Een GRATIS SSL-certificaat van Let's Encrypt lost een van de veelvoorkomende uitdagingen op bij het testen van MyWorkDrive
Een veel voorkomende vraag die opkomt wanneer klanten een proof of concept met MyWorkDrive uitproberen of implementeren, is of ze HTTPS moeten gebruiken en een SSL/TLS-certificaat moeten binden.
We zeggen nadrukkelijk ja, om een paar redenen
1) U probeert waarschijnlijk met een subset van echte gegevens. Zelfs als u dat niet bent, bestaat de kans dat een werknemer test met echte gegevens die buiten het bereik vallen en die gegevens in gevaar brengen.
2) U zult firewall- en beveiligingsregels willen testen als onderdeel van uw test.
3) U wilt een realistische prestatietest en https-verkeer is doorgaans iets langzamer vanwege de beveiliging.
Een ander argument voor het gebruik van HTTPS en een SSL/TLS-certificaat is dat de MyWorkDrive-clients geen zelfondertekende certificaten accepteren, dus u zult een SSL/TLS-certificaat op uw MyWorkDrive-server willen toepassen als u wilt testen onze Map Drive en mobiele klanten.
De vraag is natuurlijk waar een certificaat te halen? Sommige organisaties hebben een wildcardcertificaat, maar het kan een uitdaging zijn om hiervoor toestemming te krijgen. Vaker horen we dat het certificaat alleen goed is op de webserver, of dat het een uitdaging is om zelfs de $20 met korting uit te geven op de kosten van een SSL-certificaat.
Sommige organisaties zijn niet eens op de hoogte van SSL-aanbieders met korting (en dan zoek je op internet en ontdek je dat er duizenden zijn, hoe kies je een goede en voorkom je dat je creditcard wordt gehackt?)
Het goede nieuws is dat u GRATIS een geldig GRATIS SSL-certificaat kunt krijgen voor niet meer werk dan het genereren van een CSR in IIS van Let's Encrypt, zonder risico op een gecomprimeerde creditcard en het vermijden van alle goedkeuringsuitdagingen bij het verkrijgen van een certificaat voor uw poc /proces.
Let's Encrypt is geen oplichterij. Het is een non-profitorganisatie met donateurs waar je waarschijnlijk wel van hebt gehoord: EFF, Cisco, Facebook, Google, Stanford University, University of Michigan en Mozilla.
Let's Encrypt is vrij eenvoudig uit te voeren, maar de meeste tutorials en literatuur die je daar zult vinden, verwijzen naar implementaties in Linux of andere open source hostingplatforms. Er zijn niet veel zelfstudies geschreven voor Microsoft IIS, maar er bestaan wel Windows-clients en we zullen u door een van de gemakkelijker te gebruiken voorbeelden leiden.
SSL-certificaat instellen op IIS met Let's Encrypt
U begint met een DNS-invoer toegewezen aan een IP (Cname, A Record) en poort 80 en 443 toegewezen/open en gebonden aan de WanPath.Webclient-website op uw MyWorkDrive-server.
U voert een kleine app uit (een Acme-client genaamd) op uw server die een challenge-response doet om uw server te valideren, en vervolgens het certificaat voor u downloadt en zelfs bindt.
Dat is het!
Als er iets negatiefs is, is het dat de certificaten slechts 90 dagen geldig zijn voordat u ze moet vernieuwen. Maar verlengen is net zo eenvoudig als het opnieuw uitvoeren van de client (en veel clients plannen automatisch verlengingen in Windows Scheduler!).
Oh, en de meeste clients draaien in dos - maar ze zijn vrij eenvoudig - geen ingewikkelde paden of hoofdlettergevoelige strings om te typen.
Laten we een voorbeeld uit het echte leven doornemen.
- We gaan de MyWorkDrive-server beveiligen voor myworkfolders.net.
- We hebben MyWorkDrive op een server op ons domein geïnstalleerd.
- We hebben poort 80 en poort 443 binnenkomend op onze server geopend.
- We hebben een DNS-vermelding voor fileshare1.myworkfolders.net toegevoegd aan DNS, gericht op onze nieuwe server.
Vanaf hier worden de volgende stappen voltooid op de server die MyWorkDrive host.
We beginnen met het bewerken van de bindingen in IIS op de MyWorkDrive-server om poort 80 op de WanPath.WebClient-site toe te wijzen aan fileshare1.myworkfolders.net. Op dit punt zou u toegang moeten hebben tot de MyWorkDrive-server op http://fileshare1.myworkfolders.net, als u "SSL vereisen" niet hebt gemarkeerd in de instellingen.
We gaan de Win-Acme-client van PKI Sharp gebruiken als onze client op Windows om toegang te krijgen tot LetsEncrypt. Het is beschikbaar om te downloaden als een .zip van https://pkisharp.github.io/win-acme/ Er zijn veel andere klanten beschikbaar en misschien vindt u er een die u beter vindt. Deze is er toevallig een die we de afgelopen jaren betrouwbaar hebben gebruikt.
