請，但是這也給部署造成了一定的麻煩，所以官方也提供了各種自動化的解決方案，這里我介紹的是windows下的證書
申請和自動更新工具 letsencrypt-win-simple。

　　首先我們下載   GitHub地址（https://github.com/Lone-Coder/letsencrypt-win-simple/releases） 并解壓

　　因為安裝過程需要在站點下生成驗證文件，所以請以管理員模式進入cmd界面，也可以右鍵開始菜單 點擊 命令提示符（管理員）選項


進入解壓文件夾，運行 letsencrypt.exe --san 命令

執行完之后會自動將IIS下的所有網站列出來，后邊會有如下幾個選項：

這幾個選項分別對應不同的情況，這里因為我的機器下有好幾個站點，我想給他們統一頒發一個證書，我選擇S，之后它會提示你輸入要安裝的站點序號，這里我輸入 3,4

接下來它會在每個站點下創建一個里驗證文件，驗證通過之后就會生成對應證書添加到IIS中，如果一切正常的情況下會在任務管理中創建一個定時更新任務。

當前這個軟件還存在一些bug，我個人在安裝中也遇到了幾個異常終止的錯誤，重復操作兩次才正常通過，如果你也遇到問題，可以直接去IIS下證書管理，查看是否已經創建了對應的證書，如果存在可以手動綁定。


三. 注意事項

　　使用Letencrypt時有一定的次數限制，以防止申請的濫用，這里是 官方網站 給出的限制信息：

If you have a lot of subdomains, you may want to combine them into a single certificate, up to a limit of 100 Names per Certificate. Combined with the above limit, that means you can issue certificates containing up to 2,000 unique subdomains per week. A certificate with multiple names is often called a SAN certificate, or sometimes a UCC certificate.

We also have a Duplicate Certificate limit of 5 certificates per week. A certificate is considered a duplicate of an earlier certificate if they contain the exact same set of hostnames, ignoring capitalization and ordering of hostnames. For instance, if you requested a certificate for the names [www.example.com, example.com], you could request four more certificates for [www.example.com, example.com] during the week. If you changed the set of names by adding [blog.example.com], you would be able to request additional certificates.

　　如果你需要測試，可以在命令行中執行：letsencrypt.exe --test 。進入測試環境。


以上所述是小編給大家介紹的windows下部署免費ssl證書(letsencrypt)的方法，希望對大家有所幫助