让我们加密 + certbot：私钥在哪里

Question

我一直在openssl为我的网站创建密钥和证书。这工作正常，但会导致浏览器的投诉。

现在我想转移到 Let's Encrypt 以获得适当的证书。

设置非常简单，我安装了 certbot 并按照他们网站上的教程进行操作。

我很惊讶地看到它certbot应该与 flag 一起使用certonly。直观地说，这应该意味着只创建了一个证书。它应该在设置过程中询问我现有的密钥。相反，它不会创建新证书和新密钥。

sudo certbot certonly --standalone -d xxxx

...

Waiting for verification...
Cleaning up challenges
Generating key (2048 bits): /etc/letsencrypt/keys/0000_key-certbot.pem
Creating CSR: /etc/letsencrypt/csr/0000_csr-certbot.pem

....

但是这个键似乎不存在。如果我将路径输入我的服务器，它会抱怨找不到密钥。

我的证书有读取权限问题，通过这个问题解决：https : //serverfault.com/questions/773440/lets-encrypt-ssl-certificate-file-not-found-error-but-still-working

解决方案是更改访问权限。

但是我对用我的私钥做这件事犹豫不决。互联网安全是如此复杂，恐怕我真的不知道更改与私钥一样重要的权限的后果。

我应该如何使用新生成的证书。我在哪里可以找到相应的私钥，我是否必须应用其他配置？

Answer 1

忽略了csr和keys迪尔斯; 它们基本上只包含发行期间的临时文件。

Certbot 总是将所有证书的最新版本放在/etc/letsencrypt/live：

/etc/letsencrypt/live
？？？邮箱.example.org
? ？？？cert.pem -> ../../archive/mail.example.org/cert8.pem
? ？？？chain.pem -> ../../archive/mail.example.org/chain8.pem
? ？？？fullchain.pem -> ../../archive/mail.example.org/fullchain8.pem
? ？？？privkey.pem -> ../../archive/mail.example.org/privkey8.pem
？？？www.example.org
    ？？？cert.pem -> ../../archive/www.example.org/cert7.pem
    ？？？chain.pem -> ../../archive/www.example.org/chain7.pem
    ？？？fullchain.pem -> ../../archive/www.example.org/fullchain7.pem
    ？？？privkey.pem -> ../../archive/www.example.org/privkey7.pem

因此，您可以像这样配置服务：

SSLCertificateFile     /etc/letsencrypt/live/www.example.org/fullchain.pem
SSLCertificateKeyFile  /etc/letsencrypt/live/www.example.org/privkey.pem

这样，服务只需要在每次更新后重新加载，而不需要重新配置。使用 certbot 的“部署挂钩”功能来自动化权限更改、服务重新加载以及任何其他需要自动化的事情。