在IIS服务器上使用TLS-ALPN-01验证时避免HTTP-01验证的方法

在Windows Server 2016环境中使用letsencrypt-win-simple（现称win-acme）工具时，管理员可能会遇到一个常见问题：即使明确指定了TLS-ALPN-01验证方式，系统仍然默认使用HTTP-01验证。这种情况通常发生在端口80关闭的环境中，导致证书申请失败。

问题本质

这个问题的核心在于win-acme工具的工作机制。当管理员通过命令行参数--validationmode tls-alpn-01指定验证方式时，这个设置仅对新证书申请有效。对于已经存在的续订任务，系统会继续使用最初配置的验证方式（通常是默认的HTTP-01）。

解决方案

要彻底解决这个问题，需要采取以下步骤：

1. 新建证书申请：对于首次配置或需要完全重新申请的情况，使用完整的命令行参数：

   wacs --validationmode tls-alpn-01 --validation selfhosting
   

2. 修改现有续订任务：对于已经存在的续订任务，需要：

   • 打开win-acme的图形界面
   • 找到对应的续订任务
   • 选择"编辑"选项
   • 将验证方式修改为TLS-ALPN-01
   • 保存更改

3. 配置文件检查：在某些情况下，可能需要直接编辑续订任务的JSON配置文件，确保其中包含正确的验证方式设置。

技术背景

TLS-ALPN-01验证方式与传统的HTTP-01验证有几个关键区别：

1. 端口使用：TLS-ALPN-01使用443端口（HTTPS），而HTTP-01使用80端口（HTTP）
2. 验证机制：TLS-ALPN-01在TLS握手过程中完成验证，不需要公开的网页访问
3. 安全性：由于不需要开放额外的HTTP端口，TLS-ALPN-01通常被认为更安全

最佳实践建议

1. 统一验证方式：在端口80关闭的环境中，建议将所有证书申请统一配置为TLS-ALPN-01验证
2. 定期检查：定期检查续订任务的配置，确保验证方式符合当前网络环境
3. 测试验证：在正式部署前，使用测试模式（--test）验证配置是否正确
4. 日志分析：遇到问题时，详细分析日志文件（如示例中的complete.txt）可以帮助快速定位问题

通过正确理解和配置这些验证方式，管理员可以在不开放HTTP端口的情况下，顺利完成Let's Encrypt证书的申请和续订工作。