免费SSL服务器证书不是配件，而是基础设施可信根的延伸触角

【导读】：服务器证书的有效性取决于其能否融入操作系统信任锚链。新网实验室压测证实：在CentOS Stream 9上部署Let’s Encrypt证书后，若未执行update-ca-trust extract，Firefox ESR会出现NET::ERR_INTERNET_DISCONNECTED假阳性误报。在此指代一种横跨Linux发行版、Windows Server SKU、容器运行时的证书信任链自动注入能力。
【兼容性真相：免费证书≠处处可用，关键看trust store映射】

所有“正规渠道”的免费SSL服务器证书，其底层信任根基均为以下三类Root CA之一：
Root CA 名称预置范围最早失效日期新网适配状态
ISRG Root X1Windows 10 21H2+, macOS Monterey+, Android 12+2035-06-04✅ 全系支持
GlobalSign Root R1Legacy systems (XP/Vista), embedded devices2028-01-28✅ 全系支持
CNNIC EV ROOTUOS/Kylin/Linux Deepin 等国产OS2030-05-30✅ 信创专线支持

⚠️ 注意：FreeBSD默认不信任ISRG Root X1；OpenWrt LEDE分支需手动导入；Docker scratch image无任何root store——此时必须显式挂载/etc/ssl/certs/ca-certificates.crt。
【三模部署法：覆盖物理机/虚机/容器的统一交付范式】

新网SSL管理中心提供三种部署模式，适配不同宿主环境：

Mode A：裸金属/VM（Nginx/Apache/IIS）
  - ZIP包解压至/opt/xinnet/ssl/example.com/；
  - 执行xinnet-ssl-setup --target nginx --domain example.com（自动修正file permission/path syntax）；

Mode B：Kubernetes Ingress（Traefik/Nginx-Ingress）
  - 创建Secret：kubectl create secret tls example-tls --cert fullchain.pem --key example.com.key；
  - 更新Ingress resource annotation：cert-manager.io/cluster-issuer: "xinnet-dv"；

Mode C：Serverless Function（阿里云FC/腾讯云SCF）
  - 将fullchain.pem+.key Base64编码嵌入Function Configuration Environment Variables；
  - Runtime初始化时调用openssl pkcs12 -export -inenv ...动态生成PFX供Load Balancer消费。

所有模式共享同一份证书Bundle，即该跨平台一致性保障体系。