Automatisch Let's Encrypt-certificaten regelen voor IIS
Let's-Encrypt-certificaten voor IIS onder Windows automatisch verlengen
Microsoft biedt met Internet Information Services de enige grote nietopensource webserver. Het heeft even geduurd voordat de Let'sEncrypt-certificaten in de Windows/ IIS-wereld zijn beland. Met de juiste tools kunnen Windows-servers automatisch nieuwe certificaten aanvragen en toevoegen.
Als je Microsofts IIS als webserver gebruikt, moet je vaak wat langer op support uit de opensource community wachten en kun je er niet op vertrouwen dat de ontwikkelaars van Microsoft elke gewenste feature inbouwen. Het duurde na de start van Let's Encrypt enige tijd tot zich een vrijwilliger meldde die voor IISwebsites een makkelijke oplossing wilde realiseren voor het automatische certificeringsproces. Bij de Windowsservers kun je nog geen gebruik maken van de wildcardcertificaten, maar enkelvoudige certificaten zijn snel voor elkaar.
De meest populaire tool is 'letsencryptwinsimple', die sinds 2015 ontwikkeld wordt. Hij werkt zonder grafische interface – met de Opdrachtprompt stel je eenmalig alle domeinen in waar je een certificaat voor nodig hebt. Vervolgens neemt een geplande taak je het werk uit handen om elke drie maanden voor een verlenging bij Let's Encrypt te zorgen.
Name-resolving
Een voorwaarde voor het gebruik van certificaten met één druk op de knop is de koppeling van websites aan een of meerdere hostnamen. Open het IISbeheer en navigeer naar je website. Klik in de rechterkolom op 'Bindingen' en klik dan dubbel op het eerste ipadres. Typ in het nieuwe venster een hostnaam in en sluit het venster. Dat moet je herhalen voor alle varianten van je domein waarmee je van buitenaf bereikbaar wilt zijn. Vul daarbij je eigen gegevens in, in plaats van www.example.org en example. org. Download dan de laatste versie van letsencryptwinsimple (zie de link onderaan dit artikel) en pak het zipbestand uit in een map buiten de gebruikersmap – anders werkt de geplande taak later niet.
Open het programma met administratorrechten. Er komt een hele stortvloed over je heen in de Opdrachtprompt, waarbij je al snel door de bomen het bos niet meer ziet. Om voor alle domeinen op een server een certificaat te bestellen, kies je op de eerste menupagina 'N'. Met de optie '3' selecteer je alle bij IIS bekende namen. De tool geeft als suggestie alle websites die hij kan vinden. Je kunt de afzonderlijke websites selecteren of ze met 'S' meteen allemaal kiezen. Bij de volgende stap kun je naar keuze afzonderlijke hostnamen uitsluiten. Letsencryptwinsimple vraagt je dan naar je favoriete methode voor het verifiëren.
Met optie '6' (http01) voer je de taak uit zonder dat er verder wat ingesteld wordt, waarbij de data voor het uitvoeren van de challenge in de websitemap gezet worden. Bij de volgende stap kun je het certificaat aan IIS laten toevoegen en een binding voor poort 443 maken. Selecteer daarvoor optie '1'. Met optie '2' kun je automatisch een eigen script laten uitvoeren om het nieuwe certificaat bijvoorbeeld aan een ander programma te geven. Als je geen andere scripts wilt instellen, kies je bij de volgende stap 'n'. Het programma vraagt dan nog een keer
of je nog meer websites wilt toevoegen, maar ook die stap kun je met 'n' beantwoorden. Dan wordt gevraagd naar een emailadres. Dat staat later niet in het certificaat en wordt niet openbaar gemaakt, maar dient alleen voor foutmeldingen als er wat verkeerd gaat. Bevestig de licentievoorwaarden van Let's Encrypt met 'y' en kijk vervolgens hoe het programma zijn werk doet en het ene na het andere certificaat bestelt.
Elk kwartaal weer
Om ervoor te zorgen dat je dit proces niet elke drie maanden opnieuw hoeft te doorlopen, maakt de tool een geplande taak aan. Die controleert elke ochtend om 9 uur of er certificaten vernieuwd moeten worden, en doet dat ruim op tijd als het aan de orde is. Voor die taak kun je optioneel een uitvoerende gebruiker aangeven. Bij het IISbeheer zie je het resultaat: alle websites hebben nieuwe bindingen gekregen met poort 443 en leveren het bijbehorende certificaat.
Om je bezoekers altijd naar de HTTPSversie van je websites te sturen en van een versleutelde verbinding te laten genieten, heb je de IISuitbreiding URL Rewrite nodig. Als die niet in je IIS zit, kun je hem alsnog installeren (zie de link onderaan dit artikel). Het installatiebestand opent de Web Platform Installer en voegt de extensie aan IIS toe. Via het pictogram van URL Rewrite kun je dan re gels instellen voor het herschrijven van de links. Dat kan echter een stuk sneller door wat toe te voegen aan het bestand web. config in de rootmap van de website. Als dat bestand nog niet bestaat, maak je het aan en kopieer je de listing hieronder daarin. Anders voeg je alleen het deel van <rewrite> onder het element <system.webServer> toe:
<?xml version="1.0" encoding="UTF-8"?> <configuration>
<system.webServer>
<rewrite>
<rules>
<rule name="HTTPS-omleiding" enabled="true" stopProcessing="true">
<match url="(.*)" />
<conditions logicalGrouping="MatchAny">
<add input="{SERVER_PORT_SECURE}" pattern="^0$"/>
</conditions>
<action type="Redirect"
url="https://{HTTP_HOST}{REQUEST_
URI}"
redirectType="Permanent" /> </rule>
</rules>
</rewrite>
</system.webServer> </configuration>
Na een herstart van IIS word je dan automatisch naar de HTTPSversie van de website gestuurd. (nkr)