IIS 웹 서버/RDS에 무료 Let's Encrypt TLS/SSL 인증서 설치

IIS 관리자에서 사이트 바인딩을 엽니다. 웹사이트 설정 및 Let's Encrypt Authority X3에서 발급한 인증서를 사용하는지 확인 .

웹 호스팅 -> 인증서 아래의 컴퓨터 인증서 저장소에서 Let's Encrypt IIS 인증서를 찾을 수 있습니다. .

Windows ACME Simple은 Windows 작업 스케줄러(win-acme-renew (acme-v02.api.letsencrypt.org) ) 인증서를 자동으로 갱신합니다. 작업은 매일 시작되며 인증서 갱신은 60일 후에 수행됩니다. 이 작업은 다음 명령을 실행합니다.

C:\inetpub\letsencrypt\wacs.exe --renew --baseuri "https://acme-v02.api.letsencrypt.org"

동일한 명령을 사용하여 Let's Encrypt 인증서를 수동으로 업데이트할 수 있습니다.

IIS URL 재작성을 사용하여 HTTP에서 HTTPS로 리디렉션

들어오는 모든 HTTP 트래픽을 HTTPS 웹사이트 URL로 리디렉션하려면 Microsoft URL 재작성 모듈 을 설치하십시오. (https://www.iis.net/downloads/microsoft/url-rewrite) 사이트 설정에서 SSL 필요 옵션이 비활성화되어 있는지 확인하십시오. 이제 재작성 규칙을 사용하여 web.config에서 리디렉션을 구성합니다.

<system.webServer>
<rewrite>
<rules>
<rule name=”HTTP to HTTPS Redirect” enabled=”true” stopProcessing=”true”>
<match url=”(.*)” />
<conditions>
<add input=”{HTTPS}” pattern=”off” ignoreCase=”true” />
</conditions>
<action type=”Redirect” url=”https://{HTTP_HOST}/{R:1}” appendQueryString=”true” redirectType=”Permanent” />
</rule>
</rules>
</rewrite>
</system.webServer>

IIS 관리자 GUI를 통해 URL 재작성 확장을 사용하여 트래픽 리디렉션을 구성할 수도 있습니다. 사이트 선택 -> 사이트 이름 -> URL 재작성 .

새 규칙 만들기 규칙 추가 -> 빈 규칙 .

규칙 이름을 지정하고 다음 매개변수 값을 변경하십시오.

• 요청된 URL :패턴과 일치
• 사용 :정규 표현식
• 패턴 :(.*)

조건에서 섹션에서 논리적 그룹화 변경 :모두 일치 및 추가 클릭 . 다음 설정을 지정하십시오.

• 조건 입력: {HTTPS}
• 입력 문자열 확인: 패턴 일치
• 패턴: ^OFF$

이제 Action 블록에서 다음을 선택하십시오.

• 작업 유형: 리디렉션
• 리디렉션 URL :https://{HTTP_HOST}/{R:1}
• 리디렉션 유형 :영구(301)

브라우저를 열고 HTTP 주소로 사이트를 열어보십시오. HTTPS URL로 자동 리디렉션되어야 합니다.

RDS 게이트웨이 및 웹 액세스에서 Let's Encrypt 인증서 사용

RDS Gateway 또는 RDS Web Access를 사용하여 외부 사용자를 회사 네트워크에 연결하는 경우 자체 서명된 인증서 대신 Let's Encrypt의 신뢰할 수 있는 SSL 인증서를 사용할 수 있습니다. Windows Server에서 원격 데스크톱 서비스를 보호하기 위해 Let's Encrypt 인증서를 올바르게 설치하는 방법을 고려하십시오.

그런 다음 위에서 설명한 대로 RD 게이트웨이 서버에서 wacs.exe를 실행합니다. 원하는 IIS 사이트를 선택합니다(일반적으로 기본 웹 사이트 . Let's Encrypt가 새 인증서를 발급하여 IIS 웹사이트에 바인딩하면 자동 인증서 갱신 작업이 작업 스케줄러에 나타납니다.

이 인증서를 수동으로 내보내고 SSL 바인딩을 통해 필요한 RDS 서비스에 바인딩할 수 있습니다. 그러나 Let's Encrypt 인증서가 갱신되면 60일마다 수동으로 이 단계를 수행해야 합니다.

Let's Encrypt 인증서를 업데이트한 후 PowerShell 스크립트를 사용하여 SSL 인증서를 RDS 게이트웨이에 자동으로 바인딩할 수 있습니다.

win-acme에 준비된 PowerShell 스크립트가 있습니다. 프로젝트 – ImportRDGateway.ps1 (https://github.com/PKISharp/win-acme/tree/master/dist/Scripts ), 원격 데스크톱 서비스에 대해 선택한 SSL 인증서를 설치할 수 있습니다. 이 스크립트의 주요 단점은 새 인증서의 지문을 수동으로 지정해야 한다는 것입니다.

ImportRDGateway.ps1 <certThumbprint>

지정된 IIS 사이트에서 인증서 지문을 자동으로 가져오려면 수정된 스크립트 ImportRDGateway_Cert_From_IIS.ps1를 사용하세요. (ImportRDGateway.ps1 기반).

이 스크립트를 수동으로 실행할 수 있습니다.

powershell -File ImportRDGateway_Cert_From_IIS.ps1

RDS 게이트웨이가 인덱스 0인 IIS "기본 웹 사이트"에서 실행되는 경우 변경 없이 스크립트를 사용할 수 있습니다.

Import-Module WebAdministration
Get-ChildItem IIS:Sites|ft -AutoSize

ID 열은 사이트의 색인을 표시하고 여기서 1을 뺍니다. 결과 색인은 0 대신 지정해야 합니다. PowerShell 스크립트의 27행:

$NewCertThumbprint = (Get-ChildItem IIS:SSLBindings)[0].Thumbprint

이제 win-acme-renew를 엽니다. 스케줄러 작업 및 작업 탭에서 SSL 인증서를 업데이트한 후 ImportRDGateway_Cert_From_IIS.ps1 스크립트를 실행하는 새 작업을 추가합니다.

PowerShell 실행 정책을 변경하지 않으려면 다음 명령을 사용하여 스크립트를 실행할 수 있습니다.

PowerShell.exe -ExecutionPolicy Bypass -File c:\inetpub\letsencrypt\ImportRDGateway_Cert_From_IIS.ps1

이제 SSL 인증서를 RDS에 바인딩하는 스크립트가 Let's Encrypt 인증서가 갱신된 직후에 실행됩니다. 이 경우 RD 게이트웨이 서비스는 다음 명령을 사용하여 자동으로 다시 시작됩니다.

Restart-Service TSGateway

[aler] TSGateway 서비스가 다시 시작되면 현재 모든 사용자 세션의 연결이 끊어지므로 60일에 한 번씩 인증서 갱신 작업 실행 빈도를 변경하는 것이 좋습니다.[/alert]