僅企業根 CA 和 Firefox SEC_ERROR_UNKNOWN_ISSUER 錯誤
因此,我在我的域中設置了企業 CA,以便我們可以在內部 Web 應用程序上啟用 SSL。對於我的測試庫,我在 Windows 上使用帶有 .local FQDN 的 XAMPP。我正在為 CA 使用 Microsoft Active Directory 證書服務。
經過(許多)考驗和磨難,我得到了一個最有效的例子。因此,該網路應用程序適用於 IE、Edge 和 Chrome,但不適用於 Firefox。
Firefox 錯誤是:
警告:潛在的安全風險前方錯誤程式碼:
SEC_ERROR_UNKNOWN_ISSUER
無法驗證此證書,因為頒發者未知
我已經在幾個工作站上對此進行了測試,結果相同。火狐是最新版本。
在 openssl 中載入證書時沒有錯誤:
openssl x509 -in "C:\xampp\apache\conf\ssl.crt\certname.crt"執行時出現以下兩個錯誤:
openssl s_client -connect server.local:443驗證錯誤:num=20:無法獲取本地頒發者證書
驗證錯誤:num=21:無法驗證第一個證書
我可以選擇從我的 CA 下載“證書鏈”,但這採用 .p7b 格式。其內容為單一證書。
當我將文件轉換為 .crt 或什至在 httpd-xampp.conf 中使用 .p7b 時,Apache 之後將無法啟動。沒有以下條目,它開始正常。
SSLCertificateChainFile “conf/ssl.crt/chain-cert.crt”
有任何想法嗎?
根據 Mozilla 的文件,從 FF64 開始,推薦的安裝證書的方法是通過企業策略。由於(目前)打開的錯誤,您需要手動安裝所有中間證書以及根。
您可以從這裡下載 Firefox GPO 模板:https ://github.com/mozilla/policy-templates/tree/master/windows
您可以通過在 about:config 中將“security.enterprise_roots.enabled”首選項設置為 true 來單獨測試。
更詳細的資訊可以在這裡找到:https ://wiki.mozilla.org/CA/AddRootToFirefox