我正在运行Debian并certbot创建Let's Encrypt证书。
我作为 TLS 服务器的客户端,需要移交我的客户端证书以供批准。
我已生成以下文件certbot:
/etc/letsencrypt/live/my-client-server-domain/privkey.pem
/etc/letsencrypt/live/my-client-server-domain/fullchain.pem
/etc/letsencrypt/live/my-client-server-domain/chain.pem
我应该交出哪个证书,公开分享是否安全?
答案1
您需要/etc/letsencrypt/live/my-client-server-domain/privkey.pem保密,因为它包含您的证书的私钥。
您可以分发以下两个文件之一:
/etc/letsencrypt/live/my-client-server-domain/chain.pem
/etc/letsencrypt/live/my-client-server-domain/fullchain.pem
您可能希望共享,/etc/letsencrypt/live/my-client-server-domain/fullchain.pem因为它包含中间证书(如果 Let's Encrypt 使用了这些证书)。收件人可以在需要时从中提取您的证书。
答案2
certbot certificates如果您不清楚需要哪些文件,请使用sub 命令显示您的证书文件。-d [hostname]如果您配置了多个主机名/域名,则可以使用该选项:
certbot certificates -d www.example.com
Saving debug log to /var/log/letsencrypt/letsencrypt.log
-------------------------------------------------------------------------------
Found the following matching certs:
Certificate Name: server.example.com
Domains: server.example.com mail.example.com www.example.com example.com
Expiry Date: 2018-09-30 12:45:28+00:00 (VALID: 82 days)
Certificate Path: /etc/letsencrypt/live/server.example.com/fullchain.pem <====
Private Key Path: /etc/letsencrypt/live/server.example.com/privkey.pem
-------------------------------------------------------------------------------
在任何公钥加密你只需要保留恰当命名的“私钥”数据私密且安全,并且你可以(通常必须)自由共享公钥/证书,因此可以fullchain.pem从certbot调用“证书路径”。