IIS Configuratie
- Zorg ervoor dat minimaal het .NET framework 4.7 is geinstalleerd.
- Ga naar Computerbeheer (klik met je rechtermuisknop op de Start knop en kies Computerbeheer).
- Zoek in de sectie Services en toepassingen het onderdeel IIS-Beheer en klik hier op.
- Klik met de rechtermuisknop op Sites en kies Website toevoegen...
- Voer nu de gegevens in als volgt:
- Sitenaam: een zelf gekozen naam waar je de website aan herkent
- Fysiek pad: Het volledige pad naar de Maex Webservice. Vaak is dit een folder binnen de Maex folder genaamd ‘MaexWs’
- Poort: 80
- Hostnaam: De DNS naam waaronder de webservice beschikbaar gemaakt wordt. Bijvoorbeeld als u een domeinnaam testbedrijf.nl zou dit maexws.testbedrijf.nl kunnen worden. Let wel op, deze moet straks toegevoeg worden aan de DNS.
- Klik op Ok en de website is toegevoegd.
DNS instellen
Om de DNS in te kunnen stellen ben je 2 zaken nodig:
- Publiek IP die uitkomt bij de IIS server. Let op dat zowel poort 80 als 443 open moeten staan op de firewall van de router en ook binnen de Windows Firewall waar IIS op geinstalleerd is.
- Mogelijkheid om de DNS in te stellen.
Stel dat het publieke IP 1.2.3.4 is, dan moet hiervoor een A-record aangemaakt worden die overeenkomt met de ingestelde hostnaam bij de IIS configuratie.
Het aanmaken van een A-record wordt hier verder niet beschreven omdat dit simpelweg per provider erg kan verschillen. Vaak kan de provider verder helpen met de beschikbare documentatie online.
Een voorbeeld van een ingesteld A-record:
maexws.testbedrijf.nl. 60 IN A 1.2.3.4
Nadat de wijzigingen zijn doorgevoerd op DNS niveau, kan het even duren voordat deze actief zijn. Dit kan per provider varieren van 1 minuut tot 1 dag, maar vaak gaat dit vrij snel.
Test de wijzigingen voordat je begint met het installeren van het SSL/TLS certificaat, tijdens de verificatie is het namelijk noodzakelijk dat deze stap correct is ingesteld.
user@host:~$ ping maexws.testbedrijf.nl
PING maexws.testbedrijf.nl (1.2.3.4) 56(84) bytes of data
64 bytes from 16.106.90.34.ab.aprovider.com (1.2.3.4) icmp_seq=1 ttl=121 time=2.3ms
64 bytes from 16.106.90.34.ab.aprovider.com (1.2.3.4) icmp_seq=2 ttl=121 time=1.9ms
64 bytes from 16.106.90.34.ab.aprovider.com (1.2.3.4) icmp_seq=3 ttl=121 time=1.3ms
Als er een soortgelijk antwoord terug komt dan is de test geslaagd en gaan we verder met het installeren van een SSL/TLS certificaat.
SSL/TLS certificaat installeren
Er zijn een tal van mogelijkheden en aanbieders om aan een SSL certificaat te komen. Om het simpel te houden voor deze handleiding gaan wel Let’s Encrypt gebruiken.
Wat is Let's Encrypt?
“Let’s Encrypt is a free, automated, and open Certificate Authority.”
Om dit te installeren is er een handige tool gemaakt genaamd; Windows ACME Simple (WACS). Dit programma dient vanaf de opdrachtprompt van de IIS server uitgevoerd te worden.
In de meest minimale vorm toont het een lijst met de beschikbare virtual hosts binnen IIS. Op basis van een virtual host wordt er een certificaat aangemaakt en geinstalleerd binnen IIS.
Natuurlijk zijn er meer mogelijkheden, maar we houden het simpel.
- Zorg er tijdelijk voor dat poort 80 opengezet wordt voor binnenkomend verkeer. Dit is nodig om verificatie uit te voeren bij het aanvragen van het certificaat.
- Ga naar WACS op Github: https://github.com/PKISharp/win-acme/releases/latest
- Scroll helemaal naar onderen en kies bijvoorbeeld: win-acme.v2.0.8.356.zip (let op, versienummer kan afwijken)
- Download het bestand en pak het ergens uit.
- Open een command prompt als Administrator, ga naar het pad waar de zip is uitgepakt en typ in:wacs.exe
- Het programma wordt gestart en geeft een lijst van beschikbare opties weer.
- Kies optie N: Create new certificate (simple for IIS) en toets Enter
- Kies optie 1: Single binding of an IIS site en toets Enter *Er wordt nu een lijst weergegeven met beschikbare sites. Zoek de site maexws.testbedrijf.nl op, voer het bijbehorende nummer in en toets Enter
- Nadat de controle is uitgevoerd of de DNS naam ook daadwerkelijk bestaat moet er een e-mailadres opgegeven worden. Deze kan worden gebruikt om bijvoorbeeld aan te geven dat het tijd wordt om het certificaat te vernieuwen. Geef een geldig e-mail adres in en toets Enter.
Als alles goed is gegaan kan de Maex Webservice nu via https worden opgevraagd. Ga naar: https://maexws.testbedrijf.nl/Service1.asmx?wsdl om te testen of alles naar behoren werkt.