Установка сертификатов Let’s Encrypt на Windows Server
Для работы служб удаленного доступа Windows Server, таким как Remote Desktop Gateway и Remote Access VPN требуется требуется сертификат, выданный публичным удостоверяющим центром.
Сертификат используется для шифрования трафика между клиентом и сервером, а также для аутентификации сервера (не клиента). Можно использовать самоподписанный сертификат, но в таком случае вам придется устанавливать его на каждое устройство ваших пользователей.
Есть бесплатная альтернатива — сервис Let’s Encrypt, в котором можно бесплатно за несколько минут получить валидный сертификат.
Для работы с сервером сертификации необходимо загрузить клиент Win-Acme. Клиент распространяется бесплатно, исходный код доступен в GitHub.
Загрузите последнюю версию Win-Acme с сайта https://github.com/win-acme/win-acme/releases, вариант trimmed. Распакуйте архив на Windows сервере, где необходимо установить сертификат.
Установка сертификата для SSTP VPN
Перед установкой, убедитесь, что:
- адрес сервера указан в DNS
- на сервере установлена роль Direct Access and VPN (RAS)
Запустите скрипт
1 |
wacs.exe --target manual --host vpn.example.com --certificatestore My --installation iis,script --installationsiteid 1 --script "Scripts\ImportSSTP.ps1" --scriptparameters "{CertThumbprint}" |
где
1 |
vpn.example.com |
— адрес вашего сервера.
Установка сертификата для Remote Desktop Gateway
Перед установкой, убедитесь, что:
- адрес сервера указан в DNS
- на сервере установлена роль Remote Desktop Gateway
Запустите скрипт
1 |
wacs.exe --target manual --host rds.example.com --certificatestore My --installation iis,script --installationsiteid 1 --script "Scripts\ImportRDGateway.ps1" --scriptparameters "{CertThumbprint}" |
где
1 |
rds.example.com |
— адрес вашего сервера.
Обновление сертификатов
Обратите внимание, сертификат Let’t Encrypt выдается сроком на 3 месяца, но скрипт установки создает задачу в Task Scheduler для автоматического обновления.