我已经在 Ubuntu 16.04 Apache 服务器上安装了 LetsEncrypt。它在letsencrypt/live 目录下生成了4 个.pem 文件。我正在使用公共和证书固定机制并将它们转储到 iOS 应用程序包中。为了避免在续订时更新应用程序,我已经读到它必须使用 --csr 标志进行更新,但在这方面无法获得太多帮助。letsencrpyt 可以按照我想要的方式更新或者我需要使用其他客户端吗?我是否必须重新生成所有证书,因为我确信它在使用 Letsncrypt 创建证书时只生成 pem 而没有 csr 文件。谢谢。
问问题
351 次
1 回答
0
LE 生成的 csr 可以在 /etc/letsencrypt/csr 中找到。我选择了最新的 csr 文件(通常具有最大整数的文件是最新的,例如:0005_csr-letsencrypt.pem 将最新到 0004)并使用上述命令更新证书:
letsencrypt certonly —csr /etc/letsencrypt/csr/0005_csr-letsencrypt.pem
这将生成在同一目录中调用的 3 个文件:
000x_chain.pem - has same PubKey but new expiry (what we need)
000x_chain.pem - has some CA information
000x_cert.pem - the cert which will match the PubKey of the cert
我将 000x_cert.pem 用于我的应用程序包。因此,每次我更新证书时,即使我没有替换应用程序中的 000x_cert.pem,我也可以访问服务器。它的工作原理是公钥相同。谢谢。
于 2017-03-23T12:36:41.840 回答