J'ai installé LetsEncrypt sur un serveur Apache Ubuntu 16.04. Il a généré 4 fichiers .pem sous son répertoire letsencrypt/live. J'utilise le mécanisme d'épinglage du public et du certificat et je les mets dans le lot d'applications iOS. Pour éviter de mettre à jour l'application lors du renouvellement, j'ai lu qu'elle doit être renouvelée en utilisant un drapeau --csr mais n'a pas pu obtenir beaucoup d'aide à ce sujet. Est-ce que letsencrpyt peut renouveler la façon dont je veux ou dois-je utiliser un autre client? Est-ce que je dois régénérer tous les certs comme suis sûr qu'il a produit seulement des dossiers de pem et de csr tout en créant des certificats avec Letsncrypt. Merci.Comment ne pas changer les clés lors du renouvellement du mécanisme d'épinglage SSL
0
A
Répondre
0
Le fichier csr généré par LE peut être trouvé dans/etc/letsencrypt/csr. Je pris le dernier fichier rse (généralement celui qui a le plus grand nombre entier est le dernier, par exemple: 0005_csr-letsencrypt.pem sera le dernier à 0004) et renouvelé le certificat avec la commande ci-dessus:
letsencrypt certonly —csr /etc/letsencrypt/csr/0005_csr-letsencrypt.pem
Cette volonté générer 3 fichiers appelés dans le même répertoire:
000x_chain.pem - has same PubKey but new expiry (what we need)
000x_chain.pem - has some CA information
000x_cert.pem - the cert which will match the PubKey of the cert
J'ai utilisé le 000x_cert.pem pour mon paquet d'applications. Donc, chaque fois que j'ai renouvelé le certificat, je pourrais frapper le serveur même si je ne remplace pas le 000x_cert.pem dans l'application. Cela fonctionne comme la clé publique sera la même. Merci.