Я являюсь автором Greenlock , совместимого с certbot клиента Let's Encrypt v2, поэтому мне также пришлось изучить все эти тонкости.
Надеюсь, это поможет:
KEY
privkey.pem - это файл "ключа"
Иногда он неправильно назван cert.key или example.com.key.
CRT
fullchain.pem - это ваш файл "crt".
Иногда он неправильно назван example.com.crt.
CRT / KEY Bundle
bundle.pem будет выглядеть так: cat fullchain.pem privkey.pem > bundle.pem
HAProxy - единственный известный мне сервер, использующий bundle.pem.
Однако вы обычно не используете сертификат.pem сам по себе.Он почти всегда связан с chain.pem как fullchain.pem.
cert.pem
cert.pem содержит ТОЛЬКО ваш сертификат, который может использоваться только сам по себе, если браузер уже имеет сертификаткоторый подписал его, что может работать при тестировании (что может показаться, что это может быть правильный файл), но на самом деле для многих ваших пользователей произойдет сбой из-за ошибки безопасности ненадежного сертификата.
цепочка.pem
chain.pem - это промежуточный подписанный орган, подписанный корневым органом - это то, что гарантируется всем браузерам в их предварительно собранном кэше.
Проверка сертификатов
Вы можете проверить сертификат только следующим образом:
openssl x509 -in certificate.crt -text -noout
Здесь приведен список полезных команд:
https://www.sslshopper.com/article-most-common-openssl-commands.html