上一篇文章我們提到了品牌商家、中小企業、或是個人工作室除了可利用ITE2 NAS進行資料備份,更可利用詮力科技的行動網頁平台服務快速建立宣傳網頁之外,也可使用Mobirise這款免費軟體快速的建立各種精美的網頁,並且利用Windows 10的IIS(Internet Information Server)管理員,讓ITE2 NAS快速搖身一變成為WEB伺服器主機,並搭配ITE2 2Bay NAS:NE-201內PDM(Power Data Manager)的DDNS功能建起對外連接的橋樑,讓網站可以簡易又快速地發佈出去。今天就讓我們來研究如何為您在NE-201上建立的網站申請並SSL憑證,讓網站更安全之餘,也讓客人的信賴感更上一層樓吧!
什麼是 SSL 憑證? 又有什麼作用呢?
SSL憑證 (安全通訊端階層) 是一種數位證書,用來驗證網站的身份,並將資料加密,然後傳送到伺服器。而憑證就像是電子身分證,會在網路進行作業時於線上建立實體的認證。當網路使用者嘗試將機密資訊傳送至網頁伺服器時,使用者的瀏覽器會存取伺服器的數位憑證並建立安全連線,也就是所謂的HTTPS連線。而基於安全性的考量,知名的google搜尋引擎偏好使用HTTPS 的加密網站,並會提高其在搜尋結果中的排名。因此安裝SSL憑證不僅可保護您的客戶安全,更能為精心製作的網頁帶來更多曝光率。
在早期的Chrome版本,進入HTTPS網頁時可以發現在瀏覽器的網址旁邊可以看到綠色鎖頭的icon來提醒使用者此網站已安裝SSL憑證(也就是俗稱的加鎖頭),但在目前Windows環境的瀏覽器中,Chrome 75版和Edge 17版已將鎖頭以灰色標示,而Firefox 67版,以及Opera 62版目前仍保留綠色的鎖頭標示,想看綠色鎖頭的朋友們可以試著在Firefox和Opera瀏覽器上瀏覽已取得SSL的網頁看看喔。
如何為自己的網站申請免費的SSL憑證
上面提到了為網站加上SSL憑證的各種好處,接下來就為大家介紹如何為您製作的網站申請並安裝免費的SSL憑證吧! 以下就以知名的”SSL For Free” 這個免費的SSL憑證申請平台為各位說明如何申請憑證。
Step 0:前置作業 – 設定DDNS > 在IIS新增站台 > 確定DDNS可正常外連
- 首先請參照先前的教學文章,在PDM > 設定 > 網路管理 > DDNS設定 內設定好要給您的網站使用的DDNS名稱(本次DDNS皆以ite2naspage.powernas.com.tw為例),以及在IIS管理員的”站台”新增一個網站,並在”繫結”的主機名稱內填入先前已在PDM內設定好的DDNS名稱,並將您家中或公司的Router設定好開啟Port 80 & Port 443,確定可以正常連線。
Step 1:通過認證,並下載公鑰檔
- 請點選 SSL For Free 的網址:https://www.sslforfree.com,將您要申請的DDNS填入中央的位置後,點選右邊的Create Free SSL Certificate(建立免費的SSL憑證)。
- 接下來SSL For Free 會透過以下三種方式確認該網域是您所擁有,才會發出憑證。分別為自動FTP 驗證、手動(置入檔案)驗證、手動DNS 驗證,可自行選擇方便的認證方式。本次範例以網頁中央的”Manual Verification”(手動驗證)為主。
- 在您的網域底下建立一個 /.well-known/acme-challenge/ 路徑。
以本次範例為例,路徑為D:\ITE2\Homes\admin\Home\ite2naspage\.well-known\acme-challenge。
因為Windows的檔案名稱命名限制,無法建立以dot符號為開頭的”.well-known”的資料夾名稱,且會顯示”您必須輸入檔名”錯誤訊息,此時只要在原本要輸入的資料夾名稱後面加上一個dot符號,使其變成”.well-known.”就可以順利建立囉! 或是使用CMD(命令提示字元)直接建立資料夾。
- 點擊圖中的 Download File #1 下載由字串構成的驗證檔。
- 在IIS的localhost > MINE類型 > 新增MINE類型 > 副檔名請輸入一個dot符號,MINE類型請輸入text/plain,按”確定”新增類型。
- 把步驟3下載的驗證檔放進剛剛建立的acme-challenge資料夾內。
- 點選SSL For Free網頁下方的驗證連結,驗證上傳是否成功及路徑是否暢通,如果可以看到瀏覽器顯示一串字串代表上傳及路徑一切正常。
