Let’s Encrypt gratis SSL-certificaat voor IIS instellen

Marco den Teuling
0

Let's Encrypt SSL-certificaat vernieuwen IIS Internet Information Services letsencrypt-win-simpleMicrosoft biedt met Internet Information Services de enige grote niet-opensource webserver. Het heeft even geduurd voordat de certificaten van Let’s Encrypt in de Windows/IIS-wereld zijn beland. Met de juiste tools kunnen Windows-servers automatisch nieuwe certificaten aanvragen en toevoegen.

Als je Microsofts IIS als webserver gebruikt, moet je vaak wat langer op support uit de opensource community wachten en kun je er niet op vertrouwen dat de ontwikkelaars van Microsoft elke gewenste feature inbouwen. Het duurde na de start van Let’s Encrypt enige tijd tot zich een vrijwilliger meldde die voor IIS-websites een makkelijke oplossing wilde realiseren voor het automatische certificeringsproces. Bij de Windows-servers kun je nog geen gebruik maken van de wildcard-certificaten, maar enkelvoudige certificaten zijn snel voor elkaar.

De meest populaire tool is ‘letsencrypt- win-simple’, die sinds 2015 ontwikkeld wordt. Hij werkt zonder grafische interface – met de Opdrachtprompt stel je eenmalig alle domeinen in waar je een certificaat voor nodig hebt. Vervolgens neemt een geplande taak je het werk uit handen om elke drie maanden voor een verlenging bij Let’s Encrypt te zorgen.

Let's Encrypt SSL-certificaat vernieuwen IIS Internet Information Services letsencrypt-win-simple

Name-resolving

Een voorwaarde voor het gebruik van certificaten met één druk op de knop is de koppeling van websites aan een of meerdere hostnamen. Open het IIS-beheer en navigeer naar je website. Klik in de rechterkolom op ‘Bindingen’ en klik dan dubbel op het eerste ip-adres. Typ in het nieuwe venster een hostnaam in en sluit het venster. Dat moet je herhalen voor alle varianten van je domein waarmee je van buitenaf bereikbaar wilt zijn. Vul daarbij je eigen gegevens in, in plaats van www.example.org en example. org. Download dan de laatste versie van letsencrypt-win-simple en pak het zip-bestand uit in een map buiten de gebruikersmap – anders werkt de geplande taak later niet.

Open het programma met administratorrechten. Er komt een hele stortvloed over je heen in de Opdrachtprompt, waarbij je al snel door de bomen het bos niet meer ziet. Om voor alle domeinen op een server een certificaat te bestellen, kies je op de eerste menupagina ‘N’. Met de optie ‘3’ selecteer je alle bij IIS bekende namen. De tool geeft als suggestie alle websites die hij kan vinden. Je kunt de afzonderlijke websites selecteren of ze met ‘S’ meteen allemaal kiezen. Bij de volgende stap kun je naar keuze afzonderlijke hostnamen uitsluiten. Letsencrypt-win-simple vraagt je dan naar je favoriete methode voor het verifiëren.

Met optie ‘6’ (http-01) voer je de taak uit zonder dat er verder wat ingesteld wordt, waarbij de data voor het uitvoeren van de challenge in de websitemap gezet worden. Bij de volgende stap kun je het certificaat aan IIS laten toevoegen en een binding voor poort 443 maken. Selecteer daarvoor optie ‘1’. Met optie ‘2’ kun je automatisch een eigen script laten uitvoeren om het nieuwe certificaat bijvoorbeeld aan een ander programma te geven. Als je geen andere scripts wilt instellen, kies je bij de volgende stap ‘n’. Het programma vraagt dan nog een keer of je nog meer websites wilt toevoegen, maar ook die stap kun je met ‘n’ beantwoorden. Dan wordt gevraagd naar een e-mailadres. Dat staat later niet in het certificaat en wordt niet openbaar gemaakt, maar dient alleen voor foutmeldingen als er wat verkeerd gaat. Bevestig de licentievoorwaarden van Let’s Encrypt met ‘y’ en kijk vervolgens hoe het programma zijn werk doet en het ene na het andere certificaat bestelt.

Let's Encrypt SSL-certificaat IIS Internet Information Services

Let’s Encrypt automatisch vernieuwen

Om ervoor te zorgen dat je dit proces niet elke drie maanden opnieuw hoeft te doorlopen, maakt de tool een geplande taak aan. Die controleert elke ochtend om 9 uur of er certificaten vernieuwd moeten worden, en doet dat ruim op tijd als het aan de orde is. Voor die taak kun je optioneel een uitvoerende gebruiker aangeven. Bij het IIS-beheer zie je het resultaat: alle websites hebben nieuwe bindingen gekregen met poort 443 en leveren het bijbehorende certificaat.

Om je bezoekers altijd naar de HTTPS-versie van je websites te sturen en van een versleutelde verbinding te laten genieten, heb je de IIS-uitbreiding URL Rewrite nodig. Als die niet in je IIS zit, kun je hem alsnog installeren. Het installatiebestand opent de Web Platform Installer en voegt de extensie aan IIS toe. Via het pictogram van URL Rewrite kun je dan regels instellen voor het herschrijven van de links. Dat kan echter een stuk sneller door wat toe te voegen aan het bestand web. config in de root-map van de website. Als dat bestand nog niet bestaat, maak je het aan en kopieer je de listing hieronder daarin. Anders voeg je alleen het deel van <rewrite> onder het element <system. webServer> toe:

<?xml version="1.0" encoding="UTF-8"?>

<configuration>

<system.webServer>

<rewrite>

<rules>

<rule name="HTTPS-omleiding"

enabled="true"

stopProcessing="true">

<match url="(.*)" />

<conditions

logicalGrouping="MatchAny">

<add input="{SERVER_PORT_SECURE}"pattern="^0$"/>

</conditions>

<action type="Redirect"

url="https://{HTTP_HOST}{REQUEST_URI}"

redirectType="Permanent" />

</rule>

</rules>

</rewrite>

</system.webServer>

</configuration>

Na een herstart van IIS word je dan automatisch naar de HTTPS-versie van de website gestuurd.

In c’t 4/2018 gaan we uitgebreider in op Let’s Encrypt en het ACME-protocol en lees je verder hoe je een gratis SSL-certificaat inzet voor je router, Docker of Apache web-server. Ook voor je NAS kun je Let’s Encrypt gebruiken.

(Jan Mahn / Noud van Kruysbergen, c’t magazine 4/2018)

Meer over

SSL

Deel dit artikel

Lees ook

Antivirus – bescherming tegen virussen in de praktijk

Bij de keuze voor een antivirusprogramma en bij het gebruik kom je voor allerlei vragen te staan. We geven een antwoord op enkele veel gestelde vragen...

Smart-tv veilig maken: gastnetwerk, firewall en meer

Je kunt zelf je smart tv veilig maken op verschillende manieren. Zo bescherm je jezelf tegen hackers, ongewenste reclame en de snuffeldrang van mediab...

0 Praat mee

avatar
  Abonneer  
Laat het mij weten wanneer er