fullchain.pem일부 시스템은 여전히 Ubuntu 16.04에서 실행되고 있으며 쉽게 업그레이드할 수 없지만 올해 후반에는 Ubuntu 22.04 시스템으로 완전히 교체될 예정입니다. 안타깝게도 LetsEncrypt가 이러한 시스템에서 작동하려면 각 라이브 LetsEncrypt Unknown에 추가된 인증서를 제거해야 합니다. 결국 신뢰할 수 있는 권위.
지금은 이 작업을 수동으로 수행하고 있지만 변경하려는 서버에 꽤 많은 인증서가 있으므로 프로그래밍 방식으로 수행할 수 있는 우아한 방법을 찾고 있습니다. 요약하자면 다음과 같습니다.
내 인증서에 있는 세 번째 인증서를 제거하는 우아한 방법( openssl또는 기타 도구 사용)이 있습니까 ?sedfullchain.pem
답변1
openssl당신이 원하는 것을 할 수 있습니다:
$ ( openssl x509; openssl x509 ) < fullchain.pem > first_two.pem
이제 파일 first_two.pem에는 fullchain.pem.
오래된 사람들을 조심하세요DST 루트 CA X3다음 인증서 갱신 시 다시 커집니다. 현재 만료된 루트 CA X3이 필요한 다른 오래된 시스템이 있는 경우가 아니면 만료된 X3 인증서를 완전히 제거하기 위해 LetsEncrypt 갱신 스크립트를 변경하는 것이 좋습니다. --preferred-chain "ISRG Root X1"명령줄 구문에서 해당 옵션을 사용 하면 certbot수신하는 인증서는 이전 루트 CA X3을 전혀 참조하지 않습니다. 이렇게 하면 위의 작업을 수행할 필요가 없습니다.