Instalar certificado Let’s Encrypt en Windows Server

Si has instalado Windows para tener tus páginas web escritas en ASP o .NET (o incluso PHP) seguramente querrás que estas webs estén bajo HTTPS para que las webs sean más seguras.

Desde hace varios años existe el servicio de Let’s Encrypt que permite generar certificados SSL de forma gratuita y que se renuevan cada 90 días.

Para instalarlo en Windows Server -en sus versiones 2012, 2016 o 2019) hay que seguir los siguientes pasos que se indican a continuación.

Comprobaciones previas

Para generar el certificado SSL en nuestro servidor, tenemos que tener en cuenta que el dominio debe estar apuntando a nuestro servidor. Puedes encontrar en el siguiente enlace como configurar la Zona DNS de tu dominio con nuestros NS. Debes tener presente también, que si el dominio tiene algún alias también debe de tener un registro en la zona DNS (por ejemplo, para que responda también con www.).

Por lo que la configuración de nuestro dominio en IIS debe de tener estos Bindings configurados (no es necesario añadir www, es opcional pero también recomendable):

Para generar el certificado usaremos win-acme y nos podemos descargar desde la página de release del repositorio de GitHub. Nos tendremos que descargar la última versión disponible (evitad versiones Beta). Por ejemplo, nosotros nos hemos descargado la versión 2.0.10.444. Descargad la versión para Windows (Nada de Azure, Dreamhost o Route53).

Para ejecutar este cliente de Let’s Encrypt, seguramente nos será necesario instalar .Net Framework 4.8. Por lo que si no lo tienes instalado, puedes descargarlo desde esta web.

Con todo esto, ya podemos instalar el certificado SSL de Let’s Encrypt.

Instalación de Certificado

Lo primero que tenemos que hacer es ejecutar el ejecutable wacs.exe como administrador (haciendo clic en Run as administrator):

El siguiente paso será seguir las instrucciones que se indican en la ventana que se abre.

Seleccionaremos la opción N para crear un nuevo certificado para IIS:

Continuamos, y marcamos la opción 2, que es para crear un certificado para todos los bindings de IIS (con y sin www):

Tendremos que escoger el dominio a cual queremos crear el certificado (si tenéis más dominios en IIS debería de aparecer una lista más larga, nosotros para hacer este tutorial únicamente tenemos un dominio).

Y finalmente, seleccionamos el dominio principal al que queremos redirigir (por ejemplo que de www redirija sin www), en este caso escogemos la opción 2:

Y luego nos pedirá que pongamos un e-mail para notificarnos de la renovación, si queremos leer los términos de uso y si los aceptamos. Tras esto empezará a crear el certificado:

Y con esto ya tenemos el certificado creado. Si ahora volvemos a revisar nuestros Bindings veremos que se habrán creado dos más (para www y sin www) y esta vez apuntando al puerto 443. También podremos revisar que el certificado se ha creado correctamente con esta web: https://www.sslshopper.com/ssl-checker.html

Para la renovación, el cliente WACS crea una tarea el el servidor para que se vaya renovando cada día a las 9 de la mañana.

To write a comment on this article, fill out the form below. Fields marked with an asterisk (*) are required.