Я использую openssl
для создания ключа и сертификата для моего сайта.
Который работает нормально, но приводит к жалобам из браузера.
Теперь я хотел бы перейти к Let's Encrypt, чтобы получить соответствующий сертификат.
Установка была очень простой, я установил certbot и следовал инструкциям на их сайте.
Я был удивлен, прочитав, что certbot
должен использоваться с флагом certonly
. Интуитивно это должно означать, что создается только сертификат. Это должно спросить меня о существующем ключе во время установки. Который не делает, вместо этого он создает и новый сертификат, и новый ключ.
sudo certbot certonly --standalone -d xxxx
...
Waiting for verification...
Cleaning up challenges
Generating key (2048 bits): /etc/letsencrypt/keys/0000_key-certbot.pem
Creating CSR: /etc/letsencrypt/csr/0000_csr-certbot.pem
....
Но этот ключ, кажется, не существует. Если я ввожу путь на свой сервер, он жалуется на то, что не нашел ключ.
У меня были проблемы с разрешениями на чтение для моего сертификата, которые были решены с помощью этого вопроса: https://serverfault.com/questions/773440/lets-encrypt-ssl-certificate-file-not-found-error-but-still-working
Решение было изменить права доступа.
Но я не решаюсь сделать это с моим закрытым ключом. Интернет-безопасность настолько сложна, что, боюсь, я действительно не знаю о последствиях изменения прав доступа к чему-то столь важному, как закрытый ключ.
Как я должен использовать недавно сгенерированный сертификат. Где я могу найти соответствующий закрытый ключ и нужно ли применять дополнительные настройки?