Thursday, May 19, 2022

DST Root CA X3证书过期问题解决方法

Let’s Encrypt 最初使用“DST Root CA X3”证书来颁发 Let’s Encrypt 证书。然而,随着时间的推移和服务的使用越来越多,他们现在使用“ISRG Root X1”和“ISRG Root X2”作为根 CA,“Let’s Encrypt R3”作为中间证书。

旧设备可能正在使用2021年9月30日过期的旧根CA。请参阅https://letsencrypt.org/docs/dst-root-ca-x3-expiration-september-2021/了解更多信息。

要解决此问题,您需要将2个新的根CA添加到您的计算机或设备。

根CA证书(PEM 格式):
Root CA Certificates (PEM format):

ISRG Root X1 (Or ISRG Root X1 DER Format)
ISRG Root X2 (Or ISRG Root X2 DER Format)

中间证书(PEM 格式):
Intermediate Certificate (PEM format):

Let’s Encrypt R3 (Or Let’s Encrypt R3 DER Format)

您可以通过单击上面的链接下载它们,或者如果您不信任上述链接,请转到https://letsencrypt.org/certificates/了解更多信息并下载。

将这些根证书和中间证书下载并添加到您的计算机或设备后,您就应该拥有完整的证书链来验证 Let’s Encrypt 证书。您只需要添加两个根证书。在您访问的网站上使用的 Let’s Encrypt 证书以及您可能已经部署在服务器上的证书现在应该可以正常工作了。

如果您仍然遇到问题,您可以尝试从现有的根CA中删除“DST 根 CA X3”证书。此外,您可能需要关闭并重新打开任何软件和/或浏览器才能使用新证书。

理论上下载证书,双击安装并重启浏览器即可,但也可能不生效,就需要手动导入证书。

Windows键+R,调出运行对话框,输入mmc

文件 -> 添加/删除管理单元 ,找到证书添加即可(一直下一步)。
然后这里右边证书可以点击截止日期排序,把过期证书删除。

受信任的根证书颁发机构,对应导入两个Root CA Certificates (PEM format)证书。
中间证书颁发机构,对应导入一个Intermediate Certificate (PEM format)证书。

右键导入即可,导入的时候选择所有文件,不然找不到那个证书。

最后记得重启浏览器生效。

Leave a Reply

Your email address will not be published.

This site uses Akismet to reduce spam. Learn how your comment data is processed.