Как не менять ключи при обновлении механизма закрепления SSL

Question

Как не менять ключи при обновлении механизма закрепления SSL

Я установил LetsEncrypt на сервер Apache Ubuntu 16.04. Он сгенерировал 4 файла.pem в своей директории letsencrypt/live. Я использую общедоступный механизм закрепления сертификатов и выкидываю их в комплект приложений iOS. Чтобы избежать обновления приложения при обновлении, я прочитал, что оно должно быть обновлено с помощью флага --csr, но не смогу получить большую помощь по этому вопросу. Может ли letsencrpyt обновить способ, которым я хочу, или мне нужно использовать какой-нибудь другой клиент? Нужно ли мне регенерировать все сертификаты, так как я уверен, что при создании сертификатов с помощью Letsncrypt он генерировал только pem и никаких csr-файлов. Благодарю.

0

apache ssl ssl-certificate lets-encrypt certbot

Источник

user1562599 20 мар '17 в 10:03

1 ответ

Другие вопросы по тегам apache ssl ssl-certificate lets-encrypt certbot

user1562599 23 мар '17 в 12:36 2017-03-23 12:36 · Answer 1 · 2017-03-23 12:36

Csr, сгенерированный LE, можно найти в / etc / letsencrypt / csr. Я выбрал самый последний файл csr (обычно тот, который имеет самое большое целое число, является самым последним, например: 0005_csr-letsencrypt.pem будет самым последним до 0004) и обновил сертификат с помощью приведенной выше команды:

letsencrypt certonly —csr /etc/letsencrypt/csr/0005_csr-letsencrypt.pem

Это сгенерирует 3 файла, вызываемых в одном каталоге:

000x_chain.pem - has same PubKey but new expiry (what we need)
000x_chain.pem - has some CA information 
000x_cert.pem - the cert which will match the PubKey of the cert

Я использовал 000x_cert.pem для своего пакета приложений. Поэтому каждый раз, когда я обновлял сертификат, я мог подключиться к серверу, даже если я не заменил 000x_cert.pem в приложении. Работает так как открытый ключ будет таким же. Благодарю.