是否可以基于客户端的浏览器使用或协商不同的SSL证书

我现在正在使用let's encrypt，我计划从现在开始使用我自己的CA。其用途是用于个人媒体服务器和云存储

现在我可以在我自己的设备上安装根CA，但偶尔我在分享东西时会有访客。我为访问者提供了安装证书，但并非所有访问者都这样做

我的问题是，如果我的rootCA签名证书安装在客户端系统/浏览器上，是否可以使用它，或者回退并使用let's encrypt

---

让我们加密已经足够好了，但是每3个月重新发布一次，验证域是一件痛苦的事情，尤其是在没有通配符的情况下

否。ClientHello消息不包含任何有关已识别CA的信息。

您描述的问题对我来说没有任何意义：如果您使用Let's Encrypt作为回退，并且您希望客户端需要此回退，那么您仍然需要始终更新Let's Encrypt证书。在这种情况下，为什么还要尝试在Let's Encrypt证书之外使用您自己的CA来增加复杂性？即使您不使用LE证书：使用OCSP响应程序CRL正确管理您自己的CA基础设施。。。可能比每隔几个月自动更新一次Let’s Encrypt证书更费劲。不在同一个域上。但是，如果您的服务器可以配置为在两个具有不同DNS名称的域上提供相同的内容，则这是可能的—一个用于自签名，另一个用于let's-encrypt。顺便说一句：有让我们加密客户端，使一切自动。