【導讀】：服務器證書的有效性取決于其能否融入操作系統信任錨鏈。新網實驗室壓測證實：在CentOS Stream 9上部署Let’s Encrypt證書后，若未執行update-ca-trust extract，Firefox ESR會出現NET::ERR_INTERNET_DISCONNECTED假陽性誤報。在此指代一種橫跨Linux發行版、Windows Server SKU、容器運行時的證書信任鏈自動注入能力。
【兼容性真相：免費證書≠處處可用，關鍵看trust store映射】

所有“正規渠道”的免費SSL服務器證書，其底層信任根基均為以下三類Root CA之一：
Root CA 名稱預置范圍最早失效日期新網適配狀態
ISRG Root X1Windows 10 21H2+, macOS Monterey+, Android 12+2035-06-04? 全系支持
GlobalSign Root R1Legacy systems (XP/Vista), embedded devices2028-01-28? 全系支持
CNNIC EV ROOTUOS/Kylin/Linux Deepin 等國產OS2030-05-30? 信創專線支持

?? 注意：FreeBSD默認不信任ISRG Root X1；OpenWrt LEDE分支需手動導入；Docker scratch image無任何root store——此時必須顯式掛載/etc/ssl/certs/ca-certificates.crt。
【三模部署法：覆蓋物理機/虛機/容器的統一交付范式】

新網SSL管理中心提供三種部署模式，適配不同宿主環境：

Mode A：裸金屬/VM（Nginx/Apache/IIS）
  - ZIP包解壓至/opt/xinnet/ssl/example.com/；
  - 執行xinnet-ssl-setup --target nginx --domain example.com（自動修正file permission/path syntax）；

Mode B：Kubernetes Ingress（Traefik/Nginx-Ingress）
  - 創建Secret：kubectl create secret tls example-tls --cert fullchain.pem --key example.com.key；
  - 更新Ingress resource annotation：cert-manager.io/cluster-issuer: "xinnet-dv"；

Mode C：Serverless Function（阿里云FC/騰訊云SCF）
  - 將fullchain.pem+.key Base64編碼嵌入Function Configuration Environment Variables；
  - Runtime初始化時調用openssl pkcs12 -export -inenv ...動態生成PFX供Load Balancer消費。

所有模式共享同一份證書Bundle，即該跨平臺一致性保障體系。