Un certificato SSL GRATUITO di Let's Encrypt risolve una delle sfide più comuni nel testare MyWorkDrive
Una domanda comune che sorge quando i clienti provano o distribuiscono una prova di concetto con MyWorkDrive è se devono utilizzare HTTPS e associare un certificato SSL/TLS.
Diciamo categoricamente di sì, per alcuni motivi
1) Probabilmente stai provando con un sottoinsieme di dati reali. Anche se non lo sei, c'è la possibilità che un dipendente possa eseguire test con dati reali fuori dall'ambito e mettere a rischio tali dati.
2) Ti consigliamo di testare il firewall e le regole di sicurezza come parte del tuo test.
3) Avrai bisogno di un test delle prestazioni realistico e il traffico https è, in genere, un po' più lento a causa della sicurezza.
Un altro argomento a favore dell'utilizzo di HTTPS e di un certificato SSL/TLS è che i client MyWorkDrive non accettano certificati autofirmati, quindi ti consigliamo di applicare un certificato SSL/TLS al tuo server MyWorkDrive se desideri testare i nostri client Map Drive e Mobile.
La domanda, ovviamente, dove ottenere un certificato? Alcune organizzazioni avranno un certificato jolly, ma ottenere l'autorizzazione potrebbe essere una sfida. Più comunemente, sentiremo che il certificato è valido solo sul server web o che ottenere il permesso di spendere anche solo $20 per uno sconto sui costi del certificato SSL è una sfida.
Alcune organizzazioni non sono nemmeno a conoscenza dei fornitori SSL scontati (e poi fai una ricerca sul web e scopri che ce ne sono migliaia, come fai a sceglierne uno buono ed evitare che la tua carta di credito venga hackerata nel processo?)
La buona notizia è che puoi ottenere GRATUITAMENTE un certificato SSL GRATUITO valido semplicemente generando un CSR in IIS da Let's Encrypt, con zero rischi di compromissione della carta di credito ed evitando tutte le sfide di approvazione per ottenere un certificato per il tuo poc. /prova.
Let's Encrypt non è una truffa. È un'organizzazione no-profit con sostenitori di cui probabilmente hai sentito parlare: EFF, Cisco, Facebook, Google, Stanford University, University of Michigan e Mozilla.
Let's Encrypt è piuttosto semplice da eseguire, ma la maggior parte dei tutorial e della letteratura che troverai si riferiscono a implementazioni in Linux o altre piattaforme di hosting open source. Non ci sono molti tutorial scritti per Microsoft IIS, ma esistono client Windows e ti guideremo attraverso uno degli esempi più facili da usare.
Configurazione del certificato SSL su IIS con Let's Encrypt
Inizierai con una voce DNS mappata su un IP (Cname, A Record) e porte 80 e 443 mappate/aperte e associate al sito Web WanPath.Webclient sul tuo server MyWorkDrive.
Esegui una piccola app (chiamata client Acme) sul tuo server che esegue una risposta alla sfida per convalidare il tuo server, quindi scarica e persino associa il certificato per te.
Questo è tutto!
Se c'è qualcosa di negativo, è che i certificati sono validi solo per 90 giorni prima di doverli rinnovare. Tuttavia, il rinnovo è semplice come eseguire nuovamente il client (e molti client pianificheranno automaticamente i rinnovi nell'Utilità di pianificazione di Windows!).
Oh, e la maggior parte dei client viene eseguita in dos, ma sono abbastanza semplici, senza percorsi complicati o stringhe con distinzione tra maiuscole e minuscole da digitare.
Esaminiamo un esempio di vita reale.
- Proteggeremo il server MyWorkDrive per myworkfolders.net.
- Abbiamo installato MyWorkDrive su un server nel nostro dominio.
- Abbiamo aperto la porta 80 e la porta 443 in entrata sul nostro server.
- Abbiamo aggiunto una voce DNS per fileshare1.myworkfolders.net al DNS, indirizzata al nostro nuovo server.
Da qui, i seguenti passaggi vengono completati sul server che ospita MyWorkDrive.
Inizieremo modificando i collegamenti in IIS sul server MyWorkDrive per mappare la porta 80 sul sito WanPath.WebClient su fileshare1.myworkfolders.net. A questo punto, dovresti essere in grado di accedere al server MyWorkDrive su http://fileshare1.myworkfolders.net, se non hai contrassegnato "richiedi SSL" nelle impostazioni.
Utilizzeremo il client Win-Acme di PKI Sharp come client su Windows per accedere a LetsEncrypt. È disponibile per il download come file .zip da https://pkisharp.github.io/win-acme/ Ci sono molti altri client disponibili e potresti trovarne uno che ti piace di più. Questo sembra essere quello che abbiamo usato in modo affidabile negli ultimi anni.
