Letsencrypt org как получить сертификат windows

Как создать сертификаты Let’s Encrypt с помощью ACMESharp (1): Введение

В этой серии я сосредоточусь на развертывании сертификатов центра сертификации Let’s Encrypt, которые доступны бесплатно. Особенностью этого руководства будет генерация сертификатов для автономной среды, т. е. без доступа к Интернету.

Центр сертификации Let’s Encrypt

Let’s Encrypt — это полностью автоматизированный центр сертификации, выдающий сертификаты бесплатно.

Служебные функции/опции и их сертификаты:

  • выдаваемые сертификаты совершенно бесплатны,
  • доступны только сертификаты HTTPS/SSL,
  • ограниченный срок действия сертификатов составляет три месяца,
  • Let’s Encrypt известен для многих платформ, ключевые для меня следующие:
    • Майкрософт Windows,
    • Apple iOS/iPadOS/macOS,
    • Google Android,
    • Линукс.

Сертификаты предоставляются в режиме проверки домена, т. е. владелец сертификата владеет доменом. Никакой другой вариант проверки или другой тип сертификата недоступны.

Подтверждение права собственности на домен (о котором идет речь в нашей статье) возможно с помощью двух режимов:

  • HTTP Challenge (строка, подтверждающая право собственности на домен, доступна по запрошенному URL-адресу),
  • Запрос DNS (записи TXT в записях DNS для каждого из доменов).

Весь процесс запроса сертификата, проверки домена происходит через собственный протокол ACME и предоставляет REST API, с помощью которого весь процесс можно автоматизировать с помощью любого приложения или пользовательского решения.

Требования и ограничения

  • Поддержка платформы Windows в первую очередь требуется для всего процесса запроса и загрузки новых сертификатов.
  • Возможность экспорта сертификатов в формате PFX для Windows (PKCS).
  • Возможность проверки запроса методом DNS Challenge (записи TXT вDNS-записи для каждого из доменов).
  • Не используйте автоматизированный процесс установки сертификатов в систему.
  • Не требует установки IIS.
  • Поддержка создания мульти-DNS-сертификатов.
  • Избегайте HTTP-запроса на открытие порта (TCP 80).
Читайте также:  Как открыть файлы майнкрафта windows 10

Причины этих запросов следующие:

Первая причина, по которой у меня есть перечисленные требования, заключается в том, что некоторые из моих клиентов все еще используют Windows SBS 2011. Поскольку SBS — это конкретная операционная система, я не хочу рисковать неприятными ситуациями, когда рассматриваемый инструмент что-то делает и ломается. существующая конфигурация в IIS, например Exchange OWA, удаленное рабочее место или шлюз служб терминалов.

Вторая причина — необходимость создания сертификата для сетевых элементов, т. е. маршрутизаторов, коммутаторов или сетевых хранилищ (NAS), где невозможно запустить клиент Let’s Encrypt.

Третья причина заключается в том, что во многих случаях целевые устройства (для установки сертификата) недоступны в сети, и это запрос сертификата на адрес интрасети, например этот адрес: https://home.intranet .zobec.net / .

Поэтому мне нужно иметь возможность генерировать сертификаты в автономном режиме.

Несовместимые клиенты Let’s Encrypt

Из-за вышеуказанных требований следующие клиенты/инструменты не являются подходящими клиентами:

  • Сертификаты
  • Давайте зашифруем Win Simple

Два года назад, когда я проводил это исследование, у Certify еще не было проверки DNS Challenge, к сожалению, для запуска IIS по-прежнему требуется IIS, поэтому он все еще не соответствует моим требованиям.

ACMESharp

Во время поиска альтернативного клиента я наткнулся на клиент ACMESharp для PowerShell. Поначалу им немного сложнее пользоваться, но у него есть достойная документация, в том числе полезное руководство по быстрому запуску, которое немного помогло мне быстро приступить к работе.

Основным преимуществом клиента ACMESharp является то, что это командлет PowerShell. Таким образом, всю активность можно заскриптовать позже, т.е. автоматизировать.

Поскольку на момент исследования это был единственный клиент, отвечающий всем моим требованиям, у меня в принципе не было другого выбора, кроме как попробовать 🙂

Читайте также:  Как ускорить работу windows 7 x64

В итоге я доволен, даже если управление может быть для кого-то довольно сложным и иметь свою специфику, это довольно мощный инструмент с неограниченными возможностями.

Серия Как сгенерировать сертификаты Let’s Encrypt с помощью ACMESharp

Поделиться с друзьями
ОС советы