跳到主要內容

Windows使用Apache/WIN-ACME申請免費Let's Encrypt的SSL憑證

 

在Windows下使用Apache架站時,申請Let's Encrypt的SSL憑證的步驟:

1.確認web的port 80可以連線

有http自動轉https的話要關掉


2.下載win-acme

https://www.win-acme.com/

解壓縮後執行wacs.exe(可能要管理員權限)


3.wacs.exe操作如下

選m

選2


輸入網址(不用加https)

選4

選1

輸入網站根目錄位置

選2

選2


輸入存檔SSL憑證的位置

選1

選5

選3

之後enter按到底,會開始自動申請憑證,申請成功後按q離開wacs.exe

4.修改http-ssl.conf

加入或修改下面三行

SSLCertificateFile "SSL憑證存檔位置/網站名稱-crt.pem"

SSLCertificateKeyFile "SSL憑證存檔位置/網站名稱-key.pem"

SSLCertificateChainFile "SSL憑證存檔位置/網站名稱-chain.pem"

5.重啟apache

6.自動更新憑證

寫一個bat,加到工作排程

cd C:/win-acme(就是解壓縮win-acme的地方)

wacs.exe --renew --force

net stop Apache2.4 && net start Apache2.4


7.追記

如果是不能直接登入網站主機只能使用網頁空間的狀況,必須先在自己的電腦上申請憑證的認證密碼,然後再上傳到網頁空間中提供驗證,方式如下:


下載 ssl-certbot
https://www.markkulab.net/2021/12/26/ssl-certbot/
https://github.com/certbot/certbot/releases/download/v1.22.0/certbot-beta-installer-win32.exe

安裝 ssl-certbot後在cmd中
C:\Program Files (x86)\Certbot\bin>   輸入
certbot certonly --manual --preferred-challenges http -d 你的網址

中間會生成檔案,上傳到指定位置,然後進行驗證

1. Certbot 會顯示驗證資訊:
   Create a file containing just this data:
   xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
   And make it available on your web server at this URL:
   http://你的網址/.well-known/acme-challenge/yyyyyyyyyyyyy

2. 透過 FTP 上傳 `.well-known` 資料夾到 `你的網址` 的網站根目錄

3. 測試 URL:
   http://你的網址/.well-known/acme-challenge/yyyyyyyyyyyyy
   確認瀏覽器可以看到驗證字串

4. 回到 Certbot 按 Enter 完成驗證

5. 驗證成功後憑證會在:
C:\Certbot\live\你的網址\
├── fullchain.pem  (完整憑證鏈)
├── privkey.pem    (私鑰)
├── cert.pem       (憑證)
└── chain.pem      (中繼憑證)



標籤:

留言

張貼留言

這個網誌中的熱門文章

河口湖的富士山遐想(下)

