В настоящее время я использую сертификаты от StartCom для моего размещенного виртуального сервера. Поскольку серверы StartCom OCSP временами работают нестабильно, я подумывал о переходе на Let's Encrypt. Их сервис также менее проблематичен.
Насколько я понял, Let's Encrypt certbot
создает новые пары ключей, когда я запрашиваю новый сертификат, по крайней мере, в первый раз его использования.
Поскольку мой сервер работает с заголовком HPKP, я не могу просто заменить пару ключей, так как я настроил его для закрепления открытого ключа.
Теперь мой вопрос: могу ли я сказать Let's Encrypt certbot
использовать данный ключ для новых сертификатов? Или есть другое решение для перехода на Let's Encrypt с HPKP?
Обновить: Я только что нашел сообщение на форуме сообщества Let's Encrypt, в котором говорится, что в настоящее время он не поддерживается клиентом Let's Encrypt по состоянию на ноябрь 2015 года. https://community.letsencrypt.org/t/hpkp-best-practices-if-you-choose-to-implement/4625 Единственный вариант сейчас - закрепить промежуточный открытый ключ с резервным ключом для использования с другим ЦС.
Если кто-то знает более свежие новости или имеет другую идею, я рад это слышать.
Прочитав еще немного, я обнаружил, что у великого "Scrott Helme" уже есть руководство именно по моей проблеме.
По сути, используя другой клиент ACME, называемый acme-tiny
вы можете запросить сертификат с вашим собственным ключом и запросом на подпись.
Вот ссылка на учебник: https://scotthelme.co.uk/setting-up-le/