我想用Let's Encrypt(带手动挑战)生成一个CRT / KEY耦合SSL文件。
我正在尝试这样的事情:
certbot certonly --manual -d mydomain.com
但我只在我的/etc/letsencrypt/live/mydomain.com folder
中获取这些文件:
我错过了什么吗?
我是Greenlock的作者,这是一个与certbot兼容的Let's Encrypt v2客户端,因此我必须了解所有这些内容的来龙去脉。
希望这有助于:
privkey.pem
是“关键”文件
有时它被错误地命名为cert.key
或example.com.key
。
fullchain.pem
是你的“crt”文件。
有时它被错误地命名为example.com.crt
。
bundle.pem
将是这样的:cat fullchain.pem privkey.pem > bundle.pem
HAProxy是我所知道的唯一使用bundle.pem
的服务器。
但是,您通常不会单独使用cert.pem。它几乎总是与chain.pem结合为fullchain.pem。
cert.pem
只包含你的证书,如果浏览器已经有了签名证书,它只能自己使用,这可能在测试中起作用(这看起来好像它可能是正确的文件),但实际上很多都会失败。生产中的用户存在不受信任证书的安全错误。
chain.pem
是由根权限签名的中间签名权限 - 这是所有浏览器保证在其预先构建的缓存中具有的权限。
您可以像这样检查证书:
openssl x509 -in certificate.crt -text -noout
这里有一些有用的命令:
https://www.sslshopper.com/article-most-common-openssl-commands.html