艾銻知識(shí) | windows下部署免費(fèi)ssl證書(shū)(letsencrypt)的方法

2020-03-05 17:18 作者：艾銻無(wú)限 瀏覽量：

3月2日早晨,這個(gè)世界上最偉大的CEO,前通用電器的掌舵人杰克韋爾奇因病逝世。在他執(zhí)掌通用電器的19年中，公司一路迅跑，并因此連續(xù)三年在美國(guó)<<財(cái)富雜志>>全美最受推崇公司評(píng)選中名列前茅。

通用電器在他的執(zhí)掌時(shí)市場(chǎng)資本增長(zhǎng)30多倍，達(dá)到了4500億美元，排名從世界第10提升到第1名。已有12個(gè)事業(yè)部，在其各自的市場(chǎng)上數(shù)一數(shù)二。如果單獨(dú)排名，通用電器有9個(gè)事業(yè)部能入選財(cái)富500強(qiáng)，從一家制造業(yè)巨頭轉(zhuǎn)變?yōu)橐苑?wù)業(yè)和電子商務(wù)為導(dǎo)向的企業(yè)巨人，使百年歷史的通用電器成為真正的業(yè)界領(lǐng)袖級(jí)企業(yè)。
 
 
本人喜歡杰克韋爾奇，并不是因?yàn)樗麆?chuàng)造了這樣一家偉大的企業(yè)，貢獻(xiàn)了這樣一個(gè)讓人難以啟迪的高度，而是因?yàn)樗墓芾碚軐W(xué)以及管理理念，他認(rèn)為在你沒(méi)有成為領(lǐng)導(dǎo)者之前,最大的成功就是自己的成長(zhǎng)，而成為領(lǐng)導(dǎo)者之后，最大的成功就是幫助他人成長(zhǎng),培養(yǎng)更多的優(yōu)秀人才才是領(lǐng)導(dǎo)者重之之重的工作。

 
在一次電視訪談中,主持人問(wèn)杰克,除了你的這些管理理念,還有什么對(duì)于一個(gè)CEO來(lái)說(shuō)是非常重要的,杰克韋爾奇說(shuō)偉大的CEO就是偉大的教練，作為一名CEO,不只是去管理你的企業(yè),更需要幫助你的管理者成為領(lǐng)導(dǎo)者,讓他們的潛能發(fā)揮出來(lái),這才是一名CEO該做的事.
杰克為什么會(huì)這么推崇一位CEO要成為一名教練,我想也是源于他和管理學(xué)大師德魯克先生的一段故事.
 
當(dāng)年，杰克·韋爾奇出任通用電氣總裁伊始，他去求見(jiàn)德魯克，咨詢(xún)有關(guān)企業(yè)成長(zhǎng)的課題。德魯克送給他一個(gè)簡(jiǎn)單的問(wèn)題：假設(shè)你是投資人，通用電氣這家公司有哪些事業(yè)，你會(huì)想要買(mǎi)？這個(gè)大乎哉的問(wèn)題對(duì)韋爾奇產(chǎn)生了決定性的影響。經(jīng)過(guò)反復(fù)思考，韋爾奇作出了著名的策略決定：通用電氣旗下的每個(gè)事業(yè)，都要成為市場(chǎng)領(lǐng)導(dǎo)者，“不是第一，就是第二，否則退出市場(chǎng)”。
 
透過(guò)這個(gè)故事我們發(fā)現(xiàn),管理學(xué)的大師德魯克先生并沒(méi)有給杰克什么解決方案,而只是僅僅提出了一個(gè)問(wèn)題,讓杰克從更高維度上來(lái)思考通用這家公司,到底作為CEO你想要的是什么,他就立刻知道自己接下來(lái)如何干了.

作為企業(yè)CEO的你又是如何做的呢?

