V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
wuchuwei
V2EX  ›  问与答

letsencrypt 如何使用新证书链(ISRG Root X1)签名网站证书

  •  
  •   wuchuwei · 2021-08-31 09:53:13 +08:00 · 1961 次点击
    这是一个创建于 1166 天前的主题,其中的信息可能已经有所发展或是发生改变。
    使用--preferred-chain "ISRG Root X1" 签出来的证书还是 DST root ca x3 这个证书链。因为网站不考滤老设备的兼容问题想提前过度到 ISRG Root X1 。
    6 条回复    2021-08-31 11:15:01 +08:00
    jim9606
        2
    jim9606  
       2021-08-31 10:24:19 +08:00
    建议直接用 ECC 证书链,也就是 X1->X2->E1 这条链,填一个表单请求将账户列入白名单
    ( https://community.letsencrypt.org/t/ecdsa-availability-in-production-environment/150679 )
    wuchuwei
        3
    wuchuwei  
    OP
       2021-08-31 10:26:33 +08:00
    @phy25 我理解不了你发的连接上面的意思。你能给我讲一下吗?
    lanternxx
        4
    lanternxx  
       2021-08-31 11:08:36 +08:00   ❤️ 1
    Let's Encrypt 现在默认提供的证书链是 Server <-- R3 <-- X1 <-- DSTX3 这样的,但是浏览器的证书链选择是个玄学问题,不一定按你服务器发的证书链来( FireFox 更是完全不管服务器发送的中间证书)
    所以正如一楼提供的链接所说,你没有办法控制每个浏览器显示的证书链
    wuchuwei
        5
    wuchuwei  
    OP
       2021-08-31 11:14:16 +08:00
    wuchuwei
        6
    wuchuwei  
    OP
       2021-08-31 11:15:01 +08:00
    @lanternxx
    @phy25
    @jim9606 谢谢大家
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1146 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 23ms · UTC 23:51 · PVG 07:51 · LAX 15:51 · JFK 18:51
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.