1. 正常 Let’s Encrypt 产生的凭证:
– 「ISRG根X1 (让我们加密)」的自签的 Root 根凭证(也可从网页下载)。
– 「R3 (让我们加密)」签给「*.abc.com」的网域凭证,此凭证另内含「DST Root CA X3 (IdenTrust)」签给「R3 (让我们加密)」的中间凭证。
2. 完整的签发凭证:
– 「ISRG根X1 (让我们加密)」的自签的 Root 根凭证(可从网页下载)。
– 「ISRG根X1 (让我们加密)」签给「R3 (让我们加密)」的中间凭证(可从网页下载)。
– 「R3 (让我们加密)」签给「*.abc.com」的网域凭证。
3. 由于 Let’s Encrypt 还是个非常新的凭证颁发机构,ISRG Root X1 尚未受到大多数的浏览器的信任。为了使颁发的凭证被广为信任,Let’s Encrypt 向一个已受主流浏览器信任的根凭证 IdenTrust,交互签名后产生了中间凭证。因此另一组完整的签发凭证如下:
– 「DST根CA X3 (IdenTrust)」的自签的 Root 根凭证(可从网页下载)。
– 「DST根CA X3 (IdenTrust)」签给「R3 (让我们加密)」的中间凭证(可从网页下载,亦含在下一个 R3 签给域名的凭证里)。
– 「R3 (让我们加密)」签给「*.abc.com」的网域凭证。
4. 部份网通设备在使用 SSL 凭证时,要使用 3. 的凭证。
5. 在 Windows 汇入「R3 (让我们加密)」签给「*.abc.com」的网域凭证后,会将「DST Root CA X3 (IdenTrust)」签给「R3 (让我们加密)」的中间凭证分离出来显示。另外 Windows 内建的根凭证预设就有「DST Root CA X3 (IdenTrust)」的自签的 Root 根凭证。
【參考連結】
