आईआईएस वेब सर्वर/आरडीएस पर एक निःशुल्क लेट्स एनक्रिप्ट टीएलएस/एसएसएल प्रमाणपत्र स्थापित करना

IIS प्रबंधक में, साइट बाइंडिंग खोलें अपनी वेबसाइट के लिए सेटिंग और सत्यापित करें कि यह लेट्स एनक्रिप्ट अथॉरिटी X3 द्वारा जारी किए गए प्रमाणपत्र का उपयोग करती है ।

आप वेब होस्टिंग -> प्रमाणपत्र के अंतर्गत कंप्यूटर प्रमाणपत्र स्टोर में Let's Encrypt IIS प्रमाणपत्र प्राप्त कर सकते हैं ।

विंडोज एसीएमई सिंपल विंडोज टास्क शेड्यूलर में एक नया काम बनाता है (win-acme-renew (acme-v02.api.letsencrypt.org) ) प्रमाणपत्र को स्वचालित रूप से नवीनीकृत करने के लिए। कार्य हर दिन शुरू होता है, और प्रमाणपत्र का नवीनीकरण 60 दिनों के बाद किया जाता है। यह कार्य कमांड चलाता है:

C:\inetpub\letsencrypt\wacs.exe --renew --baseuri "https://acme-v02.api.letsencrypt.org"

लेट्स एनक्रिप्ट सर्टिफिकेट को मैन्युअल रूप से अपडेट करने के लिए आप उसी कमांड का उपयोग कर सकते हैं।

IIS URL पुनर्लेखन का उपयोग करके HTTP से HTTPS पर पुनर्निर्देशित करें

आने वाले सभी HTTP ट्रैफ़िक को HTTPS वेबसाइट URL पर पुनर्निर्देशित करने के लिए, Microsoft URL पुनर्लेखन मॉड्यूल स्थापित करें (https://www.iis.net/downloads/microsoft/url-rewrite), और सुनिश्चित करें कि साइट सेटिंग्स में एसएसएल की आवश्यकता विकल्प अक्षम है। अब पुनर्लेखन को web.config में पुनर्लेखन नियमों के साथ कॉन्फ़िगर करें:

<नियम नाम ="HTTP से HTTPS रीडायरेक्ट" सक्षम ="सत्य" स्टॉपप्रोसेसिंग ="सत्य"> <मिलान url ="(। *)" /> <शर्तें> <इनपुट जोड़ें ="{HTTPS}" पैटर्न ="बंद" अनदेखा करें ="सत्य" />  <क्रिया प्रकार ="रीडायरेक्ट" url ="https://{HTTP_HOST}/{R:1}" appendQueryString ="सच" रीडायरेक्ट टाइप ="स्थायी" />
 आप IIS प्रबंधक GUI के माध्यम से URL पुनर्लेखन एक्सटेंशन का उपयोग करके ट्रैफ़िक रीडायरेक्ट को भी कॉन्फ़िगर कर सकते हैं। साइटें Select चुनें -> आपका साइटनाम -> यूआरएल पुनर्लेखन ।
 

 
 

 एक नया नियम बनाएं नियम जोड़ें -> रिक्त नियम ।
 

 नियम का नाम निर्दिष्ट करें और निम्नलिखित पैरामीटर मान बदलें:
 
 
अनुरोधित URL :पैटर्न से मेल खाता है
 
उपयोग करना :रेगुलर एक्सप्रेशन
 
पैटर्न :(.*)
 
 

 
 

 शर्तों . में अनुभाग में, तार्किक समूहीकरण . बदलें :सभी का मिलान करें और जोड़ें . पर क्लिक करें . निम्नलिखित सेटिंग्स निर्दिष्ट करें:
 
 
शर्त इनपुट: {एचटीटीपीएस}
 
जांचें कि क्या इनपुट स्ट्रिंग: पैटर्न से मेल खाता है
 
पैटर्न: ^ऑफ$
 
 

 
 

 अब एक्शन ब्लॉक में चुनें:
 
 
कार्रवाई का प्रकार: रीडायरेक्ट
 
यूआरएल रीडायरेक्ट करें :https://{HTTP_HOST}/{R:1}
 
रीडायरेक्ट प्रकार :स्थायी (301)
 
 

 एक ब्राउज़र खोलें और अपनी साइट को एक HTTP पते के साथ खोलने का प्रयास करें; आपको स्वचालित रूप से HTTPS URL पर पुनर्निर्देशित किया जाना चाहिए।
 
आरडीएस गेटवे और वेब एक्सेस के साथ लेट्स एनक्रिप्ट सर्टिफिकेट का उपयोग करना
 

 यदि आप बाहरी उपयोगकर्ताओं को कॉर्पोरेट नेटवर्क से जोड़ने के लिए RDS गेटवे या RDS वेब एक्सेस का उपयोग करते हैं, तो आप स्व-हस्ताक्षरित प्रमाणपत्र के बजाय Let’s Encrypt से विश्वसनीय SSL प्रमाणपत्र का उपयोग कर सकते हैं। Windows सर्वर पर दूरस्थ डेस्कटॉप सेवाओं को सुरक्षित करने के लिए Let's Encrypt प्रमाणपत्र को सही ढंग से स्थापित करने के तरीके पर विचार करें।
 यदि दूरस्थ डेस्कटॉप गेटवे सर्वर पर RDSH भूमिका भी स्थापित है, तो आपको गैर-व्यवस्थापक उपयोगकर्ताओं को उस निर्देशिका तक पहुँचने से रोकना चाहिए जिसमें WACS फ़ाइलें (मेरे उदाहरण में, c:\inetpub\letencrypt) और Let's एन्क्रिप्ट प्रमाणपत्र और कुंजियाँ ( C:\ProgramData\win-acme) संग्रहीत हैं।
 

