Re: (deb-cat) gbp amb Let's encrypt

[Marcos <marcos@tenak.net>]

Bona nit,

A 2017-02-03 21:18, Narcis Garcia escrigué:
> Intento això:
> $ gbp clone https://git.actiu.net/libre/ntfsundelete-tree/tree/master
>
> gbp:error: Git command failed: Error running git clone: fatal: unable 
> to
> access 'https://git.actiu.net/libre/ntfsundelete-tree/tree/master/':
> server certificate verification failed. CAfile:
> /etc/ssl/certs/ca-certificates.crt CRLfile: none
>
> Suposo que la utilitat d'empaquetat no reconeix un certificat de Let's
> encrypt. Algú sap com solventar-ho?

La utilitat no fa res d'especial, delega al sistema operatiu.  El que
passa és que el servidor ha d'enviar la cadena de certificats, no només
el certificat per git.actiu.net, ha d'enviar també el certificat de
Let's Encrypt.

De moment, Let's Encrypt no és confiat per Debian, sino que ho és
IdenTrust.  I per això el teu servidor ha d'enviar la cadena dels dos
certificats: el de Let's Encrypt a continuació del teu.  D'aquesta
manera, el sistema operatiu pot validar que el certificat pel teu
servidor és vàlid, ja que pot arribat des d'ell a un certificat d'una
CA ja confiada (IdenTrust).

Per fer-ho pots simplement concatenar el teu certificat (cert.pem) i el
de LE (le.pem):

% cat cert.pem le.pem > fullchain.pem

I fer que el httpd serveixi fullchain.pem.

No sé quina eina fas servir per generar els certificats, però amb el
client de LE (ara mantingut per l'EFF) ja genera el fullchain.pem ell
sol.

Salut,
--
Marcos