SSL for Free 申請步驟

之前看 Will 保哥的線上直播【申請 Let’s Encrypt 免費 SSL 憑證一次就上手】，最後也是使用 SSL For Free 作申請範例，以前申請這個得時候，不是使用保哥示範的驗證網域來做驗證，最近在測試一些系統的時候，申請使用網域驗證，在此做個紀錄。

要申請免費的 Domain Validated SSL (DV SSL)，先到 SSL For Free 首頁，填入欲申請的網域

接著選取 Manual Verification 以使用上傳檔案驗證網域，畫面會出現步驟說明以及 Manually Verify Domain 按鈕

按下上述的 Manually Verify Domain 按鈕，會出現上傳驗證檔案的教學步驟，要注意在完成檔案上傳到網站後且確認連結正常，才可以下載憑證，不然連續失敗的話，會暫時停止申請資格。

• 先下載驗證檔案
• 建立資料夾，資料夾名稱叫做 .well-know ，這名稱使用滑鼠右鍵會無法建立，會出現下圖警示；
  
  建立方式有兩個：
  • 使用指令建立mkdir .well-know
  • 滑鼠右鍵新增資料夾時，資料夾名稱命名的時候最後多加一個 . ，變成 .well-know. 這樣就可以建立了。
• 在 .well-know 資料夾內再度建立資料夾，資料夾名稱叫做 acme-challenge
• 將驗證檔案放到 acme-challenge 資料夾內

接著將資料夾 .well-know 放到申請的網站上，這邊會碰到一個問題，那就是 IIS 無法存取無附檔名連結，解決方式是如下設定 web.config

<?xml version="1.0" encoding="UTF-8"?>
<configuration>
    <system.webServer>
        <validation validateIntegratedModeConfiguration="false" />
        <staticContent>
            <mimeMap fileExtension="." mimeType="text/json" />
            <mimeMap fileExtension="*" mimeType="text/plain" />
        </staticContent>
    </system.webServer>
    <system.web>
        <authorization>
            <allow users="*" /> </authorization>
    </system.web>
</configuration>

這時候回到如下的網頁畫面，這時候可以點擊 Download SSL Certificate

點下 Download SSL Certificate 後，網站開始產生憑證；之後說明此憑證只有 90 天的期限，時間到了之後可以重新申請；

另外會說明如何轉換憑證檔案格式，例如：IIS 需要 pfx 格式，可以透過 openssl 工具進行轉換(此工具 git 已經內建，請搜尋各自的 git 安裝路徑下usr>bin即可找到 openssl )，然後設定憑證密碼即可。

openssl pkcs12 -export -out "certificate_combined.pfx" -inkey "private.key" -in "certificate.crt" -certfile ca_bundle.crt

轉換完之後，就可以安裝憑證了；憑證安裝教學在舊部落格寫過了，就不贅述了。

參考資料

• 保哥 申請 Let’s Encrypt 免費 SSL 憑證一次就上手
• 保哥 Let’s Encrypt 簡報