We gaan versie 2.1.0 64-bit pluggable downloaden, die is gemarkeerd als Aanbevolen. U moet de meest recente versie gebruiken die beschikbaar is op het moment dat u downloadt.
Zodra het is gedownload, pak je het uit en bewaar je het op je favoriete locatie voor apps. Onthoud dat u dit mogelijk opnieuw nodig heeft om het certificaat binnen 90 dagen te vernieuwen, dus gooi het niet weg. We hebben een nieuwe map gemaakt c:\Win-Acme
Start een opdrachtprompt als beheerder en blader naar de map waarin u Win-Acme hebt opgeslagen. Voer wacs.exe uit. Er wordt een dos-venster geopend met een lijst met vragen.
Selecteer N: Nieuw certificaat maken (eenvoudig voor IIS)
U wordt gevraagd of u wilt binden.
Selecteer 1: Enkele binding van een IIS-website
U krijgt een lijst met de websites op uw server (dit mag slechts één SiteId zijn, aangezien we poort 80 slechts op één website hebben ingesteld). Kies de optie met de domeinnaam, in ons geval 2: fileshare1.myworkfolders.net (SiteId 4)
Voer uw e-mailadres in wanneer daarom wordt gevraagd. De Win-acme-client stuurt u herinneringsmails om uw site te vernieuwen.
TOS - we hebben problemen ondervonden om deze te openen in de standaardtoepassing zoals aangeboden. Toen we ja zeiden, crashte het programma. Bekijk de voorwaarden op de URL die op het scherm is afgedrukt, en als je problemen hebt om ze te openen met de standaardtoepassing zoals wij deden, ga je gang en zeg NEE tegen de prompt om ze te openen. Als je ja zegt en het programma crasht, voer je het gewoon opnieuw uit en herhaal je dezelfde stappen totdat je bij dit scherm komt, waar je nee moet zeggen om door te gaan.
Ga akkoord met de voorwaarden wanneer daarom wordt gevraagd, ervan uitgaande dat u ze hebt gelezen en dat ze acceptabel zijn.
Win-Acme zal dan de autorisatie doornemen en uitleggen wat het heeft gedaan. In ons geval voegde het nieuwe https-binding toe voor poort 443 zoals we verwachtten, en vervolgens plande het een verlenging in de planner.
Ga je gang en selecteer Q om te stoppen, en laten we een kijkje nemen in IIS om te controleren of het de binding heeft toegevoegd.
Open IIS, open de WanPath.WebClient-site en klik op Bindingen. U zou moeten zien dat er een HTTPS-item is toegevoegd voor uw site - in ons geval fileshare1.myworkfolders.net
Als u de binding bewerkt, kunt u de weergaveoptie gebruiken om het certificaat te bekijken en de details te zien.
Laten we naar een website op onze desktop springen en kijken of onze site nu beschikbaar is via HTTPS
Ziet er goed uit. Geen fouten over het certificaat, Chrome toont een slotsymbool. U kunt op het slotsymbool klikken en de details dubbel controleren.
En dat is het! Het duurde langer om deze blogpost te lezen dan om je site te beveiligen.
Laten we samenvatten - Laten we de stappen voor het instellen van SSL-certificaten versleutelen
Installeer MyWorkDrive
DNS instellen
Firewall-poorten openen/toewijzen
Bind uw DNS-naam in IIS
Win-Acme downloaden
Voer Win-Acme uit
Beantwoord 6 vragen
Je bent klaar! Uw gratis SSL-certificaat wordt automatisch toegevoegd en gebonden.
Gebruikt u MyWorkDrive niet, maar wilt u Lets Encrypt en Win-Acme gebruiken om andere door IIS gehoste sites te beveiligen met een gratis SSL-certificaat? Volg deze aanwijzingen, behalve bij de stap waar u MyWorkDrive kiest, kiest u de site die u wilt beveiligen.
Merk op dat u op dit punt de binding voor poort 80 kunt verwijderen of blokkeren en poort 443 gewoon inkomend open kunt laten, maar de Lets Encrypt Win-Acme Gratis SSL-certificaatvernieuwing zullen mislukken zonder dat poort 80 wordt geopend/toegewezen. Misschien wilt u een herinnering voor een kalendergebeurtenis maken om de verlenging over ongeveer 85 dagen handmatig te verwerken en poort 80 tijdelijk opnieuw te openen als u deze gesloten houdt.
Of laat poort 80 gewoon open en stel de optie "SSL vereisen" in de MyWorkDrive-instellingen in.
Gebruik je een gratis SSL-certificaat van Let's Encrypt op IIS? Stuur ons een berichtje op Social en laat ons weten hoe het met je gaat!