letsencrypt 如何使用新证书链(ISRG Root X1)签名网站证书

2021-08-31 09:53:13 +08:00
 wuchuwei
使用--preferred-chain "ISRG Root X1" 签出来的证书还是 DST root ca x3 这个证书链。因为网站不考滤老设备的兼容问题想提前过度到 ISRG Root X1 。
1795 次点击
所在节点    问与答
6 条回复
phy25
2021-08-31 10:03:32 +08:00
https://community.letsencrypt.org/t/how-to-obtain-a-certificate-with-sole-root-ca-of-isrg-root-x1/139788/5
jim9606
2021-08-31 10:24:19 +08:00
建议直接用 ECC 证书链,也就是 X1->X2->E1 这条链,填一个表单请求将账户列入白名单
( https://community.letsencrypt.org/t/ecdsa-availability-in-production-environment/150679 )
wuchuwei
2021-08-31 10:26:33 +08:00
@phy25 我理解不了你发的连接上面的意思。你能给我讲一下吗?
lanternxx
2021-08-31 11:08:36 +08:00
Let's Encrypt 现在默认提供的证书链是 Server <-- R3 <-- X1 <-- DSTX3 这样的,但是浏览器的证书链选择是个玄学问题,不一定按你服务器发的证书链来( FireFox 更是完全不管服务器发送的中间证书)
所以正如一楼提供的链接所说,你没有办法控制每个浏览器显示的证书链
wuchuwei
2021-08-31 11:14:16 +08:00
@lanternxx
@jim9606
@phy25
wuchuwei
2021-08-31 11:15:01 +08:00
@lanternxx
@phy25
@jim9606 谢谢大家

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/798975

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX