1. 正常 Let’s Encrypt 產生的憑證:
– 「ISRG Root X1 (Let’s Encrypt)」的自簽的 Root 根憑證(也可從網頁下載)。
– 「R3 (Let’s Encrypt)」簽給「*.abc.com」的網域憑證,此憑證另內含「DST Root CA X3 (IdenTrust)」簽給「R3 (Let’s Encrypt)」的中間憑證。
2. 完整的簽發憑證:
– 「ISRG Root X1 (Let’s Encrypt)」的自簽的 Root 根憑證(可從網頁下載)。
– 「ISRG Root X1 (Let’s Encrypt)」簽給「R3 (Let’s Encrypt)」的中間憑證(可從網頁下載)。
– 「R3 (Let’s Encrypt)」簽給「*.abc.com」的網域憑證。
3. 由於 Let’s Encrypt 還是個非常新的憑證頒發機構,ISRG Root X1 尚未受到大多數的瀏覽器的信任。為了使頒發的憑證被廣為信任,Let’s Encrypt 向一個已受主流瀏覽器信任的根憑證 IdenTrust,交互簽名後產生了中間憑證。因此另一組完整的簽發憑證如下:
– 「DST Root CA X3 (IdenTrust)」的自簽的 Root 根憑證(可從網頁下載)。
– 「DST Root CA X3 (IdenTrust)」簽給「R3 (Let’s Encrypt)」的中間憑證(可從網頁下載,亦含在下一個 R3 簽給域名的憑證裡)。
– 「R3 (Let’s Encrypt)」簽給「*.abc.com」的網域憑證。
4. 部份網通設備在使用 SSL 憑證時,要使用 3. 的憑證。
5. 在 Windows 匯入「R3 (Let’s Encrypt)」簽給「*.abc.com」的網域憑證後,會將「DST Root CA X3 (IdenTrust)」簽給「R3 (Let’s Encrypt)」的中間憑證分離出來顯示。另外 Windows 內建的根憑證預設就有「DST Root CA X3 (IdenTrust)」的自簽的 Root 根憑證。
【參考連結】
- Chain of Trust – Let’s Encrypt – Free SSL/TLS Certificates
- 憑證信任鏈 – Let’s Encrypt – 免費的 SSL/TLS 憑證