Ssl

僅企業根 CA 和 Firefox SEC_ERROR_UNKNOWN_ISSUER 錯誤

  • August 22, 2019

因此,我在我的域中設置了企業 CA,以便我們可以在內部 Web 應用程序上啟用 SSL。對於我的測試庫,我在 Windows 上使用帶有 .local FQDN 的 XAMPP。我正在為 CA 使用 Microsoft Active Directory 證書服務。

經過(許多)考驗和磨難,我得到了一個最有效的例子。因此,該網路應用程序適用於 IE、Edge 和 Chrome,但不適用於 Firefox。

Firefox 錯誤是:

警告:潛在的安全風險前方錯誤程式碼:

SEC_ERROR_UNKNOWN_ISSUER

無法驗證此證書,因為頒發者未知

我已經在幾個工作站上對此進行了測試,結果相同。火狐是最新版本。

在 openssl 中載入證書時沒有錯誤:

openssl x509 -in "C:\xampp\apache\conf\ssl.crt\certname.crt"

執行時出現以下兩個錯誤:

openssl s_client -connect server.local:443 

驗證錯誤:num=20:無法獲取本地頒發者證書

驗證錯誤:num=21:無法驗證第一個證書

我可以選擇從我的 CA 下載“證書鏈”,但這採用 .p7b 格式。其內容為單一證書。

當我將文件轉換為 .crt 或什至在 httpd-xampp.conf 中使用 .p7b 時,Apache 之後將無法啟動。沒有以下條目,它開始正常。

SSLCertificateChainFile “conf/ssl.crt/chain-cert.crt”

有任何想法嗎?

根據 Mozilla 的文件,從 FF64 開始,推薦的安裝證書的方法是通過企業策略。由於(目前)打開的錯誤,您需要手動安裝所有中間證書以及根。

您可以從這裡下載 Firefox GPO 模板:https ://github.com/mozilla/policy-templates/tree/master/windows

您可以通過在 about:config 中將“security.enterprise_roots.enabled”首選項設置為 true 來單獨測試。

更詳細的資訊可以在這裡找到:https ://wiki.mozilla.org/CA/AddRootToFirefox

引用自:https://serverfault.com/questions/980306