Un certificado SSL GRATUITO de Let's Encrypt resuelve uno de los desafíos comunes al probar MyWorkDrive
Una pregunta común que surge cuando los clientes prueban o implementan una prueba de concepto con MyWorkDrive es si necesitan usar HTTPS y vincular un certificado SSL/TLS.
Decimos enfáticamente que sí, por algunas razones
1) Probablemente esté probando con un subconjunto de datos reales. Incluso si no lo está, existe la posibilidad de que un empleado realice pruebas con datos reales fuera del alcance y ponga esos datos en riesgo.
2) Querrá probar el firewall y las reglas de seguridad como parte de su prueba.
3) Querrá una prueba de rendimiento realista y, por lo general, el tráfico https es un poco más lento debido a la seguridad.
Otro argumento a favor del uso de HTTPS y un certificado SSL/TLS es que los clientes de MyWorkDrive no aceptan certificados autofirmados, por lo que querrá aplicar un certificado SSL/TLS a su servidor MyWorkDrive si desea probar nuestros clientes Map Drive y Mobile.
La pregunta, por supuesto, ¿dónde obtener un certificado? Algunas organizaciones tendrán un certificado comodín, pero obtener el permiso puede ser un desafío. Más comúnmente, escucharemos que el certificado solo es bueno en el servidor web, o que obtener permiso para gastar incluso el $20, un certificado SSL con descuento, es un desafío.
Algunas organizaciones ni siquiera conocen los proveedores de SSL con descuento (y luego realiza una búsqueda en la web y descubre que hay miles, ¿cómo elige uno bueno y evita que le pirateen la tarjeta de crédito en el proceso?)
La buena noticia es que puede obtener un certificado SSL GRATUITO válido GRATIS sin más trabajo que generar un CSR en IIS de Let's Encrypt, sin riesgo de una tarjeta de crédito comprometida y evitando todo el desafío de aprobación para obtener un certificado para su poc /juicio.
Let's Encrypt no es una estafa. Es una organización sin fines de lucro con patrocinadores de los que probablemente haya oído hablar: EFF, Cisco, Facebook, Google, la Universidad de Stanford, la Universidad de Michigan y Mozilla.
Let's Encrypt es bastante simple de ejecutar, pero la mayoría de los tutoriales y la literatura que encontrará se refieren a implementaciones en Linux u otras plataformas de alojamiento de código abierto. No hay muchos tutoriales escritos para Microsoft IIS, pero los clientes de Windows existen y lo guiaremos usando uno de los ejemplos más fáciles de usar.
Configuración de certificado SSL en IIS con Let's Encrypt
Comenzará con una entrada DNS asignada a una IP (Cname, A Record) y los puertos 80 y 443 asignados/abiertos y vinculados al sitio web WanPath.Webclient en su servidor MyWorkDrive.
Ejecuta una pequeña aplicación (llamada cliente Acme) en su servidor que hace un desafío-respuesta para validar su servidor, luego descarga e incluso vincula el certificado por usted.
¡Eso es!
Si hay algo negativo, es que los certificados solo tienen una validez de 90 días antes de que tengas que renovarlos. Pero, la renovación es tan simple como volver a ejecutar el cliente (¡y muchos clientes programarán automáticamente las renovaciones en el Programador de Windows!).
Ah, y la mayoría de los clientes se ejecutan en dos, pero son bastante sencillos, sin rutas complicadas ni cadenas que distinguen entre mayúsculas y minúsculas para escribir.
Veamos un ejemplo de la vida real.
- Vamos a asegurar el servidor MyWorkDrive para myworkfolders.net.
- Hemos instalado MyWorkDrive en un servidor de nuestro dominio.
- Hemos abierto el puerto 80 y el puerto 443 de entrada a nuestro servidor.
- Agregamos una entrada DNS para fileshare1.myworkfolders.net a DNS, apuntando a nuestro nuevo servidor.
Desde aquí, se completan los siguientes pasos en el servidor que aloja MyWorkDrive.
Comenzaremos editando los enlaces en IIS en el servidor MyWorkDrive para asignar el puerto 80 en el sitio WanPath.WebClient a fileshare1.myworkfolders.net. En este punto, debería poder acceder al servidor MyWorkDrive en http://fileshare1.myworkfolders.net, si no ha marcado "requerir SSL" en la configuración.
