5 votos

Que ' cifrar s + certbot: Dónde está la clave privada

He estado usando openssl a crear la clave y el certificado de mi sitio web. Que funciona bien, pero lleva a las quejas desde el navegador.

Ahora me gustaría pasar a Vamos a Cifrar adecuada para obtener un certificado.

La instalación fue muy sencilla, he instalado certbot y seguido el tutorial en su página web.

Me sorprendió leer que certbot se supone que se utiliza con una flag certonly. Intuitivamente, esto significa que sólo se crea un certificado. Se debe me piden una clave existente durante la instalación. Que es que no, en su lugar, crea un nuevo certificado y una clave nueva.

sudo certbot certonly --standalone -d xxxx

...

Waiting for verification...
Cleaning up challenges
Generating key (2048 bits): /etc/letsencrypt/keys/0000_key-certbot.pem
Creating CSR: /etc/letsencrypt/csr/0000_csr-certbot.pem

....

Pero esta clave no parece existir. Si puedo entrar en el camino en mi servidor, se queja de que no puede encontrar la clave.

He tenido problemas con permisos de lectura en mi certificado, resuelto por esta pregunta: http://serverfault.com/questions/773440/lets-encrypt-ssl-certificate-file-not-found-error-but-still-working

La solución fue cambiar los derechos de acceso.

Pero soy reacio a hacerlo con mi clave privada. La seguridad en Internet es tan complejo, me temo que realmente no sabe acerca de las consecuencias de cambiar los permisos con respecto a algo tan importante como la clave privada.

Cómo se supone que voy a usar un nuevo certificado generado. Donde puedo encontrar la clave privada correspondiente y que tengo que hacer para aplicar la configuración adicional ?

10voto

Nick Dixon Puntos 154

Ignorar la csr y keys dirs; que básicamente contienen los archivos temporales durante la emisión.

Certbot pone la última versión de todos los certificados bajo /etc/letsencrypt/live:

/etc/letsencrypt/en vivo
├── mail.example.org
│ ├── cert.pem -> ../../archive/el correo.ejemplo.org/cert8.pem
│ ├── cadena.pem -> ../../archive/el correo.ejemplo.org/chain8.pem
│ ├── fullchain.pem -> ../../archive/el correo.ejemplo.org/fullchain8.pem
│ └── privkey.pem -> ../../archive/el correo.ejemplo.org/privkey8.pem
└── www.example.org
 ├── cert.pem -> ../../archive/www.ejemplo.org/cert7.pem
 ├── cadena.pem -> ../../archive/www.ejemplo.org/chain7.pem
 ├── fullchain.pem -> ../../archive/www.ejemplo.org/fullchain7.pem
 └── privkey.pem -> ../../archive/www.ejemplo.org/privkey7.pem

Por lo tanto, tendría que configurar servicios como este:

SSLCertificateFile     /etc/letsencrypt/live/www.example.org/fullchain.pem
SSLCertificateKeyFile  /etc/letsencrypt/live/www.example.org/privkey.pem

De esta manera, los servicios sólo necesita ser recargada, no reconfigurado, después de cada renovación. (Uso certbot s --renew-hook o --post-hook a automatizar la recarga.

Si usted necesita para ejecutar chmod o setfacl agregar permisos, puede hacer que de los ganchos).

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: