LetsEncrypt: Промежуточный сертификат для LetsEncrypt

Question

В настоящее время мы используем сертификаты SSL LetsEncrypt и работаем хорошо. После некоторых изменений мы можем вытащить его на веб-сервер Tomcat и Apache.

В настоящее время мы хотим добавить сертификат LetsEncrypt на Etherpad, где он требует intermediate CA файлов. Как я могу получить их из 4 файлов сертификатов, предоставленных LetsEncrypt. Спасибо ..

настройки LetsEncrypt SSL:

"ssl" : { 
      "key" : "/path-to-your/epl-server.key", 
      "cert" : "/path-to-your/epl-server.crt", 
      "ca": ["/path-to-your/epl-intermediate-cert1.crt", "/path-to-your/epl-intermediate-cert2.crt"] 
      }, 

В приведенной выше конфигурации я полагаю, ключ является privkey.pem преобразуется в .key файл и .crt является cert.pem преобразуется в cert.crt. Что происходит в ЦА?

спасибо.

Update

Настройки:

"ssl" : { 
      "key" : "/etc/letsencrypt/live/www.project_name.de-0001/private.key", 
      "cert" : "/etc/letsencrypt/live/www.project_name.de-0001/cert.crt", 
      "ca": "/etc/letsencrypt/live/www.project_name.de-0001/root.crt" 
      }, 

журнала Ошибка при попытке клавиши:

[2016-11-04 13:25:15.612] [INFO] console - Report bugs at https://github.com/ether/etherpad-lite/issues 
[2016-11-04 13:25:15.612] [INFO] console - Your Etherpad version is 1.6.0 (7dd934f) 
[2016-11-04 13:25:15.613] [INFO] console - SSL -- enabled 
[2016-11-04 13:25:15.613] [INFO] console - SSL -- server key file: /etc/letsencrypt/live/www.project_name.de-0001/private.key 
[2016-11-04 13:25:15.614] [INFO] console - SSL -- Certificate Authority's certificate file: /etc/letsencrypt/live/www.project_name.de-0001/cert.crt 
[2016-11-04 13:25:15.615] [ERROR] console - Error: EISDIR: illegal operation on a directory, read 

Answer 1

Там должен быть файл с именем chain.pem в том же каталоге, cert.pem, это содержит цепочку сертификатов до корневого ЦС (для моего сертификата это только один сертификат, но это может измениться в будущее) и должно быть то, о чем вы просите.

$ ls live/my.domain.com/ 
cert.pem chain.pem fullchain.pem privkey.pem 

Я не знаком с EtherPad, но я думаю, что вы должны настроить его так:

"ssl" : { 
      "key" : "/etc/letsencrypt/live/www.project_name.de-0001/private.key", 
      "cert" : "/etc/letsencrypt/live/www.project_name.de-0001/cert.pem", 
      "ca": "/etc/letsencrypt/live/www.project_name.de-0001/chain.pem" 
      }, 

Answer 2

Поскольку вы не должны запускать EtherPad как корень, но letsencrypt может быть использован в качестве корня вы сначала нужно, чтобы пользователь, запускающий экземпляр etherpad, имел доступ на чтение к сертификатам. Поскольку мой пользователь etherpad не имеет доступа к letencrypt Я скопировал & & chown их в другой каталог a.e./opt/certs /, где у моего пользователя etherpad есть доступ. Это может быть сделано cronjob при проверке истечения срока действия сертификатов letencrypt.

Тогда в settings.json вам нужно добавить как chain.pem и fullchain.pem с помощью

"ca":["path to chain.pem", "path to fullchain.pem"]

Часть в settings.json будет выглядеть следующим образом:

"ssl" : { 
      "key" : "/opt/certs/privkey.pem", 
      "cert" : "/opt/certs/cert.pem", 
      "ca": ["/opt/certs/chain.pem", "/opt/certs/fullchain.pem"] 
      }, 

It возможно, что fullchain.pem не имеет корня ca. Во время процесса letencrypt добавляется только chain.pem без корневого CA. Затем вы должны объединить корневой сертификат IdenTrust после chain.pem. Полноценный.pem должен иметь их, но иногда кажется, что в цепочке отсутствует «последний»:

https://www.identrust.com/certificates/trustid/root-download-x3.html работал для меня.

полныйchain.pem будет выглядеть так:

-----BEGIN CERTIFICATE----- 
your chain.pem 
-----END CERTIFICATE----- 
-----BEGIN CERTIFICATE----- 
the intermediate/root ca https://letsencrypt.org/certificates/ 
-----END CERTIFICATE----- 
-----BEGIN CERTIFICATE----- 
MIIDSjCCAjKgAwIBAgIQRK+wgNajJ7qJMDmGLvhAazANBgkqhkiG9w0BAQUFADA/ 
MSQwIgYDVQQKExtEaWdpdGFsIFNpZ25hdHVyZSBUcnVzdCBDby4xFzAVBgNVBAMT 
DkRTVCBSb290IENBIFgzMB4XDTAwMDkzMDIxMTIxOVoXDTIxMDkzMDE0MDExNVow 
PzEkMCIGA1UEChMbRGlnaXRhbCBTaWduYXR1cmUgVHJ1c3QgQ28uMRcwFQYDVQQD 
Ew5EU1QgUm9vdCBDQSBYMzCCASIwDQYJKoZIhvcNAQEBBQADggEPADCCAQoCggEB 
AN+v6ZdQCINXtMxiZfaQguzH0yxrMMpb7NnDfcdAwRgUi+DoM3ZJKuM/IUmTrE4O 
rz5Iy2Xu/NMhD2XSKtkyj4zl93ewEnu1lcCJo6m67XMuegwGMoOifooUMM0RoOEq 
OLl5CjH9UL2AZd+3UWODyOKIYepLYYHsUmu5ouJLGiifSKOeDNoJjj4XLh7dIN9b 
xiqKqy69cK3FCxolkHRyxXtqqzTWMIn/5WgTe1QLyNau7Fqckh49ZLOMxt+/yUFw 
7BZy1SbsOFU5Q9D8/RhcQPGX69Wam40dutolucbY38EVAjqr2m7xPi71XAicPNaD 
aeQQmxkqtilX4+U9m5/wAl0CAwEAAaNCMEAwDwYDVR0TAQH/BAUwAwEB/zAOBgNV 
HQ8BAf8EBAMCAQYwHQYDVR0OBBYEFMSnsaR7LHH62+FLkHX/xBVghYkQMA0GCSqG 
SIb3DQEBBQUAA4IBAQCjGiybFwBcqR7uKGY3Or+Dxz9LwwmglSBd49lZRNI+DT69 
ikugdB/OEIKcdBodfpga3csTS7MgROSR6cz8faXbauX+5v3gTt23ADq1cEmv8uXr 
AvHRAosZy5Q6XkjEGB5YGV8eAlrwDPGxrancWYaLbumR9YbK+rlmM6pZW87ipxZz 
R8srzJmwN0jP41ZL9c8PDHIyh8bwRLtTcm1D9SZImlJnt1ir/md2cXjbDaJWFBM5 
JDGFoqgCWjBH4d1QB7wCCZAA62RjYJsWvIjJEubSfZGL+T0yjWW06XyxV3bqxbYo 
Ob8VZRzI9neWagqNdwvYkQsEjgfbKbYK7p2CNTUQ 
-----END CERTIFICATE-----