Назад | Перейти на главную страницу

Экспорт клиентского сертификата из сертификатов Let's Encrypt

я бегу Debian и имеют certbot для создания Let's Encrypt сертификат.

Я действую как клиент по отношению к серверу TLS, и мне нужно передать свой клиентский сертификат на утверждение.

У меня есть следующие файлы, созданные certbot:

/etc/letsencrypt/live/my-client-server-domain/privkey.pem
/etc/letsencrypt/live/my-client-server-domain/fullchain.pem
/etc/letsencrypt/live/my-client-server-domain/chain.pem

Какой сертификат я должен передать, и безопасно ли делиться публично?

Вам нужно сохранить /etc/letsencrypt/live/my-client-server-domain/privkey.pem закрытый, поскольку он содержит закрытый ключ для вашего сертификата.

Вы можете раздать один из этих двух файлов:

/etc/letsencrypt/live/my-client-server-domain/chain.pem
/etc/letsencrypt/live/my-client-server-domain/fullchain.pem

Вы можете поделиться /etc/letsencrypt/live/my-client-server-domain/fullchain.pem поскольку он содержит промежуточные сертификаты, если они использовались Let's Encrypt. Получатель может извлечь из него ваш сертификат в случае необходимости.

Использовать certbot certificates sub команда для отображения файлов сертификатов, если вы точно не знаете, какие файлы вам нужны. Вы можете использовать -d [hostname] вариант, если у вас настроено больше, чем имя хоста / имя домена:

certbot certificates -d www.example.com

Saving debug log to /var/log/letsencrypt/letsencrypt.log

-------------------------------------------------------------------------------
Found the following matching certs:

  Certificate Name: server.example.com
    Domains: server.example.com mail.example.com www.example.com example.com
    Expiry Date: 2018-09-30 12:45:28+00:00 (VALID: 82 days)
    Certificate Path: /etc/letsencrypt/live/server.example.com/fullchain.pem   <====
    Private Key Path: /etc/letsencrypt/live/server.example.com/privkey.pem


-------------------------------------------------------------------------------

В любом криптография с открытым ключом вам нужно только правильно назвать «Закрытый ключ» данные являются конфиденциальными и безопасными, и вы можете (и обычно должны) свободно делиться открытым ключом / сертификатом, поэтому поделитесь fullchain.pem файл из чего certbot называет "путь к сертификату".