Vamos a usar el cliente Win-Acme de PKI Sharp como nuestro cliente en Windows para acceder a LetsEncrypt. Está disponible para descargar como un .zip desde https://pkisharp.github.io/win-acme/ Hay muchos otros clientes disponibles y es posible que encuentre uno que le guste más. Este resulta ser uno que hemos usado de manera confiable en los últimos años.
Vamos a descargar la versión 2.1.0 conectable de 64 bits, que está marcada como Recomendada. Debe tomar la versión más reciente disponible en el momento de la descarga.
Una vez descargado, extráigalo y guárdelo en su ubicación favorita para las aplicaciones. Recuerde, es posible que necesite esto nuevamente para renovar el certificado en 90 días, así que no lo descarte. Creamos una nueva carpeta c:\Win-Acme
Inicie un símbolo del sistema como administrador y busque la carpeta en la que guardó Win-Acme. Ejecute wacs.exe. Abrirá una ventana dos con una lista de preguntas.
Seleccione N: Crear nuevo certificado (simple para IIS)
Le pedirá que le pregunte si desea enlazar.
Seleccione 1: enlace único de un sitio web de IIS
Obtendrá una lista de los sitios web en su servidor (que solo debe ser un único SiteId ya que solo configuramos el puerto 80 en un sitio web). Elija la opción con el nombre de dominio, en nuestro caso 2: fileshare1.myworkfolders.net (SiteId 4)
Cuando se le solicite, ingrese su correo electrónico. El cliente Win-acme le enviará correos electrónicos de recordatorio para renovar su sitio.
TOS: hemos tenido problemas para que se abran en la aplicación predeterminada que se ofrece. Cuando dijimos que sí, el programa colapsó. Revise los términos en la URL impresa en la pantalla, y si tiene problemas para abrirlos con la aplicación predeterminada como lo hicimos nosotros, continúe y diga NO al aviso para abrirlos. Si dice que sí y el programa falla, simplemente ejecútelo de nuevo repitiendo los mismos pasos hasta llegar a esta pantalla, donde debe decir No para continuar.
Acepte los términos cuando se le solicite, suponiendo que los haya revisado y que sean aceptables.
Win-Acme luego ejecutará la autorización y explicará lo que ha hecho. En nuestro caso, agregó un nuevo enlace https para el puerto 443 como esperábamos, y luego programó una renovación en el programador.
Continúe y seleccione Q para salir, y echemos un vistazo a IIS para verificar que agregó el enlace.
Abra IIS, abra el sitio WanPath.WebClient y haga clic en Enlaces. Debería ver que se ha agregado una entrada HTTPS para su sitio; en nuestro caso, fileshare1.myworkfolders.net
Si edita el enlace, puede usar la opción de vista para ver el certificado y ver los detalles.
Vayamos a un sitio web en nuestro escritorio y veamos si nuestro sitio ahora está disponible a través de HTTPS.
Se ve bien. No hay errores sobre el certificado, Chrome muestra un símbolo de candado. Puede hacer clic en el símbolo del candado y verificar los detalles.
¡Y eso es! Le tomó más tiempo leer esta publicación de blog que asegurar su sitio.
Recapitulemos: pasos de configuración del certificado Let's Encrypt SSL
Instalar MyWorkDrive
Establecer DNS
Abrir/asignar puertos de firewall
Enlace su nombre DNS en IIS
Descargar Win-Acme
Ejecutar Win-Acme
Responde 6 preguntas
¡Estás listo! Su certificado SSL gratuito se agrega y vincula automáticamente.
¿No usa MyWorkDrive, pero quiere usar Lets Encrypt y Win-Acme para proteger otros sitios alojados en IIS con un certificado SSL gratuito? Simplemente siga estas instrucciones, excepto en el paso en el que elige MyWorkDrive, elija el sitio que desea proteger.
Tenga en cuenta que en este punto puede eliminar o bloquear el enlace para el puerto 80 y simplemente dejar el puerto 443 abierto de entrada, sin embargo, la renovación del certificado Lets Encrypt Win-Acme Free SSL será falla sin que el puerto 80 esté abierto/asignado. Es posible que desee crear un recordatorio de evento de calendario para procesar manualmente la renovación en aproximadamente 85 días y volver a abrir el puerto 80 temporalmente si lo mantiene cerrado.
O simplemente deje el puerto 80 abierto y configure la opción "requerir SSL" en la configuración de MyWorkDrive.
¿Utiliza un certificado SSL gratuito de Let's Encrypt en IIS? ¡Envíanos una nota en Social y cuéntanos cómo te va!