0

我们目前正在使用 LetsEncrypt SSL 证书,它运行良好。经过一些修改后,我们也可以将其拉入 Tomcat 和 Apache Web 服务器。

目前,我们希望将 LetsEncrypt 证书添加到需要intermediate CA文件的 Etherpad。如何从 LetsEncrypt 提供的 4 个证书文件中获取这些文件。谢谢..

LetsEncrypt SSL 设置:

 "ssl" : {
            "key"  : "/path-to-your/epl-server.key",
            "cert" : "/path-to-your/epl-server.crt",
            "ca": ["/path-to-your/epl-intermediate-cert1.crt", "/path-to-your/epl-intermediate-cert2.crt"]
          },

在上述配置中,我假设 Key 是privkey.pem转换为 .key 文件,而 .crt 是cert.pem转换为 cert.crt。CA 中发生了什么?

谢谢你。

更新

设置:

 "ssl" : {
            "key"  : "/etc/letsencrypt/live/www.project_name.de-0001/private.key",
            "cert" : "/etc/letsencrypt/live/www.project_name.de-0001/cert.crt",
            "ca": "/etc/letsencrypt/live/www.project_name.de-0001/root.crt"
          },

尝试键时的错误日志:

[2016-11-04 13:25:15.612] [INFO] console - Report bugs at https://github.com/ether/etherpad-lite/issues
[2016-11-04 13:25:15.612] [INFO] console - Your Etherpad version is 1.6.0 (7dd934f)
[2016-11-04 13:25:15.613] [INFO] console - SSL -- enabled
[2016-11-04 13:25:15.613] [INFO] console - SSL -- server key file: /etc/letsencrypt/live/www.project_name.de-0001/private.key
[2016-11-04 13:25:15.614] [INFO] console - SSL -- Certificate Authority's certificate file: /etc/letsencrypt/live/www.project_name.de-0001/cert.crt
[2016-11-04 13:25:15.615] [ERROR] console - Error: EISDIR: illegal operation on a directory, read
4

2 回答 2

1

应该chain.pem在与 相同的目录中调用一个文件cert.pem,它包含直到根 CA 的证书链(对于我的证书,它只是一个证书,但将来可能会改变)并且应该是您所要求的。

$ ls live/my.domain.com/
cert.pem  chain.pem  fullchain.pem  privkey.pem

我对 Etherpad 不熟悉,但我猜你应该像这样配置它:

 "ssl" : {
            "key"  : "/etc/letsencrypt/live/www.project_name.de-0001/private.key",
            "cert" : "/etc/letsencrypt/live/www.project_name.de-0001/cert.pem",
            "ca": "/etc/letsencrypt/live/www.project_name.de-0001/chain.pem"
          },
于 2016-11-04T12:24:08.867 回答
0

由于您不应该以 root 身份运行 etherpad,但可以以 root 身份使用letsencrypt,因此您首先需要运行 etherpad 实例的用户对证书具有读取权限。由于我的 etherpad 用户无权访问letsencrypt,因此我将 && chown 复制到了我的 etherpad 用户可以访问的另一个目录 ae /opt/certs/ 中。在检查过期的letsencrypt证书时,这可以通过cronjob来完成。

然后在 settings.json 中,您需要同时添加 chain.pem 和 fullchain.pem 使用

"ca":["path to chain.pem", "path to fullchain.pem"]

settings.json 中的部分如下所示:

"ssl" : {
            "key"  : "/opt/certs/privkey.pem",
            "cert" : "/opt/certs/cert.pem",
            "ca": ["/opt/certs/chain.pem", "/opt/certs/fullchain.pem"]
          },

fullchain.pem 可能缺少根 ca。在letsencrypt 过程中,仅添加chain.pem 而没有根CA。然后您必须在chain.pem 之后合并IdenTrust 根证书。fullchain.pem 应该有它们,但有时看起来它缺少链中的“最后一个”:

https://www.identrust.com/certificates/trustid/root-download-x3.html 为我工作。

fullchain.pem 看起来像这样

-----BEGIN CERTIFICATE----- 
 your chain.pem
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE----- 
 the intermediate / root ca https://letsencrypt.org/certificates/
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
于 2016-12-03T20:51:49.060 回答