LetsEncrypt: Zwischenzertifikat für LetsEncrypt

Question

Wir verwenden derzeit LetsEncrypt SSL-Zertifikate und es funktioniert gut. Nach einigen Änderungen sind wir in der Lage, es auch in Tomcat und Apache Webserver zu ziehen.

Derzeit möchten wir LetsEncrypt-Zertifikat zu Etherpad hinzufügen, wo es intermediate CA Dateien erfordert. Wie kann ich diese aus den 4 Zertifikatsdateien von LetsEncrypt erhalten? Danke ..

LetsEncrypt SSL-Einstellungen:

"ssl" : { 
      "key" : "/path-to-your/epl-server.key", 
      "cert" : "/path-to-your/epl-server.crt", 
      "ca": ["/path-to-your/epl-intermediate-cert1.crt", "/path-to-your/epl-intermediate-cert2.crt"] 
      }, 

In der obigen Konfiguration nehme ich an Key ist die privkey.pem-Datei .key umgewandelt und .crt ist cert.pem zu cert.crt umgewandelt. Was geht in der CA?

Vielen Dank.

aktualisieren

Einstellungen:

"ssl" : { 
      "key" : "/etc/letsencrypt/live/www.project_name.de-0001/private.key", 
      "cert" : "/etc/letsencrypt/live/www.project_name.de-0001/cert.crt", 
      "ca": "/etc/letsencrypt/live/www.project_name.de-0001/root.crt" 
      }, 

Fehlerprotokoll, wenn sie versuchen Schlüssel:

[2016-11-04 13:25:15.612] [INFO] console - Report bugs at https://github.com/ether/etherpad-lite/issues 
[2016-11-04 13:25:15.612] [INFO] console - Your Etherpad version is 1.6.0 (7dd934f) 
[2016-11-04 13:25:15.613] [INFO] console - SSL -- enabled 
[2016-11-04 13:25:15.613] [INFO] console - SSL -- server key file: /etc/letsencrypt/live/www.project_name.de-0001/private.key 
[2016-11-04 13:25:15.614] [INFO] console - SSL -- Certificate Authority's certificate file: /etc/letsencrypt/live/www.project_name.de-0001/cert.crt 
[2016-11-04 13:25:15.615] [ERROR] console - Error: EISDIR: illegal operation on a directory, read 

Answer 1

Es sollte eine Datei chain.pem im selben Verzeichnis wie cert.pem genannt werden, dies beinhaltet die Zertifikatkette bis zur Stammzertifizierungsstelle (für mein Zertifikat ist es nur ein Zertifikat, aber dies kann sich ändern die Zukunft) und sollte sein, wonach Sie fragen.

$ ls live/my.domain.com/ 
cert.pem chain.pem fullchain.pem privkey.pem 

Ich bin nicht vertraut mit Etherpad, aber meine Vermutung ist, dass Sie es so konfigurieren sollen:

"ssl" : { 
      "key" : "/etc/letsencrypt/live/www.project_name.de-0001/private.key", 
      "cert" : "/etc/letsencrypt/live/www.project_name.de-0001/cert.pem", 
      "ca": "/etc/letsencrypt/live/www.project_name.de-0001/chain.pem" 
      }, 

Answer 2

Da sollten Sie nicht Etherpad als root laufen, aber letsencrypt könnte als root Sie verwendet werden Zuerst muss der Benutzer, der die Etherpad-Instanz ausführt, Lesezugriff auf die Zertifikate haben. Da mein Etherpad-Benutzer keinen Zugriff darauf hat, zu verschlüsseln, kopierte ich & & chown sie in ein anderes Verzeichnis a.e./opt/certs/wo mein Etherpad-Benutzer Zugriff hat. Dies könnte durch einen Cronjob gemacht werden, wenn nach ablaufenden Letsencrypt-Zertifikaten gesucht wird.

dann in settings.json müssen Sie sowohl chain.pem und fullchain.pem hinzufügen mit

"ca":["path to chain.pem", "path to fullchain.pem"]

