Ein KOSTENLOSES SSL-Zertifikat von Let's Encrypt löst eine der häufigsten Herausforderungen beim Testen von MyWorkDrive
Wenn Kunden mit MyWorkDrive einen Proof of Concept testen oder bereitstellen, stellt sich häufig die Frage, ob sie HTTPS verwenden und ein SSL/TLS-Zertifikat binden müssen.
Wir sagen nachdrücklich Ja, aus mehreren Gründen
1) Sie versuchen wahrscheinlich mit einer Teilmenge echter Daten. Selbst wenn Sie es nicht sind, besteht die Möglichkeit, dass ein Mitarbeiter mit echten Daten außerhalb des Geltungsbereichs testet und diese Daten einem Risiko aussetzt.
2) Sie werden im Rahmen Ihres Tests Firewall- und Sicherheitsregeln testen wollen.
3) Sie möchten einen realistischen Leistungstest, und der https-Verkehr ist aufgrund der Sicherheit normalerweise etwas langsamer.
Ein weiteres Argument für die Verwendung von HTTPS und einem SSL/TLS-Zertifikat ist, dass die MyWorkDrive-Clients keine selbstsignierten Zertifikate akzeptieren, also sollten Sie ein SSL/TLS-Zertifikat auf Ihren MyWorkDrive-Server anwenden, wenn Sie es testen möchten unsere Map Drive- und Mobile-Clients.
Da stellt sich natürlich die Frage, wo bekommt man ein Zertifikat? Einige Organisationen verfügen über ein Wildcard-Zertifikat, aber die Genehmigung dafür zu erhalten, kann eine Herausforderung darstellen. Häufiger hören wir, dass das Zertifikat nur auf dem Webserver gut ist oder dass es eine Herausforderung ist, die Erlaubnis zu erhalten, selbst für das $20 einen Rabatt für ein SSL-Zertifikat auszugeben.
Einige Organisationen kennen nicht einmal Discount-SSL-Anbieter (und dann führen Sie eine Websuche durch und stellen fest, dass es Tausende gibt. Wie wählen Sie einen guten aus und vermeiden dabei, dass Ihre Kreditkarte gehackt wird?)
Die gute Nachricht ist, dass Sie KOSTENLOS ein gültiges KOSTENLOSES SSL-Zertifikat erhalten können, ohne mehr Arbeit als das Generieren einer CSR in IIS von Let's Encrypt, ohne Risiko einer kompromittierten Kreditkarte und ohne die gesamte Genehmigungsherausforderung, um ein Zertifikat für Ihren PoC zu erhalten /Gerichtsverhandlung.
Let's Encrypt ist kein Betrug. Es ist eine gemeinnützige Organisation mit Unterstützern, von denen Sie wahrscheinlich schon gehört haben – EFF, Cisco, Facebook, Google, Stanford University, University of Michigan und Mozilla.
Let's Encrypt ist ziemlich einfach auszuführen, aber die meisten Tutorials und Literatur, die Sie dort finden, beziehen sich auf Implementierungen in Linux oder anderen Open-Source-Hosting-Plattformen. Es gibt nicht viele Tutorials, die für Microsoft IIS geschrieben wurden, aber es gibt Windows-Clients, und wir führen Sie anhand eines der einfacher zu verwendenden Beispiele durch.
SSL-Zertifikat-Setup auf IIS mit Let's Encrypt
Sie beginnen mit einem DNS-Eintrag, der einer IP (Cname, A Record) und Port 80 und 443 zugeordnet/offen zugeordnet und an die WanPath.Webclient-Website auf Ihrem MyWorkDrive-Server gebunden ist.
Sie führen eine kleine App (Acme-Client genannt) auf Ihrem Server aus, die eine Challenge-Response-Prüfung durchführt, um Ihren Server zu validieren, dann das Zertifikat herunterlädt und sogar für Sie bindet.
Das ist es!
Wenn es etwas Negatives gibt, sind die Zertifikate nur 90 Tage gültig, bevor Sie sie erneuern müssen. Aber die Verlängerung ist so einfach wie das erneute Ausführen des Clients (und viele Clients planen automatisch Verlängerungen im Windows-Scheduler!).
Oh, und die meisten Clients laufen in dos – aber sie sind ziemlich geradlinig – keine komplizierten Pfade oder Zeichenketten, die zwischen Groß- und Kleinschreibung unterscheiden müssen.
Lassen Sie uns durch ein Beispiel aus dem wirklichen Leben gehen.
- Wir werden den MyWorkDrive-Server für myworkfolders.net sichern.
- Wir haben MyWorkDrive auf einem Server in unserer Domain installiert.
- Wir haben Port 80 und Port 443 für eingehende Verbindungen zu unserem Server geöffnet.
- Wir haben DNS einen DNS-Eintrag für fileshare1.myworkfolders.net hinzugefügt, der auf unseren neuen Server verweist.
Von hier aus werden die folgenden Schritte auf dem Server ausgeführt, der MyWorkDrive hostet.
Wir beginnen mit der Bearbeitung der Bindungen in IIS auf dem MyWorkDrive-Server, um den Port 80 auf der WanPath.WebClient-Site fileshare1.myworkfolders.net zuzuordnen. An diesem Punkt sollten Sie auf den MyWorkDrive-Server unter http://fileshare1.myworkfolders.net zugreifen können, wenn Sie in den Einstellungen nicht „SSL erforderlich“ markiert haben.
Wir werden den Win-Acme-Client von PKI Sharp als unseren Client unter Windows verwenden, um auf LetsEncrypt zuzugreifen. Es steht als .zip zum Download zur Verfügung https://pkisharp.github.io/win-acme/ Es gibt viele andere Clients, und vielleicht finden Sie einen, der Ihnen besser gefällt. Dieser ist zufällig einer, den wir in den letzten Jahren zuverlässig verwendet haben.
