Certbot 我的證書在哪里？

我的證書在哪里？

可以在中找到所有生成的密鑰和頒發的證書 /etc/letsencrypt/live/$domain。在創建具有多個備用名稱的SAN證書的情況下，$domain第一個域是通過-d參數傳遞的。不要將（網絡）服務器配置直接指向這些文件（或創建符號鏈接），而不是進行復制。續訂期間，/etc/letsencrypt/live將使用最新的必要文件進行更新。

出于歷史原因，創建包含目錄的權限0700意味著，只有以root用戶身份運行的服務器才能訪問證書。 如果您永遠都不會降級到Certbot的舊版本，則可以使用來安全地修復此問題 。chmod 0755 /etc/letsencrypt/{live,archive}

對于在嘗試讀取私鑰文件之前放棄root特權的服務器，還需要使用chgrp并允許服務器讀取 。chmod 0640``/etc/letsencrypt/live/$domain/privkey.pem

注意
/etc/letsencrypt/archive并/etc/letsencrypt/keys 包含所有以前的密鑰和證書，同時 /etc/letsencrypt/live符號鏈接到最新版本。

可以使用以下文件：

privkey.pem

證書的私鑰。

警告
這必須在任何時候都保密！切勿與任何人（包括Certbot開發人員）共享它。但是，您不能將其放在保險箱中-您的服務器仍需要訪問此文件，以便SSL / TLS起作用。

注意
從Certbot 0.29.0版開始，新證書的私鑰默認為0600。對該文件的組模式或組所有者（gid）所做的任何更改都將在續訂時保留。

這就是Apache需要的SSLCertificateKeyFile和Nginx的ssl_certificate_key。

fullchain.pem

所有證書包括服務器證書（又名葉子證書或最終實體證書）是此文件中的第一個證書，其后是任何中間證書。

這就是Apache> = 2.4.8對SSLCertificateFile的需求，以及Nginx對ssl_certificate的需求。

cert.pem和chain.pem（較不常見）

cert.pem本身包含服務器證書，并 chain.pem包含Web瀏覽器為了驗證服務器證書將需要的其他中間證書。如果你提供一個這樣的文件到您的Web服務器，你必須提供他們兩個，或有些瀏覽器會顯示“此連接不受信任”的錯誤為您的網站，在某些時候 Apache 2.4.8需要SSLCertificateFile和SSLCertificateChainFile。

如果您使用Nginx> = 1.3.7的OCSP裝訂，chain.pem則應將其作為ssl_trusted_certificate提供 以驗證OCSP響應。

注意
所有文件都經過PEM編碼。如果您需要其他格式，例如DER或PFX，則可以使用進行轉換openssl。--deploy-hook如果您使用的是自動續訂功能， 則可以使用來實現自動化。