Я использую AKS в Azure и Ingress с сертификатом Let's Encrypt (настроен https://docs.microsoft.com/en-us/azure/aks/ingress-static-ip)
Цепочка сертификатов по умолчанию DST Root CA X3
но я бы хотел поменять его на альтернативу ISRG Root X1
https://letsencrypt.org/certificates/#cross-signing говорит
Почти все операторы серверов предпочтут обслуживать цепочку, включающую промежуточный сертификат с субъектом «Let's Encrypt Authority X3» и эмитентом «DST Root CA X3».
Можете ли вы сказать мне, как я могу изменить промежуточный сертификат по умолчанию на Let’s Encrypt Authority X3 (Signed by ISRG Root X1)
?
Я знаю ISRG Root X1
должен стать дефолтом 29 сентября 2020 г. (https://letsencrypt.org/2019/04/15/transitioning-to-isrg-root.html) так что я могу просто подождать (не оптимально). Но после этого это может быть полезно для тех, кому нужно сохранить DST Root CA X3
Если вы используете сертификат-менеджер, дополнительный контроль промежуточного сертификата еще не доступен.
Это не мешает вам выпустить собственный сертификат с помощью certbot, который добавлена поддержка выбора цепочки и установка этого на входе.
certbot ... --preferred-chain "ISRG Root X1"
Любое неизвестное значение для preferred-chain
даст вам цепочку по умолчанию.