Назад | Перейти на главную страницу

Как изменить цепочку сертификатов по умолчанию в Kubernetes Ingress

Я использую AKS в Azure и Ingress с сертификатом Let's Encrypt (настроен https://docs.microsoft.com/en-us/azure/aks/ingress-static-ip)

Цепочка сертификатов по умолчанию DST Root CA X3 но я бы хотел поменять его на альтернативу ISRG Root X1

https://letsencrypt.org/certificates/#cross-signing говорит

Почти все операторы серверов предпочтут обслуживать цепочку, включающую промежуточный сертификат с субъектом «Let's Encrypt Authority X3» и эмитентом «DST Root CA X3».

Можете ли вы сказать мне, как я могу изменить промежуточный сертификат по умолчанию на Let’s Encrypt Authority X3 (Signed by ISRG Root X1)?

Я знаю ISRG Root X1 должен стать дефолтом 29 сентября 2020 г. (https://letsencrypt.org/2019/04/15/transitioning-to-isrg-root.html) так что я могу просто подождать (не оптимально). Но после этого это может быть полезно для тех, кому нужно сохранить DST Root CA X3

Если вы используете сертификат-менеджер, дополнительный контроль промежуточного сертификата еще не доступен.

Это не мешает вам выпустить собственный сертификат с помощью certbot, который добавлена ​​поддержка выбора цепочки и установка этого на входе.

certbot ... --preferred-chain "ISRG Root X1"

Любое неизвестное значение для preferred-chain даст вам цепочку по умолчанию.