要使用 Let’s Encrypt 自動更新憑證要下載符合 ACME (Automatic Certificate Management Environment) 協定的輔助工具 Certbot
Certbot 提供適用 Windows IIS 環境的軟體,可參考連結
我推薦使用的軟體是 win-acme
下載後的檔案記得放到伺服器上面。
解壓縮檔案
將下載的檔案在伺服器上面解壓縮,解壓縮程式位置建議永久存放,以方便程式後續自動更新。
執行 win-acme
在解壓縮的檔案對「wacs.exe」按右鍵,選擇「以系統管理員身分執行」。
執行動作
在開啟的安裝詢問畫面,如果是申請 SSL 憑證,就輸入 ”n” (Create certificate)。
選擇網域
win-acme 會顯示你在 IIS 上已建立的網站名稱,輸入網域前的編號。
子網域範圍
申請憑證可選擇指定子網域或是全部子網域有效,指定子網域例如只有 aaa.ccinvest.com.tw 有效,或是全部子網域 *.ccinvest.com.tw 都有效。
如果要指定子網域有效,可輸入 “P”,如果要全部子網域有效,可輸入 “A”。
確定執行後 win-acme 就會在 IIS 上安裝 SSL 憑證。
如果有出現是否確認執行,可輸入 ”y”
檢查 IIS SSL 憑證
在完成 win-acme 安裝之後,就可以到 IIS 上檢查站台是否已安裝 SSL 憑證。
在 IIS 站台上按右鍵選擇「編輯繫結」。
選擇連接埠為「443」,點擊「編輯」。
已安裝 SSL 憑證就可以看到憑證名稱。
點選「檢視」,可以看到憑證資訊。
每一次申請都會有 3 個月免費有效憑證。當 3 個月到期時不需要做任何的動作,win-acme 將會自動更新憑證,自動申請新的 3 個月有效憑證。
Certbot: win-acme 如何自動更新
在安裝完 win-acme 之後,win-acme 會自動在「工作排程器」建立一個排程,執行週期是每天。
執行的檔案是剛剛解壓縮後的 wacs.exe 執行檔,執行時會帶入參數檢查憑證是否需要更新。
注意:
如果你在安裝完 win-acme 之後,手動刪除或移動安裝目錄,將會導致 3 個月之後自動更新失敗,如果有移動程式,就要自行更新「工作排程器」的「動作」執行程式路徑。