我在 Azure 上使用 AKS 和 Ingress,并使用 Let's Encrypt 证书(由https://docs.microsoft.com/en-us/azure/aks/ingress-static-ip)
证书链默认为,DST Root CA X3
但我想将其更改为替代ISRG Root X1
https://letsencrypt.org/certificates/#cross-signing说
几乎所有服务器运营商都会选择提供包含中间证书的链,证书主体为“Let's Encrypt Authority X3”,颁发者为“DST Root CA X3”。
你能告诉我,如何将默认中间证书更改为Let’s Encrypt Authority X3 (Signed by ISRG Root X1)
?
我知道ISRG Root X1
应该在 2020 年 9 月 29 日成为默认设置(https://letsencrypt.org/2019/04/15/transitioning-to-isrg-root.html)所以我只能等待(不是最佳选择)。但之后这对于需要保持DST Root CA X3
答案1
但这并不能阻止你用 certbot 颁发自己的证书增加了选择链条的支持和在入口处安装。
certbot ... --preferred-chain "ISRG Root X1"
任何未知的值preferred-chain
都会为您提供默认链。
答案2
可能有点晚了,但现在已经支持了。您可以像这样配置您的发行者:
apiVersion: cert-manager.io/v1
kind: Issuer
metadata:
name: letsencrypt
spec:
acme:
server: https://acme-v02.api.letsencrypt.org/directory
preferredChain: "ISRG Root X1"
看这一页更多