Let's Encrypt証明書からクライアント証明書をエクスポートする
Debianを実行していて、certbotを作成してLet's Encrypt証明書。
私はTLSサーバーに対してクライアントとして機能し、承認のためにクライアント証明書を引き渡す必要があります。
certbotによって生成された次のファイルがあります。
/etc/letsencrypt/live/my-client-server-domain/privkey.pem
/etc/letsencrypt/live/my-client-server-domain/fullchain.pem
/etc/letsencrypt/live/my-client-server-domain/chain.pem
私はどの証明書を渡す必要がありますか、公開しても安全ですか?
/etc/letsencrypt/live/my-client-server-domain/privkey.pem privateには、証明書の秘密鍵が含まれています。
次の2つのファイルのいずれかを配布できます。
/etc/letsencrypt/live/my-client-server-domain/chain.pem
/etc/letsencrypt/live/my-client-server-domain/fullchain.pem
/etc/letsencrypt/live/my-client-server-domain/fullchain.pemは、Let's Encryptで使用された場合は中間証明書を含むためです。受信者は、必要に応じて証明書を抽出できます。
使用 certbot certificatesサブコマンドを使用して、必要なファイルが正確にわからない場合に証明書ファイルを表示します。 -d [hostname]オプション:ホスト名/ドメイン名以外の設定がある場合:
certbot certificates -d www.example.com
Saving debug log to /var/log/letsencrypt/letsencrypt.log
-------------------------------------------------------------------------------
Found the following matching certs:
Certificate Name: server.example.com
Domains: server.example.com mail.example.com www.example.com example.com
Expiry Date: 2018-09-30 12:45:28+00:00 (VALID: 82 days)
Certificate Path: /etc/letsencrypt/live/server.example.com/fullchain.pem <====
Private Key Path: /etc/letsencrypt/live/server.example.com/privkey.pem
-------------------------------------------------------------------------------
公開キー暗号化 では、適切に名前が付けられた「秘密キー」データをプライベートかつ安全に保持するだけでよく、 (そして通常は)公開鍵/証明書を自由に共有するため、fullchain.pemcertbotが "証明書パス"と呼ぶファイル。