艾銻知識(shí) |windows下部署免費(fèi)ssl證書(shū)(letsencrypt)的方法


隨著網(wǎng)絡(luò)的發(fā)展，網(wǎng)絡(luò)安全也越來(lái)越重要，對(duì)于網(wǎng)站來(lái)說(shuō)，從Http升級(jí)到https也是我們要做的首要事情。要實(shí)現(xiàn)https，首先我們需要申請(qǐng)一張SSL證書(shū)，這篇文章我主要介紹下邊這幾個(gè)方面：

1. SSL簡(jiǎn)單介紹

2. 免費(fèi)Letencrypt證書(shū)部署

3. 安裝注意事項(xiàng)

一.SSL簡(jiǎn)單介紹

　　ssl作為一個(gè)網(wǎng)絡(luò)加密協(xié)議，主要是存在于系統(tǒng)中應(yīng)用層和傳輸層之間的一個(gè)安全套接字層（Secure Socket Layer），也就是位于TCP/IP協(xié)議和各個(gè)應(yīng)用層協(xié)議之間，為應(yīng)用數(shù)據(jù)傳輸提供加密的協(xié)議。當(dāng)然它內(nèi)部又分記錄協(xié)議和握手協(xié)議兩個(gè)部分，這里如果有興趣的可以去詳細(xì)了解一下，我先簡(jiǎn)單介紹一下流程性的東西。

　　它的工作流程大概可以理解為這樣，客戶(hù)端發(fā)起網(wǎng)絡(luò)請(qǐng)求給服務(wù)端，發(fā)起握手，交換證書(shū)信息，建立連接。簡(jiǎn)單來(lái)說(shuō)分為下邊幾部：

　　客戶(hù)端：發(fā)送其支持的ssl版本和加密方式給服務(wù)端。

　　服務(wù)端：選擇加密方式并發(fā)送證書(shū)和公鑰給客戶(hù)端

　　客戶(hù)端：驗(yàn)證證書(shū)信息，并通過(guò)公鑰生成共享秘鑰，交換

　　服務(wù)端：好，咱們可以傳遞加密數(shù)據(jù)了

　　以上是簡(jiǎn)單的描述了握手的過(guò)程，每一步都可以繼續(xù)分解，可以自行查找相關(guān)文檔深入了解。

　　這里需要介紹的另外一個(gè)協(xié)議TLS，這個(gè)協(xié)議建立在SSL3.0規(guī)范之上，更加嚴(yán)格明確。其中它又有一個(gè)擴(kuò)展協(xié)議叫做 SNI（Server Name Indication-服務(wù)器名稱(chēng)指示），這里介紹下它的主要作用。

　　在我們常用的主機(jī)中，可能會(huì)有很多站點(diǎn)，我們并不能夠一次性提前獲知將使用此服務(wù)器的所有域名列表，但是我們不能每次修改域名重新頒發(fā)一次證書(shū)，所以有了SNI，讓我們可以在一臺(tái)主機(jī)上能夠部署多個(gè)證書(shū)， 使得服務(wù)器可以在握手階段選擇正確虛擬域，并發(fā)送對(duì)應(yīng)證書(shū)。在IIS8.0以上
版本中，我們綁定域名時(shí)會(huì)有如下的選項(xiàng)：


　　

當(dāng)前有很多免費(fèi)和收費(fèi) ssl的證書(shū)提供商可以供我們選擇，當(dāng)然我們也可以自己作為頒發(fā)主體，制作ssl證書(shū)，不過(guò)像谷歌等瀏覽器對(duì)于不受信任的證書(shū)機(jī)構(gòu)在頁(yè)面上會(huì)給提示存在安全風(fēng)險(xiǎn)，阻止訪問(wèn)，這對(duì)用戶(hù)體驗(yàn)來(lái)說(shuō)是非常糟糕的。根據(jù)安全等級(jí)，當(dāng)前ssl證書(shū)根據(jù)主要有以下幾類(lèi)：

　　EV - 業(yè)界頂級(jí)SSL證書(shū)，部署了EV SSL證書(shū)的網(wǎng)站，地址欄會(huì)變成醒目的綠色，并且顯示網(wǎng)站所屬企業(yè)名稱(chēng)

　　OV - 使用較為廣泛的企業(yè)驗(yàn)證型SSL證書(shū)，部署了OV SSL證書(shū)之后，地址欄會(huì)有安全鎖標(biāo)識(shí)顯示

　　DV - 只驗(yàn)證域名，快速簽發(fā)的SSL證書(shū)。也會(huì)在地址欄顯示安全鎖標(biāo)識(shí)，但證書(shū)詳情里面不顯示O字段，不顯示使用者名稱(chēng)，只顯示域名

