是否可以基于客户端的浏览器使用或协商不同的SSL证书
我现在正在使用let's encrypt,我计划从现在开始使用我自己的CA。其用途是用于个人媒体服务器和云存储 现在我可以在我自己的设备上安装根CA,但偶尔我在分享东西时会有访客。我为访问者提供了安装证书,但并非所有访问者都这样做 我的问题是,如果我的rootCA签名证书安装在客户端系统/浏览器上,是否可以使用它,或者回退并使用let's encrypt是否可以基于客户端的浏览器使用或协商不同的SSL证书,ssl,encryption,ssl-certificate,tls1.2,lets-encrypt,Ssl,Encryption,Ssl Certificate,Tls1.2,Lets Encrypt,我现在正在使用let's encrypt,我计划从现在开始使用我自己的CA。其用途是用于个人媒体服务器和云存储 现在我可以在我自己的设备上安装根CA,但偶尔我在分享东西时会有访客。我为访问者提供了安装证书,但并非所有访问者都这样做 我的问题是,如果我的rootCA签名证书安装在客户端系统/浏览器上,是否可以使用它,或者回退并使用let's encrypt 让我们加密已经足够好了,但是每3个月重新发布一次,验证域是一件痛苦的事情,尤其是在没有通配符的情况下 否。ClientHello消息不包含任何
让我们加密已经足够好了,但是每3个月重新发布一次,验证域是一件痛苦的事情,尤其是在没有通配符的情况下 否。ClientHello消息不包含任何有关已识别CA的信息。您描述的问题对我来说没有任何意义:如果您使用Let's Encrypt作为回退,并且您希望客户端需要此回退,那么您仍然需要始终更新Let's Encrypt证书。在这种情况下,为什么还要尝试在Let's Encrypt证书之外使用您自己的CA来增加复杂性?即使您不使用LE证书:使用OCSP响应程序CRL正确管理您自己的CA基础设施。。。可能比每隔几个月自动更新一次Let’s Encrypt证书更费劲。不在同一个域上。但是,如果您的服务器可以配置为在两个具有不同DNS名称的域上提供相同的内容,则这是可能的—一个用于自签名,另一个用于let's-encrypt。顺便说一句:有让我们加密客户端,使一切自动。