私はLetsEncryptをUbuntu 16.04 Apacheサーバーにインストールしました。それは、4つの.pemファイルをその暗号化/ライブディレクトリの下に生成しました。私はパブリックと証明書の固定メカニズムを使用して、それらをiOSアプリバンドルにダンプします。更新時にアプリケーションを更新しないようにするには、 - csrフラグを使用して更新する必要があることを読んだが、これについて多くの助けを得ることはできなかった。 letsencrpytは私がしたいやり方を更新することができますか、私は他のクライアントを使う必要がありますか? Letsncryptで証明書を作成している間は、pemとcsrファイルだけが生成されていると確信しているので、すべての証明書を再生成する必要がありますか?ありがとう。SSLピニングメカニズムの更新中に鍵を変更しない方法
LEによって生成されたcsrは、/ etc/letsencrypt/csrにあります。私は、最新のCSRファイルを選んだ(通常は最高の整数を持っている1が最新である、例えば:0005_csr-letsencrypt.pemが0004に最新になります)と、上記のコマンドで証明書を更新:
letsencrypt certonly —csr /etc/letsencrypt/csr/0005_csr-letsencrypt.pem
この意志同じディレクトリにある3つのファイルを生成します。
000x_chain.pem - has same PubKey but new expiry (what we need)
000x_chain.pem - has some CA information
000x_cert.pem - the cert which will match the PubKey of the cert
私のアプリケーションバンドルには、000x_cert.pemを使用しました。だから私は証明書を更新するたびに、私はサーバーにヒットすることができますが、私はアプリで000x_cert.pemを置き換えないでください。これは公開鍵が同じになるため動作します。ありがとう。