終於手動成功在IIS上面安裝Let’s Encrypt SSL

最近因為公司組織架構的關係，SSL都要等另一分部的同仁來進行設定，因為只有他有權限去相關主機進行設定，偏偏又有其他網域主機服務需要SSL憑證，只好就先申請Let’s Encrypt SSL來安裝，等該同仁有空再換成購買的SSL憑證。

在安裝過程當中不管透過甚麼方式都無法順利進行安裝(自動驗證)，只好使用ZeroSSL並且選擇手動安裝，即便如此在驗證的過程當中也是完全無法自動驗證，最後只好透過使用MAIL驗證的方式才驗證成功，即便如此在安裝好SSL後，想要驗證是否順利安裝依舊無法驗證，看來應該是跟公司防火牆有極大的關係，偏偏防火牆又完全沒有任何阻擋的LOG，一整個就是鬼打牆啊！

順便記錄一下安裝過程的幾個重要步驟，申請憑證的過程就不多說了這在網路上一堆，主要就是要將申請的憑證安裝到IIS主機上面去，一般申請SSL後核發的檔案會有三個分別是certificate.crt、ca_bundle.crt、private.key，但是這三個檔案是無法直接安裝在IIS上面的，因為IIS是吃.pfx的檔案格式，因此我們需要先將檔案轉換成pfx才行。

要轉換檔案需要先下載OpenSSL來替我們進行檔案的轉換，進到OpenSSL網站後看你作業系統是32位元還是64位元來下載對應的檔案並安裝。

安裝完成後打開OpenSSl的程式。

開啟後輸入以下指令接換到SSL檔案所存放的資料夾路徑，請自行替換路徑位置。

cd C:\SSL

接著再輸入以下指令，檔案名稱請自行替換，注意在這過程當中會需要你設定密碼，這個等等在IIS匯入憑證的時候會需要你輸入密碼來驗證。

openssl pkcs12 -export -in certificate.crt -inkey private.key  -certfile ca_bundle.crt -out sample.pfx

指令執行後就會在上面指定的目錄資料夾當中看到產生的sample.pfx檔案了。

接下來在命令視窗中輸入以下指令開啟主控台

MMC.exe

在主控台畫面點選左上角的檔案=>新增/移除嵌入式管理單元。

找到憑證這個單位並將其移到右邊完成後按下確定。

接著在主控台憑證單元中，找到中繼憑證授權單位用滑鼠右鍵點選所有工作=>匯入將剛剛的pfx檔案匯入。

接著開啟IIS主機在設定部分點選伺服器憑證

在右邊找到匯入的選項點擊匯入

接著匯入pfx的檔案並輸入先前產生pfx檔案時所設定的密碼最後按下確定。

完成匯入後選擇要安裝SSL的網站並點選右邊的繫結開啟設定視窗。

接著點選新增開起站台繫結設定視窗，類型改為https，主機名稱請輸入自己的網域名稱，SSL憑證選擇剛剛所匯入的憑證，最後按下確定就完成SSL設定這時開啟網站就會啟用SSL了。