Jak vygenerovat HTTPS certifikát od Let’s encrypt na Windows Server 2012? | Buchtič blog o IT a PC Buchtič blog

... je jedním z nejnavštěvovanějších tuzemských blogů zabývajících se IT a češtinami do programů a her. Pokud máte problém nejen
s počítačem pravděpodobně u mě naleznete řešení, případně si o něj napište. Zajímám se rovněž o herní průmysl a internet věcí - každý produkt pořádně prověřím. Přiblížíme si tvorbu webových prezentací a budeme cestovat po světě skrz Google Earth. »

 

Let’s encryp je populární certifikační autorita, protože vydává SSL certifikáty zcela zdarma. Oficiální klient je výhradně pro linuxové distribuce, ale snadno jej můžete získat také na Windows Serveru. Potřebujete k tomu jen Internet Information Services (IIS) a chvilku času.

  1. Stáhněte si Let’s encrypt-win-simple
  2. Rozbalte a z spusťte binárku letsencrypt.exe
  3. Při prvotním spuštění budete vyzváni k zadání e-mailové adresy
  4. Dále si vyberte možnost, která vyhovuje vašim potřebám. V tomto návodu si ukážeme jak certifikát získat pro další použití, proto zadejte M pro manuální vygenerování.
  5. Zadejte URL, pro kterou chcete certifikát vystavit
  6. V dalším kroku zadejte cestu ke složce, kde se nachází kořen webového serveru. V případě IIS je to standardně C:\inetpub\wwwroot
  7. Následně vyčekejte na dokončení. V průběhu procesu dojde k vytvoření složky .well-known a vzdálená strana (CA Let’s encrypt) ověří dostupnost vygenerových souborů.
  8. Protože platnost certifikátu je pouze na 3 měsíce, nástroj vám nabídne vytvoření úlohy na pravidelné generování v Plánovači Windows
  9. Po dokončení naleznete ve složce C:\Users\<%uživatel%>\AppData\Roaming\letsencrypt-win-simple\httpsacme-v01.api.letsencrypt.org samotný certifikát ve formátu .pfx, privátní klíč, řetězec (chain) certifikátů i certifikační autoritu ve formátu .der

Povolení stahování souborů bez přípony na IIS

Let’s encrypt-win-simple ve složce .well-known vytvoří soubory bez přípony. Protože IIS standardně nepovoluje stahování souborů bez přípony, ověření pravosti domény se nepodaří. Pro povolení v rootu webového serveru (standardně C:\inetpub\wwwroot) vytvořte soubor web.config a vložte do něj následující obsah:

<?xml version="1.0" encoding="UTF-8"?>
<configuration>
<system.webServer>
<staticContent>
<mimeMap fileExtension="*" mimeType="application/octet-stream" />
</staticContent>
</system.webServer>
</configuration>

Docela snadné, že? Teď už certifikát můžete nahrát do vlastní aplikace a následně jen nezapomenout vyměnit ho každé tři měsíce. V případě potřeby si můžete získaný certifikát převést do Java KeyStore (JKS), abyste jej mohli importovat do webového serveru Apache Tomcat.

Martin Buchta | Kategorie: Internet, IT

← Líbil se vám článek? Podělte se o něj s přáteli!