fullchain.pem一部のシステムはまだUbuntu 16.04で実行されており、簡単にアップグレードすることはできませんが、今年後半にはUbuntu 22.04システムと完全に交換される予定です。残念ながら、LetsEncryptがこれらのシステムで機能するには、各Live LetsEncrypt Unknownに追加された証明書を削除する必要があります。最終的に信頼できる権威。
今私はこれを手動で実行していますが、変更したいサーバーにはかなり多くの証明書があるので、プログラムで実行できるエレガントな方法を探しています。要約すると、次のようになります。
私の証明書の3番目の証明書を削除するためのエレガントな方法(opensslまたは他のツールを使用)はありますか?sedfullchain.pem
答え1
opensslあなたがしたいことをすることができます:
$ ( openssl x509; openssl x509 ) < fullchain.pem > first_two.pem
今ファイルfirst_two.pemにfullchain.pem。
古い人に注意してくださいDSTルートCA X3次の証明書を更新すると再び大きくなります。現在期限切れのルートCA X3を必要とする他の古いシステムがある場合を除き、期限切れのX3証明書を完全に削除するためにLetsEncrypt更新スクリプトを変更することをお勧めします。--preferred-chain "ISRG Root X1"コマンドライン構文でそのオプションを使用すると、受信した証明書certbotは以前のルートCA X3をまったく参照しません。これにより、上記の作業を行う必要がなくなります。