如何用windows IIS服务器申请Let’s Encrypt的免费证书 - winServer论坛

闲聊

                                                                                                                                                                       
                                                       
                                               
                                                                                                       
                                                                                                                                                                                                                                                       
                                                               
                                                                如果你有留意互联网趋势变化，2015年有个名为 Let’s Encrypt 的数位凭证认证机构（CA）推出免费SSL/TLS凭证服务，也在年底正式对外开放。这是什么呢？简单来说，以往想为你的网站加入 SSL 加密协议（HTTPS，也就是网址列上的绿色锁头图示），必须支付一笔费用来申请凭证，但有了 Let’s Encrypt 后将能免费申请凭证，且这一过程非常简单、自动化。
       证书一般分成三类： DV、OV 、和 EV ，加密效果都是一样的，区别在于：
•DV（Domain Validation），面向个体用户，安全体系相对较弱，验证方式就是向 whois 信息中的邮箱发送邮件，按照邮件内容进行验证即可通过；
•OV（Organization Validation），面向企业用户，证书在 DV 证书验证的基础上，还需要公司的授权，CA通过拨打信息库中公司的电话来确认；
•EV（Extended Validation），URL 地址栏展示了注册公司的信息，这类证书的申请除了以上两个确认外，需要公司提供金融机构的开户许可证，要求十分严格。

       Let’s Encrypt签发的免费证书属于DV，签名算法 sha256RSA，签名哈希算法sha256，证书有效期是90天，支持多域名和子域名，不支持通配符域名，挺适合小企业的，比如单位有个OA的web放在公网上，就可以用ssl加个密，或者***服务器，装个证书，可以实现SSTP ***，exchange owa上也可以用到。

       网上太多都是Linux下申请Let’s Encrypt证书的文章，看着头都大了，其实申请的原理都一样的，我试着用windows IIS web服务器申请，结果也可以。

      下面简单说说步骤：
1. 首先打开 https://www.sslforfree.com/
2. 输入你要申请证书的域名，用空格来表示你要申请的多个域名，点Create Free SSL Certificate
3. 接下来要域名验证，就是你申请一个www.test.com的证书，他要验证你是拥有test.com的域名，点第3个Manual Verification (DNS)，然后点下面的Manually Verify Domain
4. 然后你到你所在的DNS上比如阿里云什么的，去注册test.com域名TXT记录，他让你注册什么名字，你就注册什么名字，一般他让你注册_acme-challenge.www.test.com，对应的一串字符串贴进去，DNS TTL选最小，阿里云是10分钟
5. 然后点Verify _acme-challenge.www.test.com，验证通过的话，他就会解析到刚才的那串字符串，解析不到的话，你要等下，公网DNS可能没那么快生效，我阿里云几秒钟就验证成功了，挺快的。
6. 下面关键的来了，这时候千万别点Download SSL Certificate，直接点的话，是他帮你生成私钥，有安全隐患，我们最好是自己服务器上生成私钥，所以点下面的 I have my own CSR，让IIS服务器自己生成，
    这时候你去IIS里，新建证书申请，注意输入的证书名字要跟你签名申请的一样，多域名的话也要一样，微软IIS里好像是以分号还是逗号分隔多域名的来着？一直下一步后保存CSR文件，这个自己搭建证书服务器的应该都知道吧。
7. 好了，最后就是跟windows的证书服务器有点不同，你打开刚才的CSR文件，文件名默认的话应该叫certreq.txt,
特别注意把最开始第1行的  
-----BEGIN NEW CERTIFICATE REQUEST-----
和最后一行的
-----END NEW CERTIFICATE REQUEST-----
删掉，微软的证书服务器不用删，但是它这个要删掉，只贴当中一段上去。
8. 点Download SSL Certificate，要是前面都没错误，dns验证也通过的话，证书就签发下来了。注意这个时候，Private key里面应该是空的，说明他不知道你的私钥。
9. 最后把他给你的CERTIFICATE里的这段文字，复制到一个txt文本里，重命名成 .cer的文件，再从IIS里打开前面的证书申请，把这个.cer文件放进去就大功告成。

然后其实SSL For Free 也已提供订阅通知的机制，你可在前面证书申请成功的页面里填入自己的 Email，在凭证过期前就会收到电子邮件通知。他会通知3次，过期前1个星期，过期前1天，和正式过期，3个时间点发一次。

网上看到linux里可以自动去更新证书，但是我linux不太懂，看不明白。windows里还不知道怎么自动的去更新，谁多这块了解多的，也可以告知我一下。