Re: (deb-cat) gbp amb Let's encrypt
__________
I'm using this express-made address because personal addresses aren't
masked enough at this list's archives. Mailing lists service
administrator should fix this.
El 03/02/17 a les 22:01, Marcos ha escrit:
> Bona nit,
>
> A 2017-02-03 21:18, Narcis Garcia escrigué:
>> Intento això:
>> $ gbp clone https://git.actiu.net/libre/ntfsundelete-tree/tree/master
>>
>> gbp:error: Git command failed: Error running git clone: fatal: unable to
>> access 'https://git.actiu.net/libre/ntfsundelete-tree/tree/master/':
>> server certificate verification failed. CAfile:
>> /etc/ssl/certs/ca-certificates.crt CRLfile: none
>>
>> Suposo que la utilitat d'empaquetat no reconeix un certificat de Let's
>> encrypt. Algú sap com solventar-ho?
>
> La utilitat no fa res d'especial, delega al sistema operatiu. El que
> passa és que el servidor ha d'enviar la cadena de certificats, no només
> el certificat per git.actiu.net, ha d'enviar també el certificat de
> Let's Encrypt.
>
> De moment, Let's Encrypt no és confiat per Debian, sino que ho és
> IdenTrust. I per això el teu servidor ha d'enviar la cadena dels dos
> certificats: el de Let's Encrypt a continuació del teu. D'aquesta
> manera, el sistema operatiu pot validar que el certificat pel teu
> servidor és vàlid, ja que pot arribat des d'ell a un certificat d'una
> CA ja confiada (IdenTrust).
>
> Per fer-ho pots simplement concatenar el teu certificat (cert.pem) i el
> de LE (le.pem):
>
> % cat cert.pem le.pem > fullchain.pem
>
> I fer que el httpd serveixi fullchain.pem.
>
> No sé quina eina fas servir per generar els certificats, però amb el
> client de LE (ara mantingut per l'EFF) ja genera el fullchain.pem ell
> sol.
>
> Salut,
Gràcies, utilitzant fullchain.pem diverses coses em van millor, incloent
aquest tipus d'utilitats.
Reply to: