SSL Zertifikat für IIS mit Certify

Heute schauen wir uns an wie wir unsere durch IIS gehosteten Webauftritte einfach mit einen Let’s Encrypt Zertifikat versehen können. Wir nutzen hierzu den Certify SSL Manager. Certify ist ein sehr einfach anzuwendendes Tool mit den wir Zertifikate anfordern, verwalten und zuweisen können.

Hier haben wir einen Windows Server 2019 mit installierten IIS Rollen. Die Ports 80 und 443 sind im Router bereits offen und unsere Test-Domäne weist auch schon auf unsere öffentliche IP.

Zunächst laden wir uns den Certify SSL Manager hier herunter und installieren selbigen.

Nach der Installation haben wir diesen Startbildschirm vor uns.

Als aller erstes müssen wir einen Account anlegen. Dazu klicken wir auf den Tab „Settings“ dann auf „Certificate Authorities“ und dann auf „New Accout“.

Hier müssen wir nur eine E-Mail-Adresse hinterlegen, den Bedingungen zustimmen und auf „Register Contact“ klicken.

Jetzt können wir oben Links auf „New Certificate“ klicken, den gemanagten Zertifikat einen Namen geben und den Domänennamen eingeben. Eine IIS Site können wir hier schon angeben aber das ist nicht erforderlich da wir das im Nachhinein alles direkt im IIS machen werden.

Wir wollen ein Wildcard Zertifikat um all unsere Subdomänen die wir anlegen mit dem gleichen Zertifikat absichern zu können. Dazu müssen wir den Domänennamen wie folgt eingeben:

*.HIERDOMÄNE.de

Dann klicken wir auf das grüne +

Certify weist uns darauf hin, dass wir eine Wildcard Domäne eingegeben haben und deshalb die DNS-Authentifizierung brauchen werden. Dass heißt wir werden später noch bei unseren Domain Provider einen TXT Eintrag setzen müssen. Ich nutze Strato und werde nachfolgend zeigen wie dass dorten funktioniert.

Außerdem fragt und Certify ob wir auch noch die nicht Wildcard variante unsrer Domäne (HIERDOMÄNE.de) hinzufügen wollen. Wir klicken auf „Ja“

Jetzt klicken wir rechts auf „Authorization“ und bei Challenge Type wählen wir „dns-01“ aus.

Für den Rest passen die Standarteinstellungen.

Jetzt können wir auf „Test“ oder „Request Certificate“ klicken. Dies wird aber fehlschlagen da wir erst die TXT Einträge setzen. Wir brauchen aber erst die Values dafür also klicken wir auf „Request Certificate“.

Jetzt prüft Certify unsere TXT Einträge. Wie gesagt kommt ein Fehler da diese noch nicht gesetzt sind. Wir klicken auf den Fehler und es öffnet sich ein Notepad Fenster eine Logdatei mit den benötigten Infos.

Hier markiert ist die in meinen Fall erforderliche Info. Der Value für den Eintrag wird bei euch aber natürlich anders sein.

Ich melde mich bei meinen Domänen Provider (bei mir wie gesagt Strato) an und gehe zur Domainverwaltung. Bei meiner Domäne klicke ich auf „Verwalten“ dann klappe ich die DNS Einstellungen aus und bei TXT Records klicke ich auf „verwalten“.

Jetzt erstelle ich einen neuen Eintrag mit den Typ „CNAME“

Präfix und Wert entnehme ich den vorhergehenden log.

Der TXT Eintrag ist somit gesetzt. Jetzt können wir in Certify nochmal auf „Request Certificate“ klicken. Jetzt sollte die Anforderung reibungslos ablaufen. Falls nicht den TXT Eintrag nochmal überprüfen.

Auf der Startseite von Certify sehen wir jetzt auch schon unser neues Zertifikat und auch wie lange es noch gültig ist. 90 Tage ist hierbei die aktuelle Standarddauer.

Wenn wir wieder unseren IIS öffnen und unter Serverzertifikate schauen sehen wir, dass Certify das Zertifikat bereits importiert hat. Jetzt können wir schon damit beginnen das Zertifikat zuzuweisen.

Und wir sehen, unsere Website ist jetzt verschlüsselt und mit unserem gültigen Zertifikat versehen.

Da wir ein Wildcard Zertifikat angefordert haben, können wir damit jetzt auch Subdomänen Zertifizieren. Wie zb. www.HIERDOMÄNE.de oder blog.HIERDOMÄNE.de.

Auch interessant: In diesen Artikel zeige ich euch wie ihr im IIS http Anforderungen automatisch an https weiterleiten lassen könnt.