 फिर, जैसा कि ऊपर बताया गया है, RD गेटवे सर्वर पर wacs.exe चलाएँ। वांछित आईआईएस साइट का चयन करें (आमतौर पर यह डिफ़ॉल्ट वेब साइट . है . आइए एनक्रिप्ट आपको एक नया प्रमाणपत्र जारी करेगा और इसे आईआईएस वेबसाइट से जोड़ देगा, और स्वचालित प्रमाणपत्र नवीनीकरण कार्य टास्क शेड्यूलर में दिखाई देगा।
 

 आप इस प्रमाणपत्र को मैन्युअल रूप से निर्यात कर सकते हैं और इसे एसएसएल बाइंडिंग के माध्यम से आवश्यक आरडीएस सेवाओं से जोड़ सकते हैं। लेकिन जब Let's Encrypt प्रमाणपत्र का नवीनीकरण किया जाता है, तो आपको हर 60 दिनों में इन चरणों को मैन्युअल रूप से करना होगा।
 

 लेट्स एनक्रिप्ट सर्टिफिकेट को अपडेट करने के बाद हम एसएसएल सर्टिफिकेट को आरडीएस गेटवे से स्वचालित रूप से बांधने के लिए पावरशेल स्क्रिप्ट का उपयोग कर सकते हैं।
 

 win-acme . में एक तैयार PowerShell स्क्रिप्ट है प्रोजेक्ट - ImportRDGateway.ps1  (https://github.com/PKISharp/win-acme/tree/master/dist/Scripts ), जो आपको दूरस्थ डेस्कटॉप सेवाओं के लिए चयनित SSL प्रमाणपत्र स्थापित करने की अनुमति देता है। इस स्क्रिप्ट का मुख्य दोष यह है कि आपको नए प्रमाणपत्र के अंगूठे के निशान को मैन्युअल रूप से निर्दिष्ट करना होगा:
 

 ImportRDGateway.ps1 <certThumbprint> 
 

 निर्दिष्ट आईआईएस साइट से स्वचालित रूप से प्रमाणपत्र थंबप्रिंट प्राप्त करने के लिए, संशोधित स्क्रिप्ट का उपयोग करें ImportRDGateway_Cert_From_IIS.ps1 (ImportRDGateway.ps1 पर आधारित)।
 

 आप इस स्क्रिप्ट को मैन्युअल रूप से चला सकते हैं:
 

 powershell -File ImportRDGateway_Cert_From_IIS.ps1 
 

 यदि आपका RDS गेटवे IIS "डिफ़ॉल्ट वेब साइट" पर इंडेक्स 0 के साथ चलता है, तो आप बिना बदलाव के स्क्रिप्ट का उपयोग कर सकते हैं।
 IIS पर साइट आईडी प्राप्त करने के लिए, PowerShell कंसोल खोलें और चलाएं:
 

 Import-Module WebAdministration

Get-ChildItem IIS:Sites|ft -AutoSize 
 

 आईडी कॉलम आपकी साइट की अनुक्रमणिका दिखाता है, उसमें से एक घटाएं। परिणामी अनुक्रमणिका 0 . के बजाय निर्दिष्ट की जानी चाहिए PowerShell स्क्रिप्ट की पंक्ति 27 में:
 
$NewCertThumbprint =(Get-ChildItem IIS:SSLBindings)[0 ].अंगूठे के निशान
 

 
 

 

 अब win-acme-renew खोलें शेड्यूलर कार्य, और कार्रवाइयां . पर टैब एक नया कार्य जोड़ें जो SSL प्रमाणपत्र को अद्यतन करने के बाद ImportRDGateway_Cert_From_IIS.ps1 स्क्रिप्ट चलाता है।
 

 PowerShell निष्पादन नीति को न बदलने के लिए, आप स्क्रिप्ट को कमांड के साथ चला सकते हैं:
 

 PowerShell.exe -ExecutionPolicy Bypass -File c:\inetpub\letsencrypt\ImportRDGateway_Cert_From_IIS.ps1 
 

 
 

 अब लेट्स एनक्रिप्ट सर्टिफिकेट के नवीनीकरण के तुरंत बाद एसएसएल सर्टिफिकेट को आरडीएस से जोड़ने की स्क्रिप्ट को निष्पादित किया जाएगा। इस मामले में, आरडी गेटवे सेवा स्वचालित रूप से कमांड के साथ पुनरारंभ हो जाती है:
 

 Restart-Service TSGateway 
 

 [अलर] जब TSGateway सेवा फिर से शुरू होती है, तो सभी मौजूदा उपयोगकर्ता सत्र डिस्कनेक्ट हो जाते हैं, इसलिए हर 60 दिनों में एक बार प्रमाणपत्र नवीनीकरण कार्य शुरू करने की आवृत्ति को बदलने की सिफारिश की जाती है।[/अलर्ट]