Hosts Apache, LetsEncrypt e Vrtual

1

Estou instalando um servidor letsencrypt em meu próprio servidor para um host virtual.

Depois de criar o certificado com sucesso, recebo uma mensagem como:

Congratulations! Your certificate and chain have been saved at:
/etc/letsencrypt/live/example.net/fullchain.pem
Your key file has been saved at:
/etc/letsencrypt/live/example.net/privkey.pem

(Eu mudei o domínio para proteger o, bem, sem motivo, na verdade).

Quando olho no diretório, descubro o seguinte

ls /etc/letsencrypt/live/example.net
cert.pem@  chain.pem@  fullchain.pem@  privkey.pem@  README

Então, eu tenho quatro links apontando para quatro arquivos reais.

No meu arquivo .conf eu tenho algo parecido com isso (usando a versão 1):

<VirtualHost *:443>
    ServerName example.net:443
    ServerAlias *.example.net
    ServerAdmin [email protected]
    VirtualDocumentRoot /data/httpd/html/example.net/%-3

    SSLEngine on

#   Version 1

    SSLCertificateFile      /etc/letsencrypt/live/example.net/cert.pem
    SSLCertificateKeyFile   /etc/letsencrypt/live/example.net/privkey.pem
    SSLCertificateChainFile /etc/letsencrypt/live/example.net/chain.pem

#   Version 2

#   SSLCertificateFile /etc/letsencrypt/live/example.net/fullchain.pem
#   SSLCertificateKeyFile /etc/letsencrypt/live/example.net/privkey.pem
</VirtualHost>

Eu vi outra documentação usando a versão 2.

A pergunta é: dado que a mensagem menciona apenas dois arquivos, e que existem realmente quatro arquivos, qual é a configuração correta para usar o letsencrypt com um Host Virtual?

    
por Manngo 23.08.2017 / 06:30

1 resposta

1

cat cert.pem chain.pem é equivalente a cat fullchain.pem . Em outras palavras, o arquivo fullchain.pem é apenas a combinação de cert.pem e chain.pem. Veja a seguinte pergunta do SuperUser para saber mais sobre cadeias de certificados SSL.

Não tenho certeza sobre o fim do Apache, mas parece que a versão 1 simplesmente pegou os dois arquivos (cert.pem e chain.pem) e concatenou-os internamente, enquanto a versão 2 apenas pede a versão concatenada. Eu suponho que a maioria dos servidores da Web agora apenas solicite o SSLCertificateFile (também conhecido como "fullchain.pem") e a chave privada.

    
por 23.08.2017 / 07:30