Scaricheremo la versione 2.1.0 pluggable a 64 bit, contrassegnata come Consigliata. Dovresti prendere la versione più recente disponibile al momento del download.
Una volta scaricato, estrailo e memorizzalo nella tua posizione preferita per le app. Ricorda, potresti averne bisogno nuovamente per rinnovare il certificato tra 90 giorni, quindi non eliminarlo. Abbiamo creato una nuova cartella c:\Win-Acme
Avvia un prompt dei comandi come amministratore e individua la cartella in cui hai salvato Win-Acme. Esegui wacs.exe. Verrà avviata una finestra dos con un elenco di domande.
Seleziona N: Crea nuovo certificato (semplice per IIS)
Ti verrà richiesto di chiedere se desideri associare.
Selezionare 1: associazione singola di un sito Web IIS
Otterrai un elenco dei siti Web sul tuo server (che dovrebbe essere un solo SiteId poiché impostiamo la porta 80 solo su un sito Web). Scegli l'opzione con il nome di dominio, nel nostro caso 2: fileshare1.myworkfolders.net (SiteId 4)
Quando richiesto, inserisci la tua email. Il client Win-acme ti invierà email di promemoria per rinnovare il tuo sito.
TOS: abbiamo riscontrato problemi nell'aprirli nell'applicazione predefinita offerta. Quando abbiamo detto di sì, il programma si è bloccato. Controlla i termini all'URL stampato sullo schermo e, se hai problemi ad aprirli con l'applicazione predefinita come abbiamo fatto noi, vai avanti e dì NO alla richiesta di aprirli. Se dici sì e il programma si blocca, eseguilo di nuovo ripetendo gli stessi passaggi fino ad arrivare a questa schermata, dove dovresti dire No per continuare.
Accetta i termini quando richiesto, supponendo che tu li abbia esaminati e che siano accettabili.
Win-Acme esaminerà quindi l'autorizzazione e spiegherà cosa ha fatto. Nel nostro caso, come previsto, ha aggiunto un nuovo collegamento https per la porta 443, quindi ha pianificato un rinnovo nello scheduler.
Vai avanti e seleziona Q per uscire e diamo un'occhiata a IIS per verificare che sia stata aggiunta l'associazione.
Apri IIS, apri il sito WanPath.WebClient e fai clic su Associazioni. Dovresti vedere che è stata aggiunta una voce HTTPS per il tuo sito, nel nostro caso fileshare1.myworkfolders.net
Se modifichi l'associazione, puoi utilizzare l'opzione di visualizzazione per dare un'occhiata al certificato e vedere i dettagli.
Andiamo su un sito web sul nostro desktop e vediamo se il nostro sito è ora disponibile tramite HTTPS
Sembra buono. Nessun errore relativo al certificato, Chrome mostra il simbolo di un lucchetto. Puoi fare clic sul simbolo del lucchetto e ricontrollare i dettagli.
E questo è tutto! Ci è voluto più tempo per leggere questo post sul blog che per proteggere il tuo sito.
Ricapitoliamo: crittifichiamo i passaggi di configurazione del certificato SSL
Installa MyWorkDrive
Imposta DNS
Apri/Mappa porte firewall
Associa il tuo nome DNS in IIS
Scarica Win Acme
Esegui Win-Acme
Rispondi a 6 domande
È tutto pronto! Il tuo certificato SSL gratuito viene aggiunto e vincolato automaticamente.
Non utilizzi MyWorkDrive, ma desideri utilizzare Lets Encrypt e Win-Acme per proteggere altri siti ospitati da IIS con un certificato SSL gratuito? Segui semplicemente queste indicazioni, tranne nel passaggio in cui scegli MyWorkDrive, scegli il sito che desideri proteggere.
Tieni presente che a questo punto puoi rimuovere o bloccare l'associazione per la porta 80 e lasciare semplicemente aperta la porta 443 in entrata, tuttavia, il rinnovo del certificato SSL gratuito di Lets Encrypt Win-Acme Volere fallire senza che la porta 80 sia aperta/mappata. Potresti voler creare un promemoria per un evento del calendario per elaborare manualmente il rinnovo entro 85 giorni circa e riaprire temporaneamente la porta 80 se la mantieni chiusa.
Oppure lascia semplicemente aperta la porta 80 e imposta l'opzione "richiedi SSL" nelle impostazioni di MyWorkDrive.
Utilizzi un certificato SSL gratuito di Let's Encrypt su IIS? Mandaci una nota sui Social e facci sapere come va per te!