Wir werden Version 2.1.0 64-Bit Pluggable herunterladen, die als empfohlen gekennzeichnet ist. Sie sollten die zum Zeitpunkt des Downloads aktuellste verfügbare Version verwenden.
Extrahieren Sie es nach dem Herunterladen und speichern Sie es an Ihrem bevorzugten Ort für Apps. Denken Sie daran, dass Sie dies möglicherweise erneut benötigen, um das Zertifikat in 90 Tagen zu erneuern, also verwerfen Sie es nicht. Wir haben einen neuen Ordner c:\Win-Acme erstellt
Starten Sie eine Eingabeaufforderung als Administrator und navigieren Sie zu dem Ordner, in dem Sie Win-Acme gespeichert haben. Führen Sie wacs.exe aus. Es öffnet sich ein DOS-Fenster mit einer Liste von Fragen.
Wählen Sie N: Neues Zertifikat erstellen (einfach für IIS)
Sie werden aufgefordert, zu fragen, ob Sie binden möchten.
Wählen Sie 1 aus: Einzelbindung einer IIS-Website
Sie erhalten eine Liste der Websites auf Ihrem Server (die nur eine einzelne SiteId sein sollte, da wir Port 80 nur auf einer Website festlegen). Wählen Sie die Option mit dem Domainnamen, in unserem Fall 2: fileshare1.myworkfolders.net (SiteId 4)
Wenn Sie dazu aufgefordert werden, geben Sie Ihre E-Mail-Adresse ein. Der Win-acme-Client sendet Ihnen Erinnerungs-E-Mails, um Ihre Site zu erneuern.
TOS – Wir haben Probleme damit, diese in der angebotenen Standardanwendung zu öffnen. Als wir ja sagten, stürzte das Programm ab. Überprüfen Sie die Bedingungen unter der auf dem Bildschirm angezeigten URL, und wenn Sie Probleme haben, sie mit der Standardanwendung zu öffnen, wie wir es getan haben, fahren Sie fort und sagen Sie NEIN zur Aufforderung, sie zu öffnen. Wenn Sie Ja sagen und das Programm abstürzt, führen Sie es einfach erneut aus und wiederholen Sie die gleichen Schritte, bis Sie zu diesem Bildschirm gelangen, wo Sie Nein sagen sollten, um fortzufahren.
Stimmen Sie den Bedingungen zu, wenn Sie dazu aufgefordert werden, vorausgesetzt, Sie haben sie gelesen und sind akzeptabel.
Win-Acme wird dann die Autorisierung durchgehen und erklären, was es getan hat. In unserem Fall hat es wie erwartet eine neue https-Bindung für Port 443 hinzugefügt und dann eine Erneuerung im Planer geplant.
Fahren Sie fort und wählen Sie Q zum Beenden aus, und werfen Sie einen Blick in IIS, um zu überprüfen, ob die Bindung hinzugefügt wurde.
Öffnen Sie IIS, öffnen Sie die WanPath.WebClient-Site und klicken Sie auf Bindings. Sie sollten sehen, dass ein HTTPS-Eintrag für Ihre Website hinzugefügt wurde – in unserem Fall fileshare1.myworkfolders.net
Wenn Sie die Bindung bearbeiten, können Sie die Ansichtsoption verwenden, um sich das Zertifikat anzusehen und die Details anzuzeigen.
Lassen Sie uns auf unserem Desktop auf eine Website springen und sehen, ob unsere Website jetzt über HTTPS verfügbar ist
Sieht gut aus. Keine Fehler bezüglich des Zertifikats, Chrome zeigt ein Schlosssymbol an. Sie können auf das Schlosssymbol klicken und die Details überprüfen.
Und das ist es! Das Lesen dieses Blogeintrags hat länger gedauert als das Sichern Ihrer Website.
Lets Recap – Lassen Sie uns die Schritte zur Einrichtung des SSL-Zertifikats verschlüsseln
Installieren Sie MyWorkDrive
DNS einstellen
Firewall-Ports öffnen/zuordnen
Binden Sie Ihren DNS-Namen in IIS
Laden Sie Win-Acme herunter
Führen Sie Win-Acme aus
Beantworte 6 Fragen
Sie sind bereit! Ihr kostenloses SSL-Zertifikat wird automatisch hinzugefügt und gebunden.
Sie verwenden MyWorkDrive nicht, möchten aber Lets Encrypt und Win-Acme verwenden, um andere von IIS gehostete Websites mit einem kostenlosen SSL-Zertifikat zu sichern? Befolgen Sie einfach diese Anweisungen, außer bei dem Schritt, in dem Sie MyWorkDrive auswählen, wählen Sie die Website aus, die Sie sichern möchten.
Beachten Sie, dass Sie an dieser Stelle die Bindung für Port 80 entfernen oder blockieren und Port 443 einfach für eingehenden Datenverkehr offen lassen können, jedoch die Erneuerung des kostenlosen SSL-Zertifikats von Lets Encrypt Win-Acme Wille schlagen fehl, ohne dass Port 80 geöffnet/gemappt ist. Möglicherweise möchten Sie eine Kalenderereigniserinnerung erstellen, um die Verlängerung in ungefähr 85 Tagen manuell zu verarbeiten und Port 80 vorübergehend wieder zu öffnen, wenn Sie ihn geschlossen halten.
Oder lassen Sie Port 80 einfach offen und stellen Sie die Option „SSL erforderlich“ in den MyWorkDrive-Einstellungen ein.
Verwenden Sie ein kostenloses SSL-Zertifikat von Let's Encrypt auf IIS? Schreiben Sie uns eine Nachricht auf Social und lassen Sie uns wissen, wie es Ihnen geht!