ฉันใช้ AKS บน Azure และ Ingress ด้วยใบรับรอง Let's Encrypt (กำหนดค่าโดยhttps://docs.microsoft.com/en-us/azure/aks/ingress-static-ip )

ห่วงโซ่ใบรับรองเริ่มต้นเป็นDST Root CA X3แต่ฉันต้องการเปลี่ยนเป็นทางเลือกISRG Root X1

https://letsencrypt.org/certificates/#cross-signingพูดว่า

Almost all server operators will choose to serve a chain including the intermediate certificate with Subject “Let’s Encrypt Authority X3” and Issuer “DST Root CA X3.”

คุณช่วยบอกฉันที ฉันจะเปลี่ยนใบรับรองกลางเริ่มต้นเป็น ได้Let’s Encrypt Authority X3 (Signed by ISRG Root X1)อย่างไร

ฉันรู้ว่าISRG Root X1ควรเป็นค่าเริ่มต้นในวันที่ 29 กันยายน 2020 ( https://letsencrypt.org/2019/04/15/transitioning-to-isrg-root.html ) ดังนั้นฉันจึงรอได้ (ไม่เหมาะสม) แต่หลังจากนั้นก็มีประโยชน์สำหรับคนที่ต้องการเก็บDST Root CA X3

answer

หากคุณกำลังใช้ใบรับรองผู้จัดการควบคุมตัวเลือกของใบรับรองระดับกลางยังไม่สามารถใช้ได้

แต่นั่นไม่ได้หยุดคุณจากการออกใบรับรองของคุณเองด้วย certbot ซึ่งได้เพิ่มการสนับสนุนเพื่อเลือกโซ่และการติดตั้งที่เกี่ยวกับการเข้า

certbot ... --preferred-chain "ISRG Root X1"

ค่าใด ๆ ที่ไม่รู้จักpreferred-chainจะทำให้ห่วงโซ่เริ่มต้นแก่คุณ

อาจจะช้าไปหน่อย แต่ตอนนี้รองรับแล้ว คุณสามารถกำหนดค่าผู้ออกบัตรของคุณได้ดังนี้:

apiVersion: cert-manager.io/v1
kind: Issuer
metadata:
  name: letsencrypt
spec:
  acme:
    server: https://acme-v02.api.letsencrypt.org/directory
    preferredChain: "ISRG Root X1"

ดูหน้านี้สำหรับเพิ่มเติม