Der Teil in settings.json würde wie folgt aussehen:

"ssl" : { 
      "key" : "/opt/certs/privkey.pem", 
      "cert" : "/opt/certs/cert.pem", 
      "ca": ["/opt/certs/chain.pem", "/opt/certs/fullchain.pem"] 
      }, 

Es könnte möglich sein, dass die fullchain.pem fehlt die root ca .. Während des Letsencrypt-Prozesses wird nur die Datei chain.pem ohne die Stammzertifizierungsstelle hinzugefügt. Anschließend müssen Sie das IdenTrust-Stammzertifikat nach der chain.pem-Datei zusammenführen. Das fullchain.pem sollte sie haben, aber manchmal sieht es so aus, als ob es das letzte in der Kette fehlt:

arbeitete für mich.

fullchain.pem würde so aussehen

-----BEGIN CERTIFICATE----- 
your chain.pem 
-----END CERTIFICATE----- 
-----BEGIN CERTIFICATE----- 
the intermediate/root ca https://letsencrypt.org/certificates/ 
-----END CERTIFICATE----- 
-----BEGIN CERTIFICATE----- 
MIIDSjCCAjKgAwIBAgIQRK+wgNajJ7qJMDmGLvhAazANBgkqhkiG9w0BAQUFADA/ 
MSQwIgYDVQQKExtEaWdpdGFsIFNpZ25hdHVyZSBUcnVzdCBDby4xFzAVBgNVBAMT 
DkRTVCBSb290IENBIFgzMB4XDTAwMDkzMDIxMTIxOVoXDTIxMDkzMDE0MDExNVow 
PzEkMCIGA1UEChMbRGlnaXRhbCBTaWduYXR1cmUgVHJ1c3QgQ28uMRcwFQYDVQQD 
Ew5EU1QgUm9vdCBDQSBYMzCCASIwDQYJKoZIhvcNAQEBBQADggEPADCCAQoCggEB 
AN+v6ZdQCINXtMxiZfaQguzH0yxrMMpb7NnDfcdAwRgUi+DoM3ZJKuM/IUmTrE4O 
rz5Iy2Xu/NMhD2XSKtkyj4zl93ewEnu1lcCJo6m67XMuegwGMoOifooUMM0RoOEq 
OLl5CjH9UL2AZd+3UWODyOKIYepLYYHsUmu5ouJLGiifSKOeDNoJjj4XLh7dIN9b 
xiqKqy69cK3FCxolkHRyxXtqqzTWMIn/5WgTe1QLyNau7Fqckh49ZLOMxt+/yUFw 
7BZy1SbsOFU5Q9D8/RhcQPGX69Wam40dutolucbY38EVAjqr2m7xPi71XAicPNaD 
aeQQmxkqtilX4+U9m5/wAl0CAwEAAaNCMEAwDwYDVR0TAQH/BAUwAwEB/zAOBgNV 
HQ8BAf8EBAMCAQYwHQYDVR0OBBYEFMSnsaR7LHH62+FLkHX/xBVghYkQMA0GCSqG 
SIb3DQEBBQUAA4IBAQCjGiybFwBcqR7uKGY3Or+Dxz9LwwmglSBd49lZRNI+DT69 
ikugdB/OEIKcdBodfpga3csTS7MgROSR6cz8faXbauX+5v3gTt23ADq1cEmv8uXr 
AvHRAosZy5Q6XkjEGB5YGV8eAlrwDPGxrancWYaLbumR9YbK+rlmM6pZW87ipxZz 
R8srzJmwN0jP41ZL9c8PDHIyh8bwRLtTcm1D9SZImlJnt1ir/md2cXjbDaJWFBM5 
JDGFoqgCWjBH4d1QB7wCCZAA62RjYJsWvIjJEubSfZGL+T0yjWW06XyxV3bqxbYo 
Ob8VZRzI9neWagqNdwvYkQsEjgfbKbYK7p2CNTUQ 
-----END CERTIFICATE-----