我想使用Let's Encrypt(带手动挑战)生成CRT / KEY情侣SSL文件。
我正在尝试这样的事情:
certbot certonly --manual -d mydomain.com
但我只在/etc/letsencrypt/live/mydomain.com folder:
我错过了什么吗?
答案 0 :(得分:10)
我是Greenlock的作者,这是一个与certbot兼容的我们的加密v2客户端,所以我也必须了解所有这些内容的来龙去脉。
希望这会有所帮助:
cert.key是"键"文件
有时它被错误地命名为example.com.key或fullchain.pem。
example.com.crt是你的" crt"文件。
有时它被错误地命名为bundle.pem。
cat fullchain.pem privkey.pem > bundle.pem就像这样:bundle.pem
HAProxy是我所知道的唯一使用cert.pem的服务器。
但是,您通常不会单独使用cert.pem。它几乎总是与chain.pem结合为fullchain.pem。
chain.pem仅包含您的证书,如果浏览器已经拥有签名证书,则该证书只能自行使用,这可能在测试中起作用(这使得它看起来可能是正确的文件),但对于生产中的许多用户而言,实际上会因为不受信任的证书存在安全错误而失败。
{{1}}是由根权限签名的中间签名权限 - 这是所有浏览器在其预先构建的缓存中保证的。
您可以像这样检查证书:
openssl x509 -in certificate.crt -text -noout
这里有一系列有用的命令:
https://www.sslshopper.com/article-most-common-openssl-commands.html