LetsEncrypt：LetsEncrypt的中间证书

Question

我们目前使用的是LetsEncrypt SSL证书，它的运行良好。经过一些修改后，我们可以将它拖入Tomcat和Apache Web服务器中。

目前，我们要将LetsEncrypt证书添加到Etherpad，它需要intermediate CA文件。我如何从LetsEncrypt提供的4个证书文件中找到这些文件。谢谢。

LetsEncrypt SSL设置：

"ssl" : { 
      "key" : "/path-to-your/epl-server.key", 
      "cert" : "/path-to-your/epl-server.crt", 
      "ca": ["/path-to-your/epl-intermediate-cert1.crt", "/path-to-your/epl-intermediate-cert2.crt"] 
      }, 

在上面的配置我相信主要是privkey.pem转换为.key文件和.CRT是cert.pem转换为cert.crt。什么在CA？

谢谢。

更新

设置：

"ssl" : { 
      "key" : "/etc/letsencrypt/live/www.project_name.de-0001/private.key", 
      "cert" : "/etc/letsencrypt/live/www.project_name.de-0001/cert.crt", 
      "ca": "/etc/letsencrypt/live/www.project_name.de-0001/root.crt" 
      }, 

错误日志时试图键：

[2016-11-04 13:25:15.612] [INFO] console - Report bugs at https://github.com/ether/etherpad-lite/issues 
[2016-11-04 13:25:15.612] [INFO] console - Your Etherpad version is 1.6.0 (7dd934f) 
[2016-11-04 13:25:15.613] [INFO] console - SSL -- enabled 
[2016-11-04 13:25:15.613] [INFO] console - SSL -- server key file: /etc/letsencrypt/live/www.project_name.de-0001/private.key 
[2016-11-04 13:25:15.614] [INFO] console - SSL -- Certificate Authority's certificate file: /etc/letsencrypt/live/www.project_name.de-0001/cert.crt 
[2016-11-04 13:25:15.615] [ERROR] console - Error: EISDIR: illegal operation on a directory, read 

Answer 1

应该有一个文件在同一目录cert.pem称为chain.pem，这包含了证书链直到根CA（对于我的证书，它只有一个证书，但这可能会改变未来），应该是你要求的。

$ ls live/my.domain.com/ 
cert.pem chain.pem fullchain.pem privkey.pem 

我不熟悉的EtherPad的，但我的猜测是，你应该像这样配置它：

"ssl" : { 
      "key" : "/etc/letsencrypt/live/www.project_name.de-0001/private.key", 
      "cert" : "/etc/letsencrypt/live/www.project_name.de-0001/cert.pem", 
      "ca": "/etc/letsencrypt/live/www.project_name.de-0001/chain.pem" 
      }, 

Answer 2

既然你不应该运行EtherPad的是根，但letsencrypt可能被用来作为你的根首先需要运行etherpad实例的用户具有对证书的读取权限。由于我的etherpad用户无权访问letsencrypt 我将& &复制到另一个目录a.e./opt/certs /我的etherpad用户有权访问。在检查过期的letsencrypt证书时，这可以通过cronjob来完成。

然后在settings.json您需要添加两个chain.pem和fullchain.pem使用

"ca":["path to chain.pem", "path to fullchain.pem"]

在settings.json的部分是这样的：

"ssl" : { 
      "key" : "/opt/certs/privkey.pem", 
      "cert" : "/opt/certs/cert.pem", 
      "ca": ["/opt/certs/chain.pem", "/opt/certs/fullchain.pem"] 
      }, 

它fullchain.pem可能会丢失root ca. 在letsencrypt过程中，只有chain.pem没有根CA添加。然后，您必须在chain.pem之后合并IdenTrust根证书。 fullchain.pem应该有他们，但有时它看起来像缺少链中的'最后'：

https://www.identrust.com/certificates/trustid/root-download-x3.html 为我工作。

fullchain。pem看起来像这样

-----BEGIN CERTIFICATE----- 
your chain.pem 
-----END CERTIFICATE----- 
-----BEGIN CERTIFICATE----- 
the intermediate/root ca https://letsencrypt.org/certificates/ 
-----END CERTIFICATE----- 
-----BEGIN CERTIFICATE----- 
MIIDSjCCAjKgAwIBAgIQRK+wgNajJ7qJMDmGLvhAazANBgkqhkiG9w0BAQUFADA/ 
MSQwIgYDVQQKExtEaWdpdGFsIFNpZ25hdHVyZSBUcnVzdCBDby4xFzAVBgNVBAMT 
DkRTVCBSb290IENBIFgzMB4XDTAwMDkzMDIxMTIxOVoXDTIxMDkzMDE0MDExNVow 
PzEkMCIGA1UEChMbRGlnaXRhbCBTaWduYXR1cmUgVHJ1c3QgQ28uMRcwFQYDVQQD 
Ew5EU1QgUm9vdCBDQSBYMzCCASIwDQYJKoZIhvcNAQEBBQADggEPADCCAQoCggEB 
AN+v6ZdQCINXtMxiZfaQguzH0yxrMMpb7NnDfcdAwRgUi+DoM3ZJKuM/IUmTrE4O 
rz5Iy2Xu/NMhD2XSKtkyj4zl93ewEnu1lcCJo6m67XMuegwGMoOifooUMM0RoOEq 
OLl5CjH9UL2AZd+3UWODyOKIYepLYYHsUmu5ouJLGiifSKOeDNoJjj4XLh7dIN9b 
xiqKqy69cK3FCxolkHRyxXtqqzTWMIn/5WgTe1QLyNau7Fqckh49ZLOMxt+/yUFw 
7BZy1SbsOFU5Q9D8/RhcQPGX69Wam40dutolucbY38EVAjqr2m7xPi71XAicPNaD 
aeQQmxkqtilX4+U9m5/wAl0CAwEAAaNCMEAwDwYDVR0TAQH/BAUwAwEB/zAOBgNV 
HQ8BAf8EBAMCAQYwHQYDVR0OBBYEFMSnsaR7LHH62+FLkHX/xBVghYkQMA0GCSqG 
SIb3DQEBBQUAA4IBAQCjGiybFwBcqR7uKGY3Or+Dxz9LwwmglSBd49lZRNI+DT69 
ikugdB/OEIKcdBodfpga3csTS7MgROSR6cz8faXbauX+5v3gTt23ADq1cEmv8uXr 
AvHRAosZy5Q6XkjEGB5YGV8eAlrwDPGxrancWYaLbumR9YbK+rlmM6pZW87ipxZz 
R8srzJmwN0jP41ZL9c8PDHIyh8bwRLtTcm1D9SZImlJnt1ir/md2cXjbDaJWFBM5 
JDGFoqgCWjBH4d1QB7wCCZAA62RjYJsWvIjJEubSfZGL+T0yjWW06XyxV3bqxbYo 
Ob8VZRzI9neWagqNdwvYkQsEjgfbKbYK7p2CNTUQ 
-----END CERTIFICATE-----