我在Ubuntu 16.04 Apache服务器上安装了LetsEncrypt。它在letsencrypt / live目录下生成了4个.pem文件。我正在使用公共和证书固定机制并将它们转储到iOS应用程序包中。为了避免在续订时更新应用程序,我已经读过它必须使用--csr标志进行续订,但却无法获得更多帮助。可以letsencrpyt更新我想要的方式或我需要使用其他客户端?我是否必须重新生成所有证书,因为在使用Letsncrypt创建证书时,我确定它只生成了pem而没有生成csr文件。感谢。
答案 0 :(得分:0)
LE生成的csr可以在/ etc / letsencrypt / csr中找到。我选择了最新的csr文件(通常是具有最高整数的文件是最新的,例如:0005_csr-letsencrypt.pem将是0004的最新版本)并使用上述命令续订证书:
letsencrypt certonly —csr /etc/letsencrypt/csr/0005_csr-letsencrypt.pem
这将生成在同一目录中调用的3个文件:
000x_chain.pem - has same PubKey but new expiry (what we need)
000x_chain.pem - has some CA information
000x_cert.pem - the cert which will match the PubKey of the cert
我将000x_cert.pem用于我的应用包。因此,每次我更新证书,即使我不替换应用程序中的000x_cert.pem,我也可以点击服务器。它的工作方式与公钥相同。感谢。