V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
shaojz2005
V2EX  ›  SSL

使用 Let's Encrypt 自动部署证书,在 win7 下会提示证书不可用,怎么处理比较好?

  •  
  •   shaojz2005 · 2022-03-30 21:15:08 +08:00 · 2736 次点击
    这是一个创建于 993 天前的主题,其中的信息可能已经有所发展或是发生改变。

    使用 Let's Encrypt 自动部署证书,在 win7 下会提示证书不可用。好像是 win7 的根证书有问题,大家遇到过这种情况吗?怎么处理比较好?

    16 条回复    2022-04-02 15:48:59 +08:00
    shaojz2005
        1
    shaojz2005  
    OP
       2022-03-30 21:21:45 +08:00
    很多帖子说的是让用户自己更新证书,但我想知道的是也没有办法在仍然使用 lets encrypt 的情况下,不需要用户做出更改可以解决的办法。毕竟你不一定能接触到用户的。
    ly841000
        2
    ly841000  
       2022-03-30 21:33:26 +08:00
    不可以,没有办法,win7 系统更新到最新版本应该可用
    @shaojz2005
    timpaik
        3
    timpaik  
       2022-03-30 21:37:42 +08:00 via Android
    没办法改变用户的内置系统证书。win7 早已停止支持,估计也没系统更新帮你更新证书了。
    CEBBCAT
        4
    CEBBCAT  
       2022-03-30 22:05:22 +08:00 via iPhone
    可以加钱吗?找那些系统根证书里还没有过期的 CA ?或者我记得 Firefox 自带证书,推荐用户使用火狐?


    或者 360 哈哈哈
    nightwitch
        5
    nightwitch  
       2022-03-31 00:40:46 +08:00
    让用户用自带有根证书的浏览器
    Rocketer
        6
    Rocketer  
       2022-03-31 01:01:59 +08:00 via iPhone
    Let’s Encrypt 的根早就过期了啊,现在是在玩一些 trick 以获得部分系统的支持,并不保险。

    acme 默认都已经改用 Zero SSL 了,你也能换就换吧。
    JensenQian
        7
    JensenQian  
       2022-03-31 01:20:13 +08:00 via Android   ❤️ 1
    换证书 acme.sh 部署的话可以换成 zerossl,然后最近 trust asia 也整了个免费三个月泛域名证书,支持 acme,国内 ocsp,https://blog.freessl.cn/acme-quick-start/
    shaojz2005
        8
    shaojz2005  
    OP
       2022-03-31 08:52:13 +08:00
    @JensenQian 感谢,但是感觉用别的证书,还是存在隐患,可能以后不能用
    Showfom
        9
    Showfom  
       2022-03-31 09:18:53 +08:00   ❤️ 2
    @shaojz2005 #8 这话说的,你再过 10 年,Win 7 上所有的 CA 证书都到期了,你就啥都用不了了,还用 Win7 干啥呢
    ruixue
        10
    ruixue  
       2022-03-31 09:50:35 +08:00   ❤️ 1
    目前来说换 zerossl 是个比较好的解决方案,同样的免费三个月,支持 acme ,支持泛域名,限制还比 let's encrypt 少,可选 ecc 证书链,中间证书 2030 年才到期,还支持 ip 证书,acme.sh 已经默认改用 zerossl 了
    anjianshi
        11
    anjianshi  
       2022-03-31 09:58:35 +08:00
    修正前面 Rocketer 的话。

    1. Let's Encrypt 最早使用的根证书 "DST Root CA X3" 过期了,但他们有新的根证书 "ISRG Root X1"
    详见这篇帖子: https://www.ohyee.cc/post/note_lets_encrypt

    2. acme.sh 默认改用 zerossl ,有一部分原因是 zerossl 赞助了它。
    详见这篇帖子下的评论: https://community.letsencrypt.org/t/the-acme-sh-will-change-default-ca-to-zerossl-on-august-1st-2021/144052
    anjianshi
        12
    anjianshi  
       2022-03-31 10:00:01 +08:00
    如果不需要老设备的支持,Let's Encrypt 依然是可信的。
    3dwelcome
        13
    3dwelcome  
       2022-03-31 10:13:53 +08:00
    你的 win7 不是 sp2 吧,我这里没问题啊。

    https://letsencrypt.org/docs/certificate-compatibility/

    这里写着只要是 winxp sp3 以上的,就会自动更新根证书。

    你客户的 win7 ,可能是国内修改过的系统,手动关闭了 window update 的功能。( Windows 7 comes with a small list of trusted CAs installed but automatically imports CAs as necessary from the Microsoft Windows Update service )
    chotow
        14
    chotow  
       2022-03-31 10:14:43 +08:00
    最简单的方案是换 ZeroSSL ,虽然我个人不喜欢它。
    对于 Windows ,更详细的解决方案可参见: https://docs.certifytheweb.com/docs/kb/kb-202109-letsencrypt/
    Let’s Encrypt 现在用的默认链其实是过期 DST 交叉签 ISRG ,但这只是让低版本的 Android 可以继续用到 2024 年。我刚在虚拟机里的 Windows 7 试了下,最新版 Edge 、360 极速浏览器都正常,显示的根证书是 2015 年开始的 ISRG ,我也好奇为什么这个证书出现了( VMware Tools ?)。
    Yusky
        15
    Yusky  
       2022-03-31 13:33:08 +08:00
    eeeeem , 买个收费的不舒服嘛。。。 也不贵啊
    laozhoubuluo
        16
    laozhoubuluo  
       2022-04-02 15:48:59 +08:00   ❤️ 1
    @chotow Windows 支持根证书自动更新功能,除非这个功能被手动关闭或者 Windows Update 被关闭否则都会自动下载 ISRG 根。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5854 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 76ms · UTC 02:02 · PVG 10:02 · LAX 18:02 · JFK 21:02
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.