這是個小小的坑,aws自己的linux自帶的openssl.cnf裏面(位置可能在/etc/pki/tls/openssl.cnf)
自己包含有
[ alt_names ]
IP.1 = xx.xx.xx.xx
這樣的信息,所以生成csr證書的時候,證書裏面自帶有ip,而letsencrypt校驗csr/der證書的時候,會檢查證書中是否含有ip
包含,則報錯了
https://github.com/letsencrypt/boulder/pull/2213/files
解決辦法就是把IP.1這個註釋掉,可以添加上自己的其他域名(使用DNS.1,DNS.2等等),必要時還需要把下面這行註釋掉
subjectAltName = @alt_names
關於letsencrypt手動申請證書,請看這裏
https://tty1.net/blog/2015/using-letsencrypt-in-manual-mode_en.html