Un certificat SSL GRATUIT de Let's Encrypt résout l'un des défis courants liés au test de MyWorkDrive
Une question courante qui se pose lorsque les clients testent ou déploient une preuve de concept avec MyWorkDrive est de savoir s'ils doivent utiliser HTTPS et lier un certificat SSL/TLS.
Nous disons catégoriquement oui, pour plusieurs raisons
1) Vous testez probablement avec un sous-ensemble de données réelles. Même si vous ne l'êtes pas, il est possible qu'un employé teste avec des données réelles hors de portée et mette ces données en danger.
2) Vous allez vouloir tester le pare-feu et les règles de sécurité dans le cadre de votre test.
3) Vous allez vouloir un test de performance réaliste, et le trafic https est généralement un peu plus lent en raison de la sécurité.
Un autre argument en faveur de l'utilisation de HTTPS et d'un certificat SSL/TLS est que les clients MyWorkDrive n'acceptent pas les certificats auto-signés, vous allez donc vouloir appliquer un certificat SSL/TLS à votre serveur MyWorkDrive si vous voulez tester nos clients Map Drive et Mobile.
La question, bien sûr, où obtenir un certificat? Certaines organisations auront un certificat générique, mais obtenir l'autorisation peut être un défi. Plus souvent, nous entendrons dire que le certificat n'est bon que sur le serveur Web, ou qu'obtenir la permission de dépenser même les $20 d'un certificat SSL à prix réduit est un défi.
Certaines organisations ne sont même pas au courant des fournisseurs SSL à prix réduit (puis que vous faites une recherche sur le Web et découvrez qu'il y en a des milliers, comment en choisir un bon et éviter de vous faire pirater votre carte de crédit dans le processus ?)
La bonne nouvelle est que vous pouvez obtenir GRATUITEMENT un certificat SSL GRATUIT et valide sans plus de travail que de générer un CSR dans IIS à partir de Let's Encrypt, avec un risque zéro d'une carte de crédit compromise et en évitant tout le défi d'approbation pour obtenir un certificat pour votre poc /essai.
Let's Encrypt n'est pas une arnaque. C'est une organisation à but non lucratif avec des bailleurs de fonds dont vous avez probablement entendu parler - EFF, Cisco, Facebook, Google, l'Université de Stanford, l'Université du Michigan et Mozilla.
Let's Encrypt est assez simple à exécuter, mais la plupart des tutoriels et de la littérature que vous y trouverez font référence à des implémentations sous Linux ou d'autres plates-formes d'hébergement open source. Il n'y a pas beaucoup de didacticiels écrits pour Microsoft IIS, mais des clients Windows existent et nous vous guiderons à travers l'un des exemples les plus faciles à utiliser.
Configuration du certificat SSL sur IIS avec Let's Encrypt
Vous commencerez par une entrée DNS mappée à une adresse IP (Cname, A Record) et les ports 80 et 443 mappés/ouverts et liés au site Web WanPath.Webclient sur votre serveur MyWorkDrive.
Vous exécutez une petite application (appelée client Acme) sur votre serveur qui effectue une demande de réponse pour valider votre serveur, puis télécharge et même lie le certificat pour vous.
C'est ça!
S'il y a un point négatif, c'est que les certificats ne sont valables que 90 jours avant de devoir les renouveler. Mais, le renouvellement est aussi simple que de relancer le client (et de nombreux clients planifieront automatiquement les renouvellements dans Windows Scheduler !).
Oh, et la plupart des clients s'exécutent en dos - mais ils sont assez simples - pas de chemins compliqués ni de chaînes sensibles à la casse à taper.
Passons en revue un exemple concret.
- Nous allons sécuriser le serveur MyWorkDrive pour myworkfolders.net.
- Nous avons installé MyWorkDrive sur un serveur de notre domaine.
- Nous avons ouvert le port 80 et le port 443 entrants sur notre serveur.
- Nous avons ajouté une entrée DNS pour fileshare1.myworkfolders.net au DNS, pointée vers notre nouveau serveur.
À partir de là, les étapes suivantes sont effectuées sur le serveur hébergeant MyWorkDrive.
Nous allons commencer par modifier les liaisons dans IIS sur le serveur MyWorkDrive pour mapper le port 80 sur le site WanPath.WebClient à fileshare1.myworkfolders.net. À ce stade, vous devriez pouvoir accéder au serveur MyWorkDrive à l'adresse http://fileshare1.myworkfolders.net, si vous n'avez pas coché "nécessite SSL" dans les paramètres.
Nous allons utiliser le client Win-Acme de PKI Sharp comme client sous Windows pour accéder à LetsEncrypt. Il est disponible en téléchargement sous forme de .zip à partir de https://pkisharp.github.io/win-acme/ Il existe de nombreux autres clients disponibles et vous en trouverez peut-être un que vous préférez. Celui-ci se trouve être celui que nous avons utilisé de manière fiable au cours des dernières années.
