【笔记】Let’s Encrypt 凭证相关

1. 正常 Let’s Encrypt 产生的凭证:
– 「ISRG Root X1」的自签的 Root 根凭证(也可从网页下载)。
– 「R3 (让我们加密)」签给「*.abc.com」的网域凭证,此凭证内含「DST Root CA X3 (IdenTrust)」签给「R3 (让我们加密)」的中间凭证。

 

2. 完整的签发凭证:
– 「ISRG根X1 (让我们加密)」的自签的 Root 根凭证(可从网页下载)。
– 「ISRG根X1 (让我们加密)」签给「R3 (让我们加密)」的中间凭证(可从网页下载)。
– 「R3 (让我们加密)」签给「*.abc.com」的网域凭证。

 

3. 由于 Let’s Encrypt 还是个非常新的凭证颁发机构,ISRG Root X1 尚未受到大多数的浏览器的信任。为了使颁发的凭证被广为信任,Let’s Encrypt 向一个已受主流浏览器信任的根凭证 IdenTrust,交互签名后产生了中间凭证。因此另一组完整的签发凭证如下:
– 「DST根CA X3 (IdenTrust)」的自签的 Root 根凭证(可从网页下载)。
– 「DST根CA X3 (IdenTrust)」签给「R3 (让我们加密)」的中间凭证(可从网页下载,亦含在下一个 R3 签给域名的凭证里)。
– 「R3 (让我们加密)」签给「*.abc.com」的网域凭证。

 

4. 部份网通设备在使用 SSL 凭证时,要使用 3. 的凭证。

 

5. 在 Windows 汇入「R3 (让我们加密)」签给「*.abc.com」的网域凭证后,会将「DST Root CA X3 (IdenTrust)」签给「R3 (让我们加密)」的中间凭证分离出来显示。另外 Windows 内建的根凭证预设就有「DST Root CA X3 (IdenTrust)」的自签的 Root 根凭证。

 

【參考連結】

  • 信任链 – 让我们加密 – 免费的SSL / TLS证书
  • 凭证信任链 – 让我们加密 – 免费的 SSL/TLS 凭证

发表评论

请注意:: 评论审核已启用,可能会耽误您的评论. 有没有必要重新提交您的评论.