Let's Encrypt(手動チャレンジ付き)を使用して、CRT/KEYカップルSSLファイルを生成したいと思います。
私はこのようなことを試みています:
certbot certonly --manual -d mydomain.com
しかし、これらのファイルは/etc/letsencrypt/live/mydomain.com folder
:
私は何かを見逃しましたか?
私は Greenlock の作成者であり、certbot互換のLet's Encrypt v2クライアントなので、これらすべてのものの内外を学ぶ必要がありました。
うまくいけば、これが役立ちます:
privkey.pem
は「キー」ファイルです
cert.key
またはexample.com.key
という名前が間違っている場合があります。
fullchain.pem
は「crt」ファイルです。
example.com.crt
という不適切な名前が付けられることもあります。
bundle.pem
は次のようになります:cat fullchain.pem privkey.pem > bundle.pem
HAProxyは、bundle.pem
を使用する唯一のサーバーです。
ただし、通常、cert.pemを単独で使用することはありません。ほとんどの場合、fullchain.pemとしてchain.pemと結合されます。
cert.pem
には証明書のみが含まれます。これは、ブラウザが既に署名した証明書を持っている場合にのみ使用でき、テストでは機能しますが(実際には正しいファイルのように見えます)信頼されていない証明書のセキュリティエラーにより、運用中のユーザーの多くが失敗します。
chain.pem
は、ルート認証局によって署名された中間署名付き認証局です。これは、すべてのブラウザーが事前に構築されたキャッシュにあることが保証されているものです。
次のような場合にのみ証明書を検査できます。
openssl x509 -in certificate.crt -text -noout
ここに便利なコマンドのリストがあります:
https://www.sslshopper.com/article-most-common-openssl-commands.html