LetsEncrypt : LetsEncrypt的中间证书

Question

我们目前正在使用LetsEncrypt SSL证书，它运行良好。经过一些修改后，我们也可以将其拖到Tomcat和Apache服务器中。

目前，我们希望将LetsEncrypt证书添加到Etherpad，在那里它需要intermediate CA文件。如何从LetsEncrypt提供的4个证书文件中提取这些文件。谢谢。。

LetsEncrypt SSL设置：

 "ssl" : {
            "key"  : "/path-to-your/epl-server.key",
            "cert" : "/path-to-your/epl-server.crt",
            "ca": ["/path-to-your/epl-intermediate-cert1.crt", "/path-to-your/epl-intermediate-cert2.crt"]
          },

在上面的配置中，我假定密钥是privkey.pem转换为.key文件，.crt被cert.pem转换为cert.crt。CA里面有什么？

谢谢。

更新

设置：

 "ssl" : {
            "key"  : "/etc/letsencrypt/live/www.project_name.de-0001/private.key",
            "cert" : "/etc/letsencrypt/live/www.project_name.de-0001/cert.crt",
            "ca": "/etc/letsencrypt/live/www.project_name.de-0001/root.crt"
          },

尝试键时出错日志：

[2016-11-04 13:25:15.612] [INFO] console - Report bugs at https://github.com/ether/etherpad-lite/issues
[2016-11-04 13:25:15.612] [INFO] console - Your Etherpad version is 1.6.0 (7dd934f)
[2016-11-04 13:25:15.613] [INFO] console - SSL -- enabled
[2016-11-04 13:25:15.613] [INFO] console - SSL -- server key file: /etc/letsencrypt/live/www.project_name.de-0001/private.key
[2016-11-04 13:25:15.614] [INFO] console - SSL -- Certificate Authority's certificate file: /etc/letsencrypt/live/www.project_name.de-0001/cert.crt
[2016-11-04 13:25:15.615] [ERROR] console - Error: EISDIR: illegal operation on a directory, read

Answer 1

在与chain.pem相同的目录中应该有一个名为cert.pem的文件，它包含到根CA的证书链(对于我的证书，它只是一个证书，但这在将来可能会改变)，这应该是您所要求的。

$ ls live/my.domain.com/
cert.pem  chain.pem  fullchain.pem  privkey.pem

我不熟悉Etherpad，但我猜您应该这样配置它：

 "ssl" : {
            "key"  : "/etc/letsencrypt/live/www.project_name.de-0001/private.key",
            "cert" : "/etc/letsencrypt/live/www.project_name.de-0001/cert.pem",
            "ca": "/etc/letsencrypt/live/www.project_name.de-0001/chain.pem"
          },

Answer 2

由于您不应该将etherpad作为root运行，但是可以使用letsencrypt作为root，因此您首先需要运行etherpad实例的用户具有对证书的读取访问权限。因为我的etherpad用户没有访问letsencrypt的权限，所以我复制&&将它们复制到另一个目录a.e。/opt/certs/我的以太用户可以访问的地方。这可以在检查到期的letsencrypt证书时由cron作业来完成。

然后，在settings.json中，您需要使用

"ca":["path to chain.pem", "path to fullchain.pem"]

settings.json中的部分如下所示：

"ssl" : {
            "key"  : "/opt/certs/privkey.pem",
            "cert" : "/opt/certs/cert.pem",
            "ca": ["/opt/certs/chain.pem", "/opt/certs/fullchain.pem"]
          },

可能fullchain.pem缺少根ca。在letsencrypt过程中，只添加chain.pem而不添加根CA。然后，必须在IdenTrust根证书之后合并chain.pem根证书。fullchain.pem应该拥有它们，但有时它似乎缺少了链中的最后一个：

https://www.identrust.com/certificates/trustid/root-download-x3.html为我工作。

fullchain.pem会像这样

-----BEGIN CERTIFICATE----- 
 your chain.pem
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE----- 
 the intermediate / root ca https://letsencrypt.org/certificates/
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----