win-acme 是一个为Windows平台设计的工具,用于从Let's Encrypt自动获取和续期SSL/TLS证书,特别适合用于IIS(Internet Information Services)服务器。它的使用相对简单,提供了一个用户友好的命令行界面,以及一些自动化功能来简化证书管理过程。以下是win-acme的基本使用方法和它关于*.pem文件转换成.pfx格式的支持情况。
如何使用win-acme
-
下载和安装:首先,从win-acme的GitHub页面或其官方网站下载最新版本的win-acme。
-
运行win-acme:下载后,解压缩并运行win-acme程序。如果你是第一次运行,它会询问你一些基本的设置问题,比如你的邮箱地址(用于Let's Encrypt的重要通知)。
-
选择操作模式:win-acme提供了多种操作模式,包括创建新证书、续期所有证书等。通过简单的命令行提示,你可以选择适合你需求的操作。
-
选择域名和验证方法:接下来,你需要选择要为其获取证书的域名,并选择一个验证方法(例如HTTP验证或DNS验证)。win-acme会根据你的选择自动处理验证过程。
-
完成和安装证书:验证完成后,win-acme会自动获取证书,并提供选项让你选择如何安装证书(例如,直接安装到IIS)。
*.pem转换成.pfx支持
win-acme在处理Let's Encrypt证书时,可以自动将获取的*.pem格式证书转换成Windows和IIS友好的.pfx格式,并可以直接在IIS中使用这些证书。这个转换过程是自动完成的,无需用户进行额外的操作。
如果需要手动将*.pem文件转换成.pfx格式,可以使用OpenSSL或其他工具,但通常这不是必需的,因为win-acme提供了从获取证书到安装证书的完整流程管理。
自动续期
win-acme还支持自动续期功能,可以通过计划任务自动检查并续期即将到期的证书。在初始设置过程中,win-acme会提示你是否创建这样的计划任务。
总的来说,win-acme为Windows用户提供了一个方便的方式来管理Let's Encrypt证书,包括自动的.pfx转换和证书续期,使得在Windows环境下使用Let's Encrypt证书变得更加容易。
===============
下载地址: win-acme
解壓縮檔案
將下載的檔案在伺服器上面解壓縮,解壓縮程式位置建議永久存放,以方便程式後續自動更新。
執行 win-acme
在解壓縮的檔案對「wacs.exe」按右鍵,選擇「以系統管理員身分執行」。
執行動作
在開啟的安裝詢問畫面,如果是申請 SSL 憑證,就輸入 ”n” (Create certificate)。
選擇網域
win-acme 會顯示你在 IIS 上已建立的網站名稱,輸入網域前的編號。
子網域範圍
申請憑證可選擇指定子網域或是全部子網域有效,指定子網域例如只有 aaa.ccinvest.com.tw 有效,或是全部子網域 *.ccinvest.com.tw 都有效。
如果要指定子網域有效,可輸入 “P”,如果要全部子網域有效,可輸入 “A”。
確定執行後 win-acme 就會在 IIS 上安裝 SSL 憑證。
如果有出現是否確認執行,可輸入 ”y”
檢查 IIS SSL 憑證
在完成 win-acme 安裝之後,就可以到 IIS 上檢查站台是否已安裝 SSL 憑證。
在 IIS 站台上按右鍵選擇「編輯繫結」。
選擇連接埠為「443」,點擊「編輯」。
已安裝 SSL 憑證就可以看到憑證名稱。
點選「檢視」,可以看到憑證資訊。
每一次申請都會有 3 個月免費有效憑證。當 3 個月到期時不需要做任何的動作,win-acme 將會自動更新憑證,自動申請新的 3 個月有效憑證。
Certbot: win-acme 如何自動更新
在安裝完 win-acme 之後,win-acme 會自動在「工作排程器」建立一個排程,執行週期是每天。
執行的檔案是剛剛解壓縮後的 wacs.exe 執行檔,執行時會帶入參數檢查憑證是否需要更新。
注意:
如果你在安裝完 win-acme 之後,手動刪除或移動安裝目錄,將會導致 3 個月之後自動更新失敗,如果有移動程式,就要自行更新「工作排程器」的「動作」執行程式路徑。
重點整理
- 要使用 Https 連線就需要 SSL 憑證
- Let’s Encrypt 可申請免費憑證,而且會自動延長
- 下載安裝 Certbot: win-acme
- win-acme 操作輸入新建立、網域名稱即可自動安裝
- win-acme 在工作排程器會新增憑證過期檢查
