1. ホーム
  2. 質問と答え
  3. OpenSSLを使用する-CetsFile on LetsEncrypt-Certificate

OpenSSLを使用する-CetsFile on LetsEncrypt-Certificate

2017-12-13 21 views
1

現在、Plesk(17.5.3)とLet's Encrypt-ExtensionをインストールしたUbuntu ServerにConfluence(6.6.0)を設定しようとしています。OpenSSLを使用する-CetsFile on LetsEncrypt-Certificate

Confluence自体が稼動していますが、SSLに関してはいくつかの問題が発生しています。 Plesk Panel One-Click-Installerを使用して簡単に "道"をとるだけで、ドメイン自体のセキュリティを簡単に確保できます。

証明書4の.pem-ファイルはこのディレクトリにあります/usr/local/psa/var/modules/letsencrypt/etc/archive/<MY_DOMAIN>/

に配置されます:

  • cert1.pem
  • chain1.pem
  • fullchain1.pem
  • privkey1.pem

しかし、私はこの証明書がserver.xmlにインストールされていることをTomcatに伝える必要があります。
Plesk-Let's Encrypt-Extensionはファイルを.pemファイルとして保存するので、OpenSSLを使ってファイルを変換してJavaのkeytoolを使用する必要があります。
私は右ここに一般的には、このトピックについての素晴らしいチュートリアルが見つかりました:私は、次をしようとしていますとき、私は

openssl pkcs12 -export -in <PATH>/cert1.pem -inkey <PATH>/privkey1.pem -out foo.p12 -name tomcat -chain -CAFile <PATH>/chain1.pem

実行しようとすると、
http://robblake.net/post/18945733710/using-a-pem-private-key-and-ssl-certificate-with

、私は、一番最初にはまりコマンド自体は、私は-CAFileを使用していないとき、実行され、私の.P12-ファイルを生成したが、その後の警告スロー:

Error unable to get local issuer certificate getting chain.

私が追加しようとした場合を-CAFile /usr/local/psa/var/modules/letsencrypt/etc/archive/<MY_DOMAIN>/chain1.pemを入力するか、[...]/fullchain1.pemを使用してください。代わりに、OpenSSLがUsage-Documentationを印刷することはありません。

これらの4つの.pemファイルが利用できる唯一のものなので、私は何をすべきか分かりません。

私は中間証明書も必要なので、私はここで何をしなければならないのだろうかと思っています。

出典

2017-12-13 bquarta

+0

Stack Overflowはprogrammのサイトです開発と開発に関する質問。この質問は、プログラミングや開発に関するものではないので、話題にはならないようです。ヘルプセンターの[ここではどのトピックを参照できますか](http://stackoverflow.com/help/on-topic)を参照してください。おそらく[Webアプリケーションスタック交換](http://webapps.stackexchange.com/)、[Webmaster Stack Exchange](http://webmasters.stackexchange.com/)、[Unix&Linux Stack Exchange](http:// unix.stackexchange.com/)がより良い場所になるでしょう。 – jww

+1

このオプションは '-CAfile'(小文字のf)で、' -CAFile'ではありません。 –

答えて

3

Let's Encryptのファイルはchain1.pemですが、不完全です。私の場合、証明書は1つだけです - 中間の​​CA 暗号化機関X3

このファイルの内容を確認してください。私の場合、証明書は1つしかありませんでした。

openssl x509 -noout -in chain1.pem -subject -issuer 

subject= /C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 
issuer= /O=Digital Signature Trust Co./CN=DST Root CA X3

エラーの原因は、OpenSSLは、完全なチェーンを作成する方法DSTルートCA X3

の証明書をミスということです。

  1. DSTルートCA X3証明書をダウンロードしてください:

    wget http://apps.identrust.com/roots/dstrootcax3.p7c

  2. この時点でDSTルートCA X3のための証明書がdstrootcax3.pem

    3. であるPEM 

    openssl pkcs7 -inform der -in dstrootcax3.p7c -out dstrootcax3.pem -print_certs

    に変換

  3. フルチェーンを構築する(上書きするfullchain1.pem

    cp chain1.pem fullchain1.pem 
echo >> fullchain1.pem 
cat dstrootcax3.pem >> fullchain1.pem

  4. すべての証明書をP12ファイルに格納されていることを確認するにはP12ファイル

    openssl pkcs12 -export -in cert1.pem -inkey privkey1.pem -chain -CAfile fullchain1.pem -out cert1.p12 -name tomcat

を生成します。

openssl pkcs12 -info -in cert1.p12

keytoolと幸運;)

出典

2017-12-13 23:26:26

+0

ありがとう:)この解決法は私のために働いています。 それにもかかわらず、私はこれをする必要がないことに気づいた。 Confluenceの警告は、逆プロキシとして動作するnginxの設定ミスに由来しています。したがって、すべてのファンシーなSSL-StuffはReverse-Proxyで処理されているため、server.xmlのProxyを正しい方法で設定するだけです。そのnginx-issueを修正した後で、Atlassianの公式ドキュメントがserver.xmlファイルを変更する方法を...働いたので、keytool-stuffは幸運にも必要ではありません:)... – bquarta

+1

ルート証明書を含める必要はありません。 TLSもJavaもそれを必要とせず、 'pkcs12 -export'の_omit_' -chain'だけでOpenSSLは必要ありません。 –

関連する問題

 関連する問題