Ssl

更新根 CA 證書後的 Firefox sec_error_unknown_issuer

  • April 27, 2015

對於我們的公司網路,我們使用內部 CA,它直接簽署一些 Intranet 伺服器證書。現在根證書即將到期。我嘗試使用以下 OpenSSL 命令對其進行更新:

openssl req -new -x509 -days 123 -key root.key -out root.crt

我從我的 PC 中刪除了舊證書並安裝了新證書。Windows/IE、Chrome 和 Opera 似乎可以使用它,但 Firefox 不會接受它。嘗試訪問 Intranet 伺服器給了我sec_error_unknown_issuer錯誤,指出沒有提供鏈。我用Google搜尋到骨頭,但我能找到的唯一答案是伺服器配置中缺少中間證書。但就我而言,沒有中間 CA!!為什麼 Firefox 不能將伺服器證書連結到新的根目錄?所有其他瀏覽器似乎都可以,甚至openssl verify說一切正常。有任何想法嗎?

我想到了!問題是我的openssl.cnf. 舊證書是用string_mask = utf8only. 我目前的文件中缺少這一行,導致預設值為PrintableString, T61String, BMPString. 我沒有使用任何非 ASCII 字元,但似乎仍然足以激怒 Firefox。

我從我的 PC 中刪除了舊證書並安裝了新證書。

Firefox 使用自己獨立的證書儲存。冒著明顯的風險(對於我們這些經常使用 Firefox 的人),您是否將新的 CA 證書添加到 Firefox 本身?

引用自:https://serverfault.com/questions/685785