【筆記】Let’s Encrypt 憑證相關

1. 正常 Let’s Encrypt 產生的憑證:
– 「ISRG Root X1 (Let’s Encrypt)」的自簽的 Root 根憑證(也可從網頁下載)。
– 「R3 (Let’s Encrypt)」簽給「*.abc.com」的網域憑證,此憑證另內含「DST Root CA X3 (IdenTrust)」簽給「R3 (Let’s Encrypt)」的中間憑證。

 

2. 完整的簽發憑證:
– 「ISRG Root X1 (Let’s Encrypt)」的自簽的 Root 根憑證(可從網頁下載)。
– 「ISRG Root X1 (Let’s Encrypt)」簽給「R3 (Let’s Encrypt)」的中間憑證(可從網頁下載)。
– 「R3 (Let’s Encrypt)」簽給「*.abc.com」的網域憑證。

 

3. 由於 Let’s Encrypt 還是個非常新的憑證頒發機構,ISRG Root X1 尚未受到大多數的瀏覽器的信任。為了使頒發的憑證被廣為信任,Let’s Encrypt 向一個已受主流瀏覽器信任的根憑證 IdenTrust,交互簽名後產生了中間憑證。因此另一組完整的簽發憑證如下:
– 「DST Root CA X3 (IdenTrust)」的自簽的 Root 根憑證(可從網頁下載)。
– 「DST Root CA X3 (IdenTrust)」簽給「R3 (Let’s Encrypt)」的中間憑證(可從網頁下載,亦含在下一個 R3 簽給域名的憑證裡)。
– 「R3 (Let’s Encrypt)」簽給「*.abc.com」的網域憑證。

 

4. 部份網通設備在使用 SSL 憑證時,要使用 3. 的憑證。

 

5. 在 Windows 匯入「R3 (Let’s Encrypt)」簽給「*.abc.com」的網域憑證後,會將「DST Root CA X3 (IdenTrust)」簽給「R3 (Let’s Encrypt)」的中間憑證分離出來顯示。另外 Windows 內建的根憑證預設就有「DST Root CA X3 (IdenTrust)」的自簽的 Root 根憑證。

 

【參考連結】

Leave a Comment

Please note: Comment moderation is enabled and may delay your comment. There is no need to resubmit your comment.