Certbot 我的证书在哪里?

我的证书在哪里?

可以在中找到所有生成的密钥和颁发的证书 /etc/letsencrypt/live/$domain。在创建具有多个备用名称的SAN证书的情况下,$domain第一个域是通过-d参数传递的。不要将(网络)服务器配置直接指向这些文件(或创建符号链接),而不是进行复制。续订期间,/etc/letsencrypt/live将使用最新的必要文件进行更新。

出于历史原因,创建包含目录的权限0700意味着,只有以root用户身份运行的服务器才能访问证书。 如果您永远都不会降级到Certbot的旧版本,则可以使用来安全地修复此问题 。chmod 0755 /etc/letsencrypt/{live,archive}

对于在尝试读取私钥文件之前放弃root特权的服务器,还需要使用chgrp并允许服务器读取 。chmod 0640``/etc/letsencrypt/live/$domain/privkey.pem

注意
/etc/letsencrypt/archive/etc/letsencrypt/keys 包含所有以前的密钥和证书,同时 /etc/letsencrypt/live符号链接到最新版本。

可以使用以下文件:

privkey.pem

证书的私钥。

警告
必须在任何时候都保密!切勿与任何人(包括Certbot开发人员)共享它。但是,您不能将其放在保险箱中-您的服务器仍需要访问此文件,以便SSL / TLS起作用。

注意
从Certbot 0.29.0版开始,新证书的私钥默认为0600。对该文件的组模式或组所有者(gid)所做的任何更改都将在续订时保留。

这就是Apache需要的SSLCertificateKeyFile和Nginx的ssl_certificate_key。

fullchain.pem

所有证书包括服务器证书(又名叶子证书或最终实体证书)是此文件中的第一个证书,其后是任何中间证书。

这就是Apache> = 2.4.8对SSLCertificateFile的需求,以及Nginx对ssl_certificate的需求。

cert.pemchain.pem(较不常见)

cert.pem本身包含服务器证书,并 chain.pem包含Web浏览器为了验证服务器证书将需要的其他中间证书。如果你提供一个这样的文件到您的Web服务器,你必须提供他们两个,或有些浏览器会显示“此连接不受信任”的错误为您的网站,在某些时候 Apache 2.4.8需要SSLCertificateFile和SSLCertificateChainFile。

如果您使用Nginx> = 1.3.7的OCSP装订,chain.pem则应将其作为ssl_trusted_certificate提供 以验证OCSP响应。

注意
所有文件都经过PEM编码。如果您需要其他格式,例如DER或PFX,则可以使用进行转换openssl--deploy-hook如果您使用的是自动续订功能, 则可以使用来实现自动化。

本文章首发在 网安wangan.com 网站上。

上一篇 下一篇
讨论数量: 0
只看当前版本


暂无话题~