letsencrypt 如何使用新证书链（ISRG Root X1）签名网站证书

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

V2EX 提问指南

这是一个创建于 959 天前的主题，其中的信息可能已经有所发展或是发生改变。

使用--preferred-chain "ISRG Root X1" 签出来的证书还是 DST root ca x3 这个证书链。因为网站不考滤老设备的兼容问题想提前过度到 ISRG Root X1 。

isrg

root

证书

证书链

6 条回复 • 2021-08-31 11:15:01 +08:00

phy25

2021-08-31 10:03:32 +08:00 via Android

https://community.letsencrypt.org/t/how-to-obtain-a-certificate-with-sole-root-ca-of-isrg-root-x1/139788/5

jim9606

2021-08-31 10:24:19 +08:00

建议直接用 ECC 证书链，也就是 X1->X2->E1 这条链，填一个表单请求将账户列入白名单
( https://community.letsencrypt.org/t/ecdsa-availability-in-production-environment/150679 )

wuchuwei

2021-08-31 10:26:33 +08:00

@phy25 我理解不了你发的连接上面的意思。你能给我讲一下吗？

lanternxx

2021-08-31 11:08:36 +08:00

Let's Encrypt 现在默认提供的证书链是 Server <-- R3 <-- X1 <-- DSTX3 这样的，但是浏览器的证书链选择是个玄学问题，不一定按你服务器发的证书链来（ FireFox 更是完全不管服务器发送的中间证书）
所以正如一楼提供的链接所说，你没有办法控制每个浏览器显示的证书链

wuchuwei

2021-08-31 11:14:16 +08:00

@lanternxx
@jim9606
@phy25

wuchuwei

2021-08-31 11:15:01 +08:00

@lanternxx
@phy25
@jim9606 谢谢大家