Как сделать бесплатный SSL-сертификат для сайта и IceCast на Windows Server 2022?

Question

[Мистер Бо]

У меня на облачном сервере стоит Windows Server 2022 и программа IceCast. Так же к серверу был привязан поддомен. После установки "Диспетчера служб IIS", поддомен был добавлен в список сайтов, с открытым *:80 портом. В настройках же IceCast, для открытия поддомена используется *:8000 порт. Только после того как я добавил его в открытые порты, в брандмауэре Windows, и запустил IceCast поддомен открывает без проблем: onair.moefm.ru:8000
Конечно, хорошо что все открывается, единственное хотелось бы сделать все немного лучше, запускать поддомен через https://..., но для этого нужен SSL-сертификат. Если посмотреть в настройках IceCast, то строки по SSL закрыты:

<!--
    <listen-socket>
        <port>8443</port>
        <ssl>1</ssl>
    </listen-socket>
    -->
   <!-- The certificate file needs to contain both public and private part.
             Both should be PEM encoded.
        <ssl-certificate>./icecast.pem</ssl-certificate>
   -->

Получается открыв их, добавить *:8443 порт в открытые и выпустить SSL-сертификат для поддомена - останется лишь прописать эти данные в icecast.pem. Но не совсем все получается.
Нашел видео по установке сертификата, единственное сертификат прописывается на добавленый сайт в IIS, но его данных я не вижу, чтобы прописать их в icecast.pem.
Пробовал загрузить Certbot 2.11.0, но в *.exe файле для установки его нет.
Подскажите как сделать SSL-сертификат для сайта и IceCast на сервере Windows Server 2022?

Answer 1

[ky0]

https://certifytheweb.com

Answer 2

[Sergey В.]

Для получения SSL сертификатов рекомендую эту программу: https://www.win-acme.com/
Подхватывает из IIS информацию о привязанных доменах, создаёт задачи на автообновление сертификата в дальнейшем.

Comments

[Мистер Бо]

Да, поддерживаю ваше решение! Я выше привел пример видео в котором показывают откуда скачать, и как сделать сертификат. Пробовал на своем да, все получается. Но есть один нюанс, на поддомен этот сертификат ставится, но как данные сертификата прописать в icecast.pem для IceCast? Надо как-то выгрузить полностью сертификат с IIS...

[Sergey В.]

Мистер Бо, не знаком с IceCast, не знаю как там прописывать сертификат. Но могу сказать, что SSL сертификаты для IIS прописываются в списке доверенных сертификатов Windows, откуда их можно экспортировать.

[Роман Безруков]

Мистер Бо, сертификат экспортируется хоть из IIS, хоть из локального хранилища сертификатов - в формате PFX (PKCS12), при этом закрытый ключ сертификата должен быть указан как экспортируемый...
PEM - это другой формат сертификата, в который надо сконвертировать полученный ранее PFX, назвать его icecast.pem, после чего положить в папку IceCast

[Мистер Бо]

Роман Безруков, подскажите где можно без проблем конвертировать сертификаты, *.pfx в *.pem

[Роман Безруков]

Мистер Бо, например, с помощью OpenSSL или онлайн-сервисов (гугл в помощь)...

[Мистер Бо]

Роман Безруков, запустил win-acme, вроде сделал сертификат, для одного домена, автоматически дописался порт 443, но раздела экспорта я не вижу, возможно его нужно добавить как дополнительный компанент для IIS

[Роман Безруков]

Мистер Бо, странно, что у вас нет пункта "Экспорт..."

у меня экспорт есть

другой способ - можно выбрать "Вид...", откроется сертификат, на вкладке "Состав" нажать кнопку "Копировать в файл..." и экспортировать сертификат с нужными опциями. Либо экспортировать через консоль "Сертификаты-локальный компьютер" (certlm.msc)

[Мистер Бо]

Роман Безруков, нашел статью по экспорту закрытых ключей "Экспорт сертификатов в Windows с закрытым ключом" пригодиться для работы с win-acme и IIS, чтобы открыть строку экспорта ключей.

[Мистер Бо]

Мистер Бо, все получилось благодаря win-acme поравил в файле "settings.json" строку "PrivateKeyExportable": true, экспортировал и установил его в систему. А благодаря сайту https://ru.rakko.tools конвертировал, добавил в файл *.pem, переместил в папку IceCast. Запустил и все работает https://onair.moefm.ru.
Вот только один вопрос, с сейртификатом на сайт с доменом все прошле без проблем, но сам сервер пройдясь по ip-адресу его нет. Можно как-то добавить сертификат и на сам сервер!?