Nous allons télécharger la version 2.1.0 64 bits enfichable, qui est marquée Recommandée. Vous devez prendre la version la plus récente disponible au moment du téléchargement.
Une fois téléchargé, extrayez-le et stockez-le dans votre emplacement préféré pour les applications. N'oubliez pas que vous en aurez peut-être à nouveau besoin pour renouveler le certificat dans 90 jours, alors ne le jetez pas. Nous avons créé un nouveau dossier c:\Win-Acme
Lancez une invite de commande en tant qu'administrateur et accédez au dossier dans lequel vous avez enregistré Win-Acme. Exécutez wacs.exe. Il lancera une fenêtre dos avec une liste de questions.
Sélectionnez N : Créer un nouveau certificat (simple pour IIS)
Il vous demandera de vous demander de lier.
Sélectionnez 1 : liaison unique d'un site Web IIS
Vous obtiendrez une liste des sites Web sur votre serveur (qui ne devrait être qu'un seul SiteId puisque nous ne définissons le port 80 que sur un seul site Web). Choisissez l'option avec le nom de domaine, dans notre cas 2 : fileshare1.myworkfolders.net (SiteId 4)
Lorsque vous y êtes invité, entrez votre e-mail. Le client Win-acme vous enverra des e-mails de rappel pour renouveler votre site.
TOS - nous avons rencontré des difficultés pour les ouvrir dans l'application par défaut proposée. Quand nous avons dit oui, le programme s'est écrasé. Passez en revue les termes à l'URL imprimée à l'écran, et si vous avez du mal à les ouvrir avec l'application par défaut comme nous l'avons fait, allez-y et dites NON à l'invite pour les ouvrir. Si vous dites oui et que le programme se bloque, exécutez-le à nouveau en répétant les mêmes étapes jusqu'à ce que vous arriviez à cet écran, où vous devez dire Non pour continuer.
Acceptez les conditions lorsque vous y êtes invité, en supposant que vous les avez examinées et qu'elles sont acceptables.
Win-Acme passera ensuite en revue l'autorisation et expliquera ce qu'il a fait. Dans notre cas, il a ajouté une nouvelle liaison https pour le port 443 comme prévu, puis il a programmé un renouvellement dans le planificateur.
Allez-y et sélectionnez Q pour quitter, et regardons dans IIS pour vérifier qu'il a ajouté la liaison.
Ouvrez IIS, ouvrez le site WanPath.WebClient et cliquez sur Liaisons. Vous devriez voir qu'une entrée HTTPS a été ajoutée pour votre site - dans notre cas fileshare1.myworkfolders.net
Si vous modifiez la liaison, vous pouvez utiliser l'option d'affichage pour consulter le certificat et voir les détails.
Sautons sur un site Web sur notre bureau et voyons si notre site est maintenant disponible via HTTPS
Cela semble bon. Aucune erreur concernant le certificat, Chrome affiche un symbole de cadenas. Vous pouvez cliquer sur le symbole du cadenas et revérifier les détails.
Et c'est tout! Il a fallu plus de temps pour lire cet article de blog que pour sécuriser votre site.
Récapitulons - Étapes de configuration du certificat SSL Let's Encrypt
Installer MyWorkDrive
Définir le DNS
Ouvrir/Mapper les ports du pare-feu
Liez votre nom DNS dans IIS
Télécharger Win-Acme
Exécutez Win-Acme
Répondre à 6 questions
Vous êtes prêt ! Votre certificat SSL gratuit est ajouté et lié automatiquement.
Vous n'utilisez pas MyWorkDrive, mais souhaitez utiliser Lets Encrypt et Win-Acme pour sécuriser d'autres sites hébergés par IIS avec un certificat SSL gratuit ? Suivez simplement ces instructions, sauf à l'étape où vous choisissez MyWorkDrive, choisissez le site que vous souhaitez sécuriser.
Notez qu'à ce stade, vous pouvez supprimer ou bloquer la liaison pour le port 80 et laisser simplement le port 443 ouvert en entrée, cependant, le renouvellement du certificat SSL Lets Encrypt Win-Acme Free sera échouer sans que le port 80 soit ouvert/mappé. Vous voudrez peut-être créer un rappel d'événement de calendrier pour traiter manuellement le renouvellement dans 85 jours environ et rouvrir temporairement le port 80 si vous le maintenez fermé.
Ou, laissez simplement le port 80 ouvert et définissez l'option "nécessite SSL" dans les paramètres de MyWorkDrive.
Utiliser un certificat SSL gratuit de Let's Encrypt sur IIS ? Envoyez-nous une note sur Social et faites-nous savoir comment ça se passe pour vous !