使用 Let's Encrypt 自动部署证书，在 win7 下会提示证书不可用，怎么处理比较好？

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

› Certbot 使用文档

› Dehydrated

› Stay.live 证书有效期监控

› HTTP Strict Transport Security

› OpenSSL 官网

› Qualys SSL Test

› 证书链补全工具

› 在线 CSR 生成工具

› SSL 云监控

› What's My Chain Cert?

› Certificate Search by Comodo

这是一个创建于 969 天前的主题，其中的信息可能已经有所发展或是发生改变。

使用 Let's Encrypt 自动部署证书，在 win7 下会提示证书不可用。好像是 win7 的根证书有问题，大家遇到过这种情况吗？怎么处理比较好？

证书

WIN7

encrypt

let's

16 条回复 • 2022-04-02 15:48:59 +08:00

shaojz2005

2022-03-30 21:21:45 +08:00

很多帖子说的是让用户自己更新证书，但我想知道的是也没有办法在仍然使用 lets encrypt 的情况下，不需要用户做出更改可以解决的办法。毕竟你不一定能接触到用户的。

ly841000

2022-03-30 21:33:26 +08:00

不可以，没有办法，win7 系统更新到最新版本应该可用
@shaojz2005

timpaik

2022-03-30 21:37:42 +08:00 via Android

没办法改变用户的内置系统证书。win7 早已停止支持，估计也没系统更新帮你更新证书了。

CEBBCAT

2022-03-30 22:05:22 +08:00 via iPhone

可以加钱吗？找那些系统根证书里还没有过期的 CA ？或者我记得 Firefox 自带证书，推荐用户使用火狐？

或者 360 哈哈哈

nightwitch

2022-03-31 00:40:46 +08:00

让用户用自带有根证书的浏览器

Rocketer

2022-03-31 01:01:59 +08:00 via iPhone

Let’s Encrypt 的根早就过期了啊，现在是在玩一些 trick 以获得部分系统的支持，并不保险。

acme 默认都已经改用 Zero SSL 了，你也能换就换吧。

JensenQian

2022-03-31 01:20:13 +08:00 via Android

换证书 acme.sh 部署的话可以换成 zerossl,然后最近 trust asia 也整了个免费三个月泛域名证书，支持 acme,国内 ocsp,https://blog.freessl.cn/acme-quick-start/

shaojz2005

2022-03-31 08:52:13 +08:00

@JensenQian 感谢，但是感觉用别的证书，还是存在隐患，可能以后不能用

Showfom

2022-03-31 09:18:53 +08:00

@shaojz2005 #8 这话说的，你再过 10 年，Win 7 上所有的 CA 证书都到期了，你就啥都用不了了，还用 Win7 干啥呢

ruixue

2022-03-31 09:50:35 +08:00

目前来说换 zerossl 是个比较好的解决方案，同样的免费三个月，支持 acme ，支持泛域名，限制还比 let's encrypt 少，可选 ecc 证书链，中间证书 2030 年才到期，还支持 ip 证书，acme.sh 已经默认改用 zerossl 了

anjianshi

2022-03-31 09:58:35 +08:00

修正前面 Rocketer 的话。

1. Let's Encrypt 最早使用的根证书 "DST Root CA X3" 过期了，但他们有新的根证书 "ISRG Root X1"
详见这篇帖子： https://www.ohyee.cc/post/note_lets_encrypt

2. acme.sh 默认改用 zerossl ，有一部分原因是 zerossl 赞助了它。
详见这篇帖子下的评论： https://community.letsencrypt.org/t/the-acme-sh-will-change-default-ca-to-zerossl-on-august-1st-2021/144052

anjianshi

2022-03-31 10:00:01 +08:00

如果不需要老设备的支持，Let's Encrypt 依然是可信的。

3dwelcome

2022-03-31 10:13:53 +08:00

你的 win7 不是 sp2 吧，我这里没问题啊。

https://letsencrypt.org/docs/certificate-compatibility/

这里写着只要是 winxp sp3 以上的，就会自动更新根证书。

你客户的 win7 ，可能是国内修改过的系统，手动关闭了 window update 的功能。（ Windows 7 comes with a small list of trusted CAs installed but automatically imports CAs as necessary from the Microsoft Windows Update service ）

chotow

2022-03-31 10:14:43 +08:00

最简单的方案是换 ZeroSSL ，虽然我个人不喜欢它。
对于 Windows ，更详细的解决方案可参见： https://docs.certifytheweb.com/docs/kb/kb-202109-letsencrypt/
Let’s Encrypt 现在用的默认链其实是过期 DST 交叉签 ISRG ，但这只是让低版本的 Android 可以继续用到 2024 年。我刚在虚拟机里的 Windows 7 试了下，最新版 Edge 、360 极速浏览器都正常，显示的根证书是 2015 年开始的 ISRG ，我也好奇为什么这个证书出现了（ VMware Tools ？）。

Yusky

2022-03-31 13:33:08 +08:00

eeeeem ，买个收费的不舒服嘛。。。也不贵啊

laozhoubuluo

2022-04-02 15:48:59 +08:00

@chotow Windows 支持根证书自动更新功能，除非这个功能被手动关闭或者 Windows Update 被关闭否则都会自动下载 ISRG 根。