大池 第三天離開甲府前往河口湖,這趟旅程才算正式開始吧,只是一大早就開始下雨,一整天都陰陰的,河口湖的氣溫也很低,即使是五月中也只有10幾度,好險我們連著兩夜都住河口湖,就是賭總不會連著都下雨。 第一天的旅館是「大池」,那時候剛整修完重新開放,設備都很新,但似乎連人都很新...... https://www.ooike-hotel.co.jp/ 這間的露天溫泉看不到富士山,室內湯可以,但天氣太糟,什麼都看不到。 房間實景,天氣好時窗戶外就可以看到富士山。 窗外的景色,中間右邊可以看到一點點富士山的底部 隔天終於等來了晴天,一大早從窗外就能看到富士山,心情愉快。 旅館旁有個小池塘,從池塘邊看到的富士山更有另一種風情。 芝櫻季 芝櫻其實跟櫻花沒關係,只是也有粉紅、白色等各種顏色,開花期間又與櫻花相近,而且是草本,好種又不受氣候影響,還容易拼各種圖案,遂成了櫻花季期間最受歡迎的展覽用花了。日本到處都有芝櫻季,河口湖也不例外。只是展覽地點非常偏遠,要從河口湖站搭快一小時的車,好險有車票加門票的優惠卷。不過老實說,這種展覽去過就好了,展場跟人潮都沒什麼好回味的。 特地拍一張旗幟做紀念。 門票加車票的套票,好像有便宜數百日圓的樣子。 會場風景隨手拍。 會場中到處都是這種花毯。 富士山造景。 中間的就是富士山,可惜雲多看不到。 音樂盒之森 來這裡可說是個美麗的錯誤,從芝櫻會場回到河口湖後,我們便移動到第二天的住宿地點,但時間太早了,還不能入住,只好隨便在週邊逛逛,看到地圖不遠處有這個景點,便信步前往,豈料中間的路基本上是給車走不是給人走的,而且非常遠...。好在歐洲風的造景做得很用心,音樂盒的表演及介紹也很到位,是相當值得一逛的地方。 音樂盒之森的招牌。 園區中的歐洲造景 來到音樂盒之森當然要看音樂盒,這裡有日本最大的表演型音樂盒,就是會利用各種娃娃演奏出音樂的那種,規模有一整面牆那麼大。 另外也有使用音樂盒當伴奏的真人表演,這些音樂盒都是古董了,現在沒人在做了。 整個園區說大不大,但規劃得很好,走完一圈看完兩個表演,也差不多要前往住宿點了。 富士吟景 河口湖第二的住宿地是富士吟景。河口湖大致分成南北兩區,第一天住的是南區,離湖邊較遠,住宿選擇多而且也比較平價。第二天住北區,幾乎都是沿著湖邊建的,價格自然也高了許多,富士吟景算是其中CP值不錯的飯店了。 http://www.fu...
張貼留言
閱讀完整內容

Google 分析 (Google Analytics) 造成的「加密的階段作業 (SSL) Cookie 中遺漏安全屬性」

 Google 分析 (Google Analytics) 的cookies會造成「加密的階段作業 (SSL) Cookie 中遺漏安全屬性」的弱點,網路上有一種解決方式,在gtag中加上參數,如下: gtag('config', 'G-XXXXXXXXXX', {'cookieFlags': 'SameSite=Strict; Secure'}); 但我的系統卻無法使用,研究了一下,要拆開寫,如下   gtag('set', 'cookie_flags', 'SameSite=Strict;Secure');   gtag('config', 'G-XXXXXXXXXX'); 要拆成兩行,Secure就可以用了。 但更簡單的方法是在httpd.conf中加入這一行 Header edit Set-Cookie ^(.*)$ $1;HttpOnly;Secure;SameSite=Strict 解決。
張貼留言
閱讀完整內容

主機標頭注入的測試與應對

最近處理「主機標頭注入」弱點,花了很大力氣,總算告一段落,把相關資料筆記起來。 1.主機標頭注入是啥 弱點掃描的描述永遠是上個世紀的翻譯軟體做的,有時候寧願顯示英文orz 簡單的說就是在開啟網頁時,另外輸入header資訊,導致網站發生錯誤。 2.如何測試主機標頭注入 以PHP來說,$_SERVER['HTTP_HOST']可以取得host資料,範例如下 執行起來會是下面狀況 會把IP或網址印出來,主機標頭注入就是把HOST改掉,測試方式要使用curl。 windows版請到這裡下載:https://curl.se/download.html 下載後解壓縮,進入curl.exe所在的資料夾,開啟終端機,輸入下面指令 塗掉的地方就是網站的IP或網址,這時候可以發現$_SERVER['HTTP_HOST']的資訊被改掉了,印出的是輸入的測試資料「www.123.com」。 3.如何防範主機標頭注入 這個問題在網路上找了很久,各家方法都有,但最簡單的是改.htaccess檔,加入這幾行: RewriteEngine On  RewriteCond %{HTTP_HOST} !^ 網址或IP [NC] RewriteCond %{REQUEST_URI} !^/error [NC] RewriteRule ^.(.*) - [L,F] 這時再用curl測試,跑出來的就是403了,解決。
張貼留言
閱讀完整內容