为Azure Windows IAAS虚拟机生成和配置免费的SSL证书
三点三(65%) 投票[s]

基础设施即服务提供了在云环境(如Azure)中快速部署主机的能力。但是,主机附带的证书还没有为Web服务做好准备。我已经有很长一段时间没有这样做了,我再次意识到尽管有一些指南可用,但它们适用于不同的场景,而不是我需要的。在我的开发环境中,我正在寻找一个SSL证书;

  • 自由的
  • 可以通过HTTP验证方法(不是DNS,因为我们显然不拥有*。cloudapp.azure.com网站命名空间)
  • 可以在Windows服务器上使用IIS网站
  • 可信的通过主要浏览器
  • 可信的通过Azure PaaS服务(例如Azure API管理

这篇博客文章详细介绍了使用zerossl生成免费ssl web服务器证书的过程,让我们来加密,以及在Windows上的IIS上实现它们的过程。明确地;

  • 使用zerossl生成证书
  • 将证书转换为IIS的PFX格式
  • 在IIS上安装证书
  • 测试配置了SSL证书的网站

生成证书

首先导航到零ssl然后选择启动SSL证书向导

输入要为其生成证书的主机的地址。这可以从概述虚拟机中的部分Azure门户在下面DNS名称.选择接受Zerossl TOS接受让我们加密sa(pdf)然后选择接下来.

生成azure iaas windows ssl certificate start.png

将生成证书签名请求。选择Next。

生成Azure IAAS Windows SSL证书1.png

将生成帐户密钥。您可以保存此页面中的CSR和帐户密钥。选择接下来.

生成Azure IAAS Windows SSL证书2.png

在IIS中创建文件夹结构,如Windows Server IIS Webroot下的Zerossl验证页中所述。默认情况下C:\inetpub\wwwroot.

生成Azure IAAS Windows SSL证书3.png

您需要使用Windows命令提示创建.known文件夹。

生成Azure IAAS Windows SSL证书4

在acme challenge目录中创建web.config文件,以便IIS提供对所创建文件的访问。

          
           
            
             
            
           
          

确保新目录和文件的权限也允许访问。

生成Azure IAAS Windows SSL证书4a

单击“文件”链接,确保Zerossl可以使用所需路径中的文件访问您的IIS网站。取决于你的Azure网络,您可能需要端口80的入站NSG规则,如下所示。

生成Azure IAAS Windows SSL证书nsg 80 incoming.png

一旦您验证了文件是可访问的,选择接下来若要允许Zerossl验证您是否已创建包含适当内容的文件,以验证您拥有主机。然后将向您提供证书。

生成Azure IAAS Windows SSL证书6.png

顶级证书文件包含域证书和颁发者的证书。

  • 将其保存到本地Windows10工作站,扩展名为.txt。例如服务器证书.txt

第二个文件包含您的域密钥。

  • 将域密钥保存到另一个扩展名为.txt的文件中,例如服务器域密钥.txt

转换证书

为了能够在IIS中导入证书,我们需要使用pfx格式的证书。OpenSSL允许我们将.txt文件转换为pfx格式。OpenSSL可用Windows Linux子系统默认情况下。跳到一个wsl窗口中,运行openssl,使用以下语法引用上面创建的两个文件。

openssl pkcs12-export-out servercert.pfx-inkey serverdomainkey.txt-in servercerts.txt

为pfx文件提供安全密码。在您的IIS Web服务器上导入证书时,您将需要此功能。

转换cert format.png

签出证书,我们可以看到生成的证书是LetsEncrypt公司我们的Azure IAAS主机的证书。

证书详细信息1

证书路径看起来都不错。

证书详细信息2

安装证书

在我们的IIS服务器上,在Internet Information Server(IIS)Manager中的IIS主机下选择服务器证书进口导入新证书,如下所示。

导入cert.png

然后选择IIS网站我们想要证书,选择绑定并编辑您的HTTPS绑定选择新证书。

IIS服务器绑定.png

测试证书

重置IIS之后,您应该能够使用HTTPS访问基于IIS的网站。在我的情况下LithNet FIM/MIM服务REST API.

lithnet mim服务rest api.png

总结

既然我已经记录了端到端的过程,那么下次为下一个主机生成证书会更快。保存证书详细信息后,我还可以在证书三个月后到期时轻松更新证书。

我还使用LithNet FIM/MIM服务REST API在另一个环境中运行。

通过api management.png提供MIM服务

类别:
云基础设施

留下答复