1. 正常 Let’s Encrypt 生成的证书:
– ‘ISRG Root X1’ (Let’s Encrypt)」的自簽的 Root 根憑證(也可從網頁下載)。
– 「R3 (Let’s Encrypt)」簽給「*.abc.com」的網域憑證,此憑證另內含「DST Root CA X3 (IdenTrust)」簽給「R3 (Let’s Encrypt)」的中間憑證。
2. 完整的簽發憑證:
– ‘ISRG Root X1’ (Let’s Encrypt)」的自簽的 Root 根憑證(可從網頁下載)。
– ‘ISRG Root X1’ (Let’s Encrypt)」簽給「R3 (Let’s Encrypt)」的中間憑證(可從網頁下載)。
– 「R3 (Let’s Encrypt)」簽給「*.abc.com」的網域憑證。
3. 由於 Let’s Encrypt 還是個非常新的憑證頒發機構,ISRG Root X1 尚未受到大多數的瀏覽器的信任。為了使頒發的憑證被廣為信任,Let’s Encrypt 向一個已受主流瀏覽器信任的根憑證 IdenTrust,交互簽名後產生了中間憑證。因此另一組完整的簽發憑證如下:
– 「DST Root CA X3 (IdenTrust)」的自簽的 Root 根憑證(可從網頁下載)。
– 「DST Root CA X3 (IdenTrust)」簽給「R3 (Let’s Encrypt)」的中間憑證(可從網頁下載,亦含在下一個 R3 簽給域名的憑證裡)。
– 「R3 (Let’s Encrypt)」簽給「*.abc.com」的網域憑證。
4. 部份網通設備在使用 SSL 憑證時,要使用 3. 的证书。
5. 在 Windows 匯入「R3 (Let’s Encrypt)」簽給「*.abc.com」的網域憑證後,會將「DST Root CA X3 (IdenTrust)」簽給「R3 (Let’s Encrypt)」的中间证书分离出来显示。另外 Windows 内置的根证书默认就有「DST Root CA X3 (IdenTrust)」的自簽的 Root 根憑證。
【参考链接】
留下回复