- 點選Download SSL Certificate(下載SSL憑證),進入Certificate Successfully Generated(憑證產生成功)頁面,因免費憑證只有90天有效期,可填入您的電子郵件信箱,當憑證快到期時讓系統會提醒您進行更新。點選下方Download All SSL Certificate Files即可下載名為”sslforfree”的壓縮檔,內含產生憑證所需的certificate.crt、private.key及ca_bundle.crt 3個公鑰憑證文件。
安裝到 IIS 的憑證必須是 *.PFX 的私鑰憑證檔案,但根據申請的管道不同,取得的憑證檔案格式會有所不同。我們後續繼續將這些檔案編譯為IIS所需的.PFX私鑰憑證。
Step 2:使用OpenSSL工具編譯憑證
在上面的步驟我們已經下載到產生憑證所需的3個公鑰檔案,在各種作業系統平台已有各種開源的編譯程式和工具,在NE-201內建的Windows 10環境下,我們可在Shining Light Productions這個網站下載所需的工具程式來編譯。
- 進入網頁後點選上方Products > Win32/Win64 OpenSSL內下載適合作業系統的程式版本,配合NE-201的作業系統,下載”
Win64 OpenSSL v1.1.0k Light”,本次範例我們將程式安裝於D:\OpenSSL-Win64。
- 安裝Win64 OpenSSL v1.1.0k Ligh之後,請將3個公鑰檔案複製到D:\OpenSSL-Win64\bin這個路徑內。
- 請按鍵盤的Windows(視窗)+R,輸入”CMD”按確定,開啟CMD(命令提示字元),把下方指令一次選取,按Ctrl+C複製,在CMD按Ctrl+V貼上,若您並非安裝於D:,請自行視實際安裝位置修改指令內容路徑並執行:
———-
D:
cd D:\OpenSSL-Win64\bin
openssl pkcs12 -export -in certificate.crt -inkey private.key -certfile ca_bundle.crt -out certificate.pfx
———-
- 系統會詢問兩次編譯私鑰的密碼,請牢記這組密碼,後續嵌入IIS時會使用,輸入兩次密碼後系統即會在D:\OpenSSL-Win64\bin內自動產生名為certificate.pfx的私鑰檔。
註1:若系統顯示缺少MSVCP120.dll這個檔案,請至https://www.microsoft.com/zh-TW/download/details.aspx?id=40784下載免費的Visual Studio 2013 的 Visual C++套件就可順利解決。
註2:若遺失密碼,只能使用公鑰文件重新編譯私鑰。
Step 3:匯入PFX憑證至IIS管理員
- 首先打開 IIS,選取左上角的localhost主機 (本機的名稱,ITE2NAS-xxxxxx),點兩下”伺服器憑證”,進入點選伺服器憑證後點選右上角的”匯入”。
- 選取存放PFX私鑰憑證檔的路徑,(本次範例為D:\OpenSSL-Win64\bin)
並輸入當時製作 PFX 私鑰憑證檔的密碼,即完成匯入作業。
註:若忘記製作私鑰憑證檔的密碼,只能重新製作.PFX私鑰
Step 4:在IIS站台嵌入SSL憑證
- 在IIS管理員內點選要嵌入憑證的站台,點選右邊的繫結 > 新增 > *將類型切換為HTTPS (此時連接埠會自動切換成443) > 將下方的SSL憑證選擇與DDNS相同的名稱(範例為 ite2naspage.powernas.com.tw)後點選確定,系統會有提示說有其他的站台已使用Port 443(PDM的核心組件),再按確定即完成嵌入SSL憑證的全部作業。
註1:如果要讓 HTTP 及 HTTPS 兩種網頁共存,就選擇新增 > 類型選擇 HTTPS,並在舊的HTTP網站(頁面)使用301轉址功能,使其跳轉到新的https網站對應頁面。
- 點選剛剛已嵌入憑證的站台,可以看見在右方動作列的”瀏覽”已新增了(您的DDNS) on *.443 (https)這個連結,點選後即可看到已加上SSL憑證的HTTPS網頁。
以上就是以ITE2 NAS 的Windows 10環境與IIS管理員為網站加上免費SSL憑證的教學,善用Windows 10原生的環境與資源,讓您在彈指之間架出您心目中的網站!