更新根 CA 證書後的 Firefox sec_error_unknown_issuer

對於我們的公司網路，我們使用內部 CA，它直接簽署一些 Intranet 伺服器證書。現在根證書即將到期。我嘗試使用以下 OpenSSL 命令對其進行更新：

openssl req -new -x509 -days 123 -key root.key -out root.crt

我從我的 PC 中刪除了舊證書並安裝了新證書。Windows/IE、Chrome 和 Opera 似乎可以使用它，但 Firefox 不會接受它。嘗試訪問 Intranet 伺服器給了我sec_error_unknown_issuer錯誤，指出沒有提供鏈。我用Google搜尋到骨頭，但我能找到的唯一答案是伺服器配置中缺少中間證書。但就我而言，沒有中間 CA！！為什麼 Firefox 不能將伺服器證書連結到新的根目錄？所有其他瀏覽器似乎都可以，甚至openssl verify說一切正常。有任何想法嗎？

我想到了！問題是我的openssl.cnf. 舊證書是用string_mask = utf8only. 我目前的文件中缺少這一行，導致預設值為PrintableString, T61String, BMPString. 我沒有使用任何非 ASCII 字元，但似乎仍然足以激怒 Firefox。

我從我的 PC 中刪除了舊證書並安裝了新證書。

Firefox 使用自己獨立的證書儲存。冒著明顯的風險（對於我們這些經常使用 Firefox 的人），您是否將新的 CA 證書添加到 Firefox 本身？

引用自：https://serverfault.com/questions/685785