為您的網站加上 SSL憑證 ，成為HTTPS網頁

上一篇文章我們提到了品牌商家、中小企業、或是個人工作室除了可利用ITE2 NAS進行資料備份，更可利用詮力科技的行動網頁平台服務快速建立宣傳網頁之外，也可使用Mobirise這款免費軟體快速的建立各種精美的網頁，並且利用Windows 10的IIS(Internet Information Server)管理員，讓ITE2 NAS快速搖身一變成為WEB伺服器主機，並搭配ITE2 2Bay NAS：NE-201內PDM(Power Data Manager)的DDNS功能建起對外連接的橋樑，讓網站可以簡易又快速地發佈出去。今天就讓我們來研究如何為您在NE-201上建立的網站申請並SSL憑證，讓網站更安全之餘，也讓客人的信賴感更上一層樓吧!  

什麼是 SSL 憑證? 又有什麼作用呢? SSL憑證 (安全通訊端階層) 是一種數位證書，用來驗證網站的身份，並將資料加密，然後傳送到伺服器。而憑證就像是電子身分證，會在網路進行作業時於線上建立實體的認證。當網路使用者嘗試將機密資訊傳送至網頁伺服器時，使用者的瀏覽器會存取伺服器的數位憑證並建立安全連線，也就是所謂的HTTPS連線。而基於安全性的考量，知名的google搜尋引擎偏好使用HTTPS 的加密網站，並會提高其在搜尋結果中的排名。因此安裝SSL憑證不僅可保護您的客戶安全，更能為精心製作的網頁帶來更多曝光率。  

在早期的Chrome版本，進入HTTPS網頁時可以發現在瀏覽器的網址旁邊可以看到綠色鎖頭的icon來提醒使用者此網站已安裝SSL憑證(也就是俗稱的加鎖頭)，但在目前Windows環境的瀏覽器中，Chrome 75版和Edge 17版已將鎖頭以灰色標示，而Firefox 67版，以及Opera 62版目前仍保留綠色的鎖頭標示，想看綠色鎖頭的朋友們可以試著在Firefox和Opera瀏覽器上瀏覽已取得SSL的網頁看看喔。  

如何為自己的網站申請免費的SSL憑證 上面提到了為網站加上SSL憑證的各種好處，接下來就為大家介紹如何為您製作的網站申請並安裝免費的SSL憑證吧! 以下就以知名的”SSL For Free” 這個免費的SSL憑證申請平台為各位說明如何申請憑證。  

Step 0：前置作業 - 設定DDNS > 在IIS新增站台 > 確定DDNS可正常外連

1. 首先請參照先前的教學文章，在PDM > 設定 > 網路管理 > DDNS設定 內設定好要給您的網站使用的DDNS名稱(本次DDNS皆以ite2naspage.powernas.com.tw為例)，以及在IIS管理員的”站台”新增一個網站，並在”繫結”的主機名稱內填入先前已在PDM內設定好的DDNS名稱，並將您家中或公司的Router設定好開啟Port 80 & Port 443，確定可以正常連線。

Step 1：通過認證，並下載公鑰檔

1. 請點選 SSL For Free 的網址：https://www.sslforfree.com，將您要申請的DDNS填入中央的位置後，點選右邊的Create Free SSL Certificate(建立免費的SSL憑證)。

1. 接下來SSL For Free 會透過以下三種方式確認該網域是您所擁有，才會發出憑證。分別為自動FTP 驗證、手動(置入檔案)驗證、手動DNS 驗證，可自行選擇方便的認證方式。本次範例以網頁中央的”Manual Verification”(手動驗證)為主。

1. 在您的網域底下建立一個 /.well-known/acme-challenge/ 路徑。

以本次範例為例，路徑為D:\ITE2\Homes\admin\Home\ite2naspage\.well-known\acme-challenge。

因為Windows的檔案名稱命名限制，無法建立以dot符號為開頭的”.well-known”的資料夾名稱，且會顯示”您必須輸入檔名”錯誤訊息，此時只要在原本要輸入的資料夾名稱後面加上一個dot符號，使其變成”.well-known.”就可以順利建立囉! 或是使用CMD(命令提示字元)直接建立資料夾。    

1. 點擊圖中的 Download File #1 下載由字串構成的驗證檔。

1. 在IIS的localhost > MINE類型 > 新增MINE類型 > 副檔名請輸入一個dot符號，MINE類型請輸入text/plain，按”確定”新增類型。