　　當(dāng)前受到主流瀏覽器承認(rèn)的很多SSL證書(shū)機(jī)構(gòu)頒發(fā)的免費(fèi)證書(shū)主要也都是DV等級(jí)。下面我介紹一下最近比較知名的 Letencrypt 免費(fèi)ssl證書(shū)在windows下的部署過(guò)程。

二. 免費(fèi)Letencrypt證書(shū)部署

　　這個(gè)是由國(guó)外發(fā)起的一個(gè)免費(fèi)的ssl項(xiàng)目，現(xiàn)在已經(jīng)得到了谷歌等主流瀏覽器的認(rèn)可。從安全角度考慮，通過(guò)Letencrypt安裝的免費(fèi)證書(shū)只有三個(gè)月的有效期，到期之需要重新申請(qǐng)，但是這也給部署造成了一定的麻煩，所以官方也提供了各種自動(dòng)化的解決方案，這里我介紹的是windows下的證書(shū)
申請(qǐng)和自動(dòng)更新工具 letsencrypt-win-simple。

　　首先我們下載   GitHub地址（https://github.com/Lone-Coder/letsencrypt-win-simple/releases） 并解壓

　　因?yàn)榘惭b過(guò)程需要在站點(diǎn)下生成驗(yàn)證文件，所以請(qǐng)以管理員模式進(jìn)入cmd界面，也可以右鍵開(kāi)始菜單 點(diǎn)擊 命令提示符（管理員）選項(xiàng)


進(jìn)入解壓文件夾，運(yùn)行 letsencrypt.exe --san 命令

執(zhí)行完之后會(huì)自動(dòng)將IIS下的所有網(wǎng)站列出來(lái)，后邊會(huì)有如下幾個(gè)選項(xiàng)：

這幾個(gè)選項(xiàng)分別對(duì)應(yīng)不同的情況，這里因?yàn)槲业臋C(jī)器下有好幾個(gè)站點(diǎn)，我想給他們統(tǒng)一頒發(fā)一個(gè)證書(shū)，我選擇S，之后它會(huì)提示你輸入要安裝的站點(diǎn)序號(hào)，這里我輸入 3,4

接下來(lái)它會(huì)在每個(gè)站點(diǎn)下創(chuàng)建一個(gè)里驗(yàn)證文件，驗(yàn)證通過(guò)之后就會(huì)生成對(duì)應(yīng)證書(shū)添加到IIS中，如果一切正常的情況下會(huì)在任務(wù)管理中創(chuàng)建一個(gè)定時(shí)更新任務(wù)。

當(dāng)前這個(gè)軟件還存在一些bug，我個(gè)人在安裝中也遇到了幾個(gè)異常終止的錯(cuò)誤，重復(fù)操作兩次才正常通過(guò)，如果你也遇到問(wèn)題，可以直接去IIS下證書(shū)管理，查看是否已經(jīng)創(chuàng)建了對(duì)應(yīng)的證書(shū)，如果存在可以手動(dòng)綁定。


三. 注意事項(xiàng)

　　使用Letencrypt時(shí)有一定的次數(shù)限制，以防止申請(qǐng)的濫用，這里是 官方網(wǎng)站 給出的限制信息：

If you have a lot of subdomains, you may want to combine them into a single certificate, up to a limit of 100 Names per Certificate. Combined with the above limit, that means you can issue certificates containing up to 2,000 unique subdomains per week. A certificate with multiple names is often called a SAN certificate, or sometimes a UCC certificate.

We also have a Duplicate Certificate limit of 5 certificates per week. A certificate is considered a duplicate of an earlier certificate if they contain the exact same set of hostnames, ignoring capitalization and ordering of hostnames. For instance, if you requested a certificate for the names [www.example.com, example.com], you could request four more certificates for [www.example.com, example.com] during the week. If you changed the set of names by adding [blog.example.com], you would be able to request additional certificates.

　　如果你需要測(cè)試，可以在命令行中執(zhí)行：letsencrypt.exe --test 。進(jìn)入測(cè)試環(huán)境。


以上所述是小編給大家介紹的windows下部署免費(fèi)ssl證書(shū)(letsencrypt)的方法，希望對(duì)大家有所幫助