windows下部署免费ssl证书(letsencrypt)的方法(windows ssl证书)

随着网络的发展，网络安全变得越来越重要。对于网站来说，从Http升级到https也是我们首先要做的事情。要实现https，首先需要申请一个SSL证书。本文主要介绍以下几个方面:

1.SSL简介

2.免费的Letencrypt证书部署

3.安装注意事项

SSL简介

Ssl作为一种网络加密协议，主要是系统中应用层和传输层之间的安全套接字层，即TCP/IP协议和各应用层协议之间的协议，为应用数据传输提供加密。当然分为两部分:记录协议和握手协议。在这里，有兴趣的可以多了解一下。我先简单介绍一下程序上的东西。

其工作流程可以理解为:客户端向服务器发起网络请求，发起握手，交换证书信息，建立连接。简单来说，分为以下几个部分:

客户端:向服务器发送其支持的ssl版本和加密方法。

服务器:选择加密方法，并将证书和公钥发送给客户端。

客户端:验证证书信息，通过公钥生成共享密钥，交换。

服务器:好的，我们可以传输加密数据。

以上是握手过程的简单描述。每一步都可以进一步分解，可以自己找相关文档进一步了解。

这里需要介绍的另一个协议TLS是基于SSL3.0规范的，更加严格和明确。它还有一个叫做SNI(服务器名称指示-服务器名称指示)的扩展协议。下面介绍一下它的主要功能。

在我们常见的主机中，可能有很多站点。我们不可能一次性提前知道所有会使用这个服务器的域名列表，但也不可能每次修改域名都重新发证书。因此，通过SNI，我们可以在一台主机上部署多个证书，这样服务器就可以在握手阶段选择正确的虚拟域，并发送相应的证书。在IIS 8.0及以上版本中，当我们绑定域名时，我们将有以下选项:

目前有很多免费和收费的ssl证书提供商供我们选择。当然，我们也可以自己做ssl证书作为颁发主体。但是，谷歌等浏览器会给不可信的证书颁发机构带来安全风险，并阻止访问，这对用户体验非常不利。根据安全级别，当前的ssl证书主要分为以下几类:

EV -业界顶级SSL证书。对于部署了EV SSL证书的网站，地址栏会变成醒目的绿色，并显示网站所属企业的名称。

OV -广泛应用于企业认证SSL证书。OV SSL证书部署后，地址栏会出现一个安全锁标志。

DV -只验证域名，快速颁发SSL证书。安全锁徽标也显示在地址栏中，但O字段、用户名和域名不显示在证书详细信息中。

目前很多主流浏览器认可的SSL证书权威机构发布的免费证书都是以DV-rated为主。我来介绍一下大家熟知的windows下Letencrypt免费ssl证书的近期部署过程。

二。免费的Letencrypt证书部署

这是一个由国外发起的免费ssl项目，现在已经得到了Google等主流浏览器的认可。从安全角度来说，通过Letencrypt安装的免费证书只有三个月的有效期，过期需要重新申请。但也给部署带来一些麻烦，所以政府也提供了各种自动化解决方案。这里我介绍一下windows下的证书申请和自动更新工具letsencrypt-win-simple。

首先我们下载GitHub地址(https://GitHub . com/lone -coder/letsencrypt -win -simple/releases)并解压。

因为安装过程需要在站点下生成验证文件，所以请在管理员模式下进入cmd界面，或者右击开始菜单，点击命令提示符(管理员)选项。

进入解压后的文件夹，运行letsencrypt.exe --SAN命令。

执行后，IIS下的所有网站都会自动列出，并有以下选项:

这些选项对应不同的情况。在这里，因为我的机器下有几个站点，所以我想给它们颁发一个证书。我选S，然后它会提示你输入要安装的站点的序列号。在这里，我将输入3和4。

接下来，它将在每个站点下创建一个内部验证文件。验证后，它将生成一个相应的证书添加到IIS中。如果一切正常，它将在任务管理中创建一个计划更新任务。

目前这个软件还存在一些bug。我个人在安装中遇到过几次异常终止错误。正常只需要两次就能通过。如果也遇到问题，可以直接去IIS下的证书管理，看看是否已经创建了相应的证书。如果存在，可以手动绑定。

三。有关注意事项

使用Letencrypt时有一定的次数限制，防止滥用应用程序。以下是官网给出的限制信息:

如果您有许多子域，您可能希望将它们合并到一个证书中，每个证书最多可包含100个名称。结合上述限制，这意味着您可以每周颁发包含多达2，000个唯一子域名的证书。具有多个名称的证书通常称为SAN证书，有时也称为UCC证书。

我们还有一个重复证书的限制，每周5个证书。如果一个证书包含完全相同的主机名集合，忽略主机名的大小写和顺序，则该证书被视为早期证书的副本。例如，如果您为名称[www.example.com，example.com]申请一个证书，您可以在一周内为[www.example.com，example.com]再申请四个证书。如果您通过添加[blog.example.com]来更改名称集，您将能够请求附加证书。

如果你需要测试，你可以在命令行上执行它:letsencrypt.exe --测试。进入测试环境。

以上是小编介绍的windows下部署免费ssl证书(letsencrypt)的方法。希望对你有帮助。如有疑问，欢迎给我留言，小编会及时回复您。非常感谢大家对主机频道zhujipindao的支持。com网站！