如何更改 Kubernetes Ingress 中的預設證書鏈

我在 Azure 和 Ingress 上使用 AKS 和 Let’s Encrypt 證書（由https://docs.microsoft.com/en-us/azure/aks/ingress-static-ip配置）

證書鏈預設為，DST Root CA X3但我想將其更改為替代ISRG Root X1

https://letsencrypt.org/certificates/#cross-signing說

幾乎所有的伺服器運營商都會選擇服務鏈，包括帶有主題“Let’s Encrypt Authority X3”和頒發者“DST Root CA X3”的中間證書。

你能告訴我，我怎樣才能將預設的中間證書更改為Let’s Encrypt Authority X3 (Signed by ISRG Root X1)？

我知道ISRG Root X1應該在 2020 年 9 月 29 日 ( https://letsencrypt.org/2019/04/15/transitioning-to-isrg-root.html ) 成為預設設置，所以我可以等待（不是最佳的）。但在那之後，這對需要保留的人很有用DST Root CA X3

如果您使用的是cert-manager，則中間證書的可選控制尚不可用。

這不會阻止您使用 certbot 頒發自己的證書，該證書增加了對選擇鏈的支持並將其安裝在 ingress 上。

certbot ... --preferred-chain "ISRG Root X1"

任何未知值preferred-chain都會為您提供預設鏈。

也許晚了點，但現在支持。您可以像這樣配置您的發行人：

apiVersion: cert-manager.io/v1
kind: Issuer
metadata:
 name: letsencrypt
spec:
 acme:
   server: https://acme-v02.api.letsencrypt.org/directory
   preferredChain: "ISRG Root X1"

有關更多資訊，請參閱此頁面

引用自：https://serverfault.com/questions/1029789