Введение
Сегодня защита информации в сети главная цель владельцев интернет-ресурсов, так как это внушает доверие со стороны посетителей. Защита личных паролей посетителей осуществляется с помощью наличия у сайта или другого ресурса, доступного по протоколу https сертификата TLS/SSL. Сертификат гарантирует защиту передаваемых данных между клиентом и сервером от атак злоумышленников, которые попытаются перехватить ценную информацию. Существует две разновидности сертификатов, первые выдаваемые на платной основе с имеющимся сроком годности, вторые бесплатные, которые выпускаются некоммерческим центром криптографической сертификации Let’s Encrypt. При этом стоит заметить, что между ними явно заметных отличий в функциональных возможностях нет. При этом сертификаты выпускаются в авто режиме с помощью, предоставляемого API, но имеют ограничение на срок использования, который равен девяносто дней. Также на один домен можно выпустить только 50 сертификатов в неделю. Это невесомые ограничения, устраняющиеся простым выпуском нового SSL по заданному расписанию планировщика.
Получение и установка Let’s Encrypt сертификата для 1С:Предприятие
Самый простой вариант сгенерировать новый SSL – это использовать специальную программу WACS (windows acme simple), которая работает в консольном режиме. Программа проста в использовании и дает возможность выпустить и присвоить сертификат одному из развернутых на веб-сервере IIS сайту или ресурсу, в данном случае это информационная база 1С. Первым делом, необходимо скачать программу-мастер для выпуска SSL от Let’s Encrypt. Утилита является open source проектом, который доступен на GitHub. Переходим на страницу проекта и скачиваем файл:
win-acme.v2.1.17.1065.x64.pluggable.zip.
После скачивания архив необходимо распаковать в корневом каталоге веб-сервера IIS в папке letsencrypt (C:\interpub\letsencrypt). Последняя папка создается вручную, при создании и распаковки файлов утилиты WACS могут возникнуть ошибки с правами доступа. Необходимо назначить полный доступ пользователю операционной системы к папке interpub.
Далее, когда файлы программы были распакованы в нужный каталог, запускаем командную строку с правами администратора и в cmd переходим в папку letsencrypt, после чего запускаем файл wacs.exe. Введите последовательно следующие команды:
- cd C:\inetpub\letsencrypt;
- wacs.exe.
В командной строке запустится интерактивное меню программы, в котором будут осуществляться манипуляции по выпуску и привязки нового сертификата SSL от Let’s Encrypt к нашей информационной базе, опубликованной на веб-сервере IIS.
В меню необходимо ввести ключ N – Create certificate (default settings), чтобы перейти к созданию сертификата. Поскольку сертификат будет создаваться для информационной базы 1С, тогда нужно привязать доменное имя, например, www.demo.ru к ip-адресу, где опубликована база. А после сделать привязку стандартного пула приложений IIS к данному узлу. Ниже на рисунке показан процесс привязки узла к стандартному пулу.
После нажатия в командной строке ключа “N” утилита предложит выбрать один из найденных пулов приложений веб-сервера IIS, на котором опубликована база. Далее нужно ввести ключ «A» (pick “all” bindings), чтобы найти все имеющиеся привязанные к найденному пулу узлы.
Отобразится найденное доменное имя информационной базы, после чего необходимо выбрать нужный ресурс и ввести «Y», чтобы продолжить. Процесс генерации нового SSL сертификата полностью автоматизирован. Программа будет предлагать выполнить определенные действия, на которые требуется подтверждение вводом, либо символа «Y» (Да), либо «N» (Нет). Так, например, первое действие, это открытие для ознакомления настоящего абонентского соглашения. После ознакомления с соглашением, необходимо указать действующий email адрес, который будет использоваться для отправки на него оповещений, связанных с проблемами сертификата.
Ввод почтового ящика является заключительным шагом, после чего запуститься процесс создания сертификата. Сначала запустится режим SelfHosting, который выполнит валидацию http-01 validation. Чтобы данное действие было выполнено без ошибок нужно, чтобы в качестве DNS выбранного домена был указан ip машины, где развернут веб-сервер. После завершения генерации, сертификат и его закрытый ключ будут автоматически помещены в каталог:
C:\users\%username%\appdata\roaming\letsencrypt-win-simple.
Также утилита в автоматическом порядке сразу установит новый сертификат и привяжет к нужному ресурсу. Используя стандартную программу «Сертификаты», можно также открыть SSL сертификат по пути «Размещение веб-служб»-«Реестр»-«Сертификаты».
Помимо генерации SSL утилита WACS автоматически создаст правило для планировщика Windows, чтобы осуществлялось автоматическое продление сертификата. Команда, выполняющая обновление и прописываемая в планировщике выглядит следующим образом:
C:\inetpub\letsencrypt\wacs.exe --renew --baseuri https://acme-v02.api.letsencrypt.org
На этом получение бесплатного сертификата от центра сертификации Let’s Encrypt завершено, теперь опубликованную конфигурацию на веб-сервере IIS можно запускать по защищенному протоколу https. На этом статья подошла к концу, я с Вами прощаюсь, до новых встреч!
