Windows Server (IIS) Üzerinde Let’s Encrypt SSL ve Otomatik Yenileme (win-acme ile)

Let’s Encrypt, web siteleri için ücretsiz ve otomatikleştirilebilir SSL/TLS sertifikaları sağlar. Windows tarafında en pratik yöntem win-acme (wacs.exe) aracıdır; ACME protokolüyle sertifika alır, IIS’e bağlar ve Task Scheduler üzerinde yenilemeyi planlar.

Gereksinimler

• Windows Server 2016+ (veya 2012 R2 güncel)

• IIS kurulu ve siteniz bağlanmış durumda

• Alan adınız sitenize çözülüyor olmalı (A/AAAA kaydı)

• HTTP (80) ve HTTPS (443) erişimi açık

Kurulum adımları

1. win-acme indirin

   • En son sürümü indirip sunucuda ör. C:\win-acme\ klasörüne çıkarın. Dosya: wacs.exe.

2. IIS için etkileşimli kurulum

   • Yönetici PowerShell/Command Prompt:

     C:\win-acme\wacs.exe
     

   • Menüden:

     • Create certificate (full options) seçin.

     • Single veya Multiple bindings (SNI dâhil) seçin.

     • Doğrulama için HTTP-01 challenge → IIS seçin (wacs gerekli dosyayı otomatik yerleştirir).

     • Sertifika deposu: varsayılan Windows Certificate Store.

     • IIS binding: otomatik güncelleme Yes.

     • Yenileme görevi: Windows Task Scheduler’da oluşturulsun.

3. URL Rewrite ile HTTP→HTTPS yönlendirme

   • IIS’te site > URL Rewrite > Add Rule(s) > Blank rule

   • Koşul: {HTTPS} = off

   • Eylem: Redirect → https://{HTTP_HOST}/{R:0} → Permanent (301).

   • www/non-www tercihinize göre ek kural tanımlayın.

4. Güvenli şifre paketleri ve TLS ayarları (önerilen)

   • IIS Crypto veya grup ilkeleriyle TLS 1.2/1.3 öncelik verin, zayıf şifre paketlerini kapatın.

   • HSTS etkinleştirmek için Custom HTTP Response Headers’a:

     Strict-Transport-Security: max-age=31536000; includeSubDomains; preload
     

     (Önce tüm HTTP erişiminin kalıcı olarak HTTPS’e yönlendiğinden emin olun.)

Tek komutla yenileme (sessiz mod)

Var olan bir yenileme kuralını kontrol etmek için:

C:\win-acme\wacs.exe --renew --baseuri https://acme-v02.api.letsencrypt.org/

Task Scheduler bunu genelde günde bir kez dener; sertifika 30 gün kalana kadar yeni deneme yapmaz.

Sık karşılaşılan durumlar

• Port 80 kapalı: HTTP-01 doğrulaması başarısız olur. Geçici açın veya DNS-01 destekleyen bir eklenti kullanın.

• Birden fazla site/SNI: win-acme, tüm host header’ları tek bir SAN sertifikada toplayabilir.

• Wildcard (*.alanadiniz.com): DNS-01 gerekir; DNS sağlayıcınızın API’si varsa win-acme eklentileriyle otomatikleştirilebilir.

• Özel ara sunucu/CDN: Doğrulama dosyasının CDN tarafından cache’lenmesini engelleyin ya da “origin bypass” kuralı ekleyin.

Bakım ve denetim

• Sertifikaları Certificates (Local Computer) > Personal > Certificates altında görebilirsiniz.

• Yenileme günlükleri C:\ProgramData\win-acme\acme-v02.api.letsencrypt.org\Log dizinindedir.

• Değişikliklerden sonra IISReset gerekli değildir; binding güncellemesi anlık uygulanır.

Sonuç
win-acme ile Let’s Encrypt, IIS üzerinde düşük maliyetle güçlü bir HTTPS temeli sağlar. Doğru yönlendirme kuralları, güncel TLS ayarları ve planlı yenileme sayesinde siteniz güvenli, hızlı ve yönetmesi kolay kalır.