1. 把步驟3下載的驗證檔放進剛剛建立的acme-challenge資料夾內。

1. 點選SSL For Free網頁下方的驗證連結，驗證上傳是否成功及路徑是否暢通，如果可以看到瀏覽器顯示一串字串代表上傳及路徑一切正常。

1. 點選Download SSL Certificate(下載SSL憑證)，進入Certificate Successfully Generated(憑證產生成功)頁面，因免費憑證只有90天有效期，可填入您的電子郵件信箱，當憑證快到期時讓系統會提醒您進行更新。點選下方Download All SSL Certificate Files即可下載名為”sslforfree”的壓縮檔，內含產生憑證所需的certificate.crt、private.key及ca_bundle.crt 3個公鑰憑證文件。

  安裝到 IIS 的憑證必須是 *.PFX 的私鑰憑證檔案，但根據申請的管道不同，取得的憑證檔案格式會有所不同。我們後續繼續將這些檔案編譯為IIS所需的.PFX私鑰憑證。  

Step 2：使用OpenSSL工具編譯憑證

在上面的步驟我們已經下載到產生憑證所需的3個公鑰檔案，在各種作業系統平台已有各種開源的編譯程式和工具，在NE-201內建的Windows 10環境下，我們可在Shining Light Productions這個網站下載所需的工具程式來編譯。

1. 進入網頁後點選上方Products > Win32/Win64 OpenSSL內下載適合作業系統的程式版本，配合NE-201的作業系統，下載”

Win64 OpenSSL v1.1.0k Light”，本次範例我們將程式安裝於D:\OpenSSL-Win64。

1. 安裝Win64 OpenSSL v1.1.0k Ligh之後，請將3個公鑰檔案複製到D:\OpenSSL-Win64\bin這個路徑內。

1. 請按鍵盤的Windows(視窗)+R，輸入”CMD”按確定，開啟CMD(命令提示字元)，把下方指令一次選取，按Ctrl+C複製，在CMD按Ctrl+V貼上，若您並非安裝於D：，請自行視實際安裝位置修改指令內容路徑並執行：

---------- D: cd D:\OpenSSL-Win64\bin openssl pkcs12 -export -in certificate.crt -inkey private.key  -certfile ca_bundle.crt -out certificate.pfx ----------  

1. 系統會詢問兩次編譯私鑰的密碼，請牢記這組密碼，後續嵌入IIS時會使用，輸入兩次密碼後系統即會在D:\OpenSSL-Win64\bin內自動產生名為certificate.pfx的私鑰檔。

註1：若系統顯示缺少MSVCP120.dll這個檔案，請至https://www.microsoft.com/zh-TW/download/details.aspx?id=40784下載免費的Visual Studio 2013 的 Visual C++套件就可順利解決。 註2：若遺失密碼，只能使用公鑰文件重新編譯私鑰。  

Step 3：匯入PFX憑證至IIS管理員

1. 首先打開 IIS，選取左上角的localhost主機 (本機的名稱，ITE2NAS-xxxxxx)，點兩下”伺服器憑證”，進入點選伺服器憑證後點選右上角的”匯入”。

1. 選取存放PFX私鑰憑證檔的路徑，(本次範例為D:\OpenSSL-Win64\bin)

並輸入當時製作 PFX 私鑰憑證檔的密碼，即完成匯入作業。 註：若忘記製作私鑰憑證檔的密碼，只能重新製作.PFX私鑰  

Step 4：在IIS站台嵌入SSL憑證

1. 在IIS管理員內點選要嵌入憑證的站台，點選右邊的繫結 > 新增 > *將類型切換為HTTPS (此時連接埠會自動切換成443) > 將下方的SSL憑證選擇與DDNS相同的名稱(範例為 ite2naspage.powernas.com.tw)後點選確定，系統會有提示說有其他的站台已使用Port 443(PDM的核心組件)，再按確定即完成嵌入SSL憑證的全部作業。

註1：如果要讓 HTTP 及 HTTPS 兩種網頁共存，就選擇新增 > 類型選擇 HTTPS，並在舊的HTTP網站(頁面)使用301轉址功能，使其跳轉到新的https網站對應頁面。

1. 點選剛剛已嵌入憑證的站台，可以看見在右方動作列的”瀏覽”已新增了(您的DDNS) on *.443 (https)這個連結，點選後即可看到已加上SSL憑證的HTTPS網頁。

  以上就是以ITE2 NAS 的Windows 10環境與IIS管理員為網站加上免費SSL憑證的教學，善用Windows 10原生的環境與資源，讓您在彈指之間架出您心目中的網站！