由于内部安全政策,我需要一个仅限 P384r1 的证书链。我certbot在 Ubuntu 23.10 上使用 2.1.0。据我了解
certbot certonly -v \\
-a apache -i None \\
--cert-name <my-cert-name> \\
-d <my-domain> \\
--deploy-hook '<reload-command-here'> \\
--key-type ecdsa --elliptic-curve secp384r1 \\
--preferred-chain 'ISRG Root X2'
应该可以解决问题。但是,我得到了错误
Certbot has been configured to prefer certificate chains with issuer 'ISRG Root X2',
but no chain from the CA matched this issuer. Using the default certificate chain instead.
结果是具有 ECDSA P384r1 密钥的订户证书,该密钥由 RSA 2048 中间 CA 证书签名,而该证书又由 RSA 4096 RSA 根证书“ISRG Root X1”签名。
我究竟做错了什么?
答案1
为了获得由 E1 签名的证书(该证书由 ISRG ROOT X2 签名),您必须位于 E1 证书的允许列表中。以下网页可能会让您感兴趣:https://community.letsencrypt.org/t/ecdsa-availability-in-production-environment/150679