ssl Firefox SEC_ERROR_INADEQUATE_CERT_TYPE没有增强的密钥用法

iyfamqjs  于 2022-11-14  发布在  其他
关注(0)|答案(3)|浏览(307)

我花了整个下午的时间来尝试创建一个Firefox可以使用的CA,每次尝试都成功了:

  • 微软边缘
  • 微软IE 11
  • 谷歌浏览器59
  • 歌剧46
  • 工作组1.17.1
  • curl 度7.47.0

...但Firefox 54.0.1不会,它总是抛出SEC_ERROR_INADEQUATE_CERT_TYPE,并拒绝与服务器通信。我已经按照https://bugzilla.mozilla.org/show_bug.cgi?id=1049176从根CA中删除了所有应用程序策略的增强型密钥使用,但它仍然不起作用.....我错过了什么?我没有主意了....

最近一次尝试

对于这个庞大的部分表示歉意,但这是Windows将告诉我的关于当前试图使此工作的一切;希望有人能发现问题所在!

根CA

  • 版本:V3
  • 序列号:33 9 c 48 f4 0a 2f fc 4 e
  • Alogr签名:沙256 RSA
  • 签名哈希算法:沙256
  • 颁发者:C=GB,O=此处为组织名称,CN=组织名称根CA
  • 有效期自:2017年7月2日19:38:24
  • 有效期至:2047年7月2日19:38:24
  • 主题:C=GB,O=此处为组织名称,CN=组织名称根CA
  • 公开密钥:RSA 2048比特
  • 公钥参数:05 00
  • 颁发机构密钥标识符:密钥ID =d3 f2 2f 78 c2 db 20 d7 63 72 fd d8 54 be 75 2c fe ef d3 3f
  • 证书策略:[1]证书策略:策略标识符=1.3.6.1.4.1.[OrgPEN].1.1 [1,1]策略限定符信息:策略限定符ID=CPS限定符:http://pki.orgname.fqdn/cps
  • 主题密钥ID:d3 f2 2f 78 c2 db 20 d7 63 72 fd d8 54是75 2c fe ef d3 3f
  • 基本约束:主题类型=CA路径长度约束=无

颁发CA

  • 版本:V3
  • 序列号:15 6c 30 6d d8 f1 eb b 0
  • Alogr签名:沙256 RSA
  • 签名哈希算法:沙256
  • 颁发者:C=GB,O=此处为组织名称,CN=组织名称根CA
  • 有效期自:2017年7月2日19:40:02
  • 有效期至:2027年7月2日19:40:02
  • 主题:C=GB,O=此处的组织名称,CN=颁发CA的组织名称
  • 公开密钥:RSA 2048比特
  • 公钥参数:05 00
  • 颁发机构密钥标识符:密钥ID =d3 f2 2f 78 c2 db 20 d7 63 72 fd d8 54 be 75 2c fe ef d3 3f
  • 授权信息访问:[1]颁发机构信息访问访问方法=证书颁发机构颁发者(1.3.6.1.5.5.7.48.2)备用名称:URL= http://pki.orgname.fqdn/aia/OrgName-RootCA.crt [2]颁发机构信息访问访问方法=联机证书状态协议(1.3.6.1.5.5.7.48.1)备用名称:网址= http://pki.orgname.fqdn/ocsp
  • 证书策略:[1]证书策略:策略标识符=1.3.6.1.4.1.[OrgPEN].1.1 [1