web-dev-qa-db-ja.com

Let's EncryptからゼロからCRTおよびKEY sslファイルを生成します

Let's Encrypt(手動チャレンジ付き)を使用して、CRT/KEYカップルSSLファイルを生成したいと思います。

私はこのようなことを試みています:

certbot certonly --manual -d mydomain.com

しかし、これらのファイルは/etc/letsencrypt/live/mydomain.com folder

  • cert.pem
  • chain.pem
  • fullchain.pem
  • privkey.pem

私は何かを見逃しましたか?

10
Sylvain

私は Greenlock の作成者であり、certbot互換のLet's Encrypt v2クライアントなので、これらすべてのものの内外を学ぶ必要がありました。

うまくいけば、これが役立ちます:

キー

privkey.pemは「キー」ファイルです

cert.keyまたはexample.com.keyという名前が間違っている場合があります。

CRT

fullchain.pemは「crt」ファイルです。

example.com.crtという不適切な名前が付けられることもあります。

CRT/KEYバンドル

bundle.pemは次のようになります:cat fullchain.pem privkey.pem > bundle.pem

HAProxyは、bundle.pemを使用する唯一のサーバーです。

ただし、通常、cert.pemを単独で使用することはありません。ほとんどの場合、fullchain.pemとしてchain.pemと結合されます。

cert.pem

cert.pemには証明書のみが含まれます。これは、ブラウザが既に署名した証明書を持っている場合にのみ使用でき、テストでは機能しますが(実際には正しいファイルのように見えます)信頼されていない証明書のセキュリティエラーにより、運用中のユーザーの多くが失敗します。

chain.pem

chain.pemは、ルート認証局によって署名された中間署名付き認証局です。これは、すべてのブラウザーが事前に構築されたキャッシュにあることが保証されているものです。

証明書を確認する

次のような場合にのみ証明書を検査できます。

openssl x509 -in certificate.crt -text -noout

ここに便利なコマンドのリストがあります:

https://www.sslshopper.com/article-most-common-openssl-commands.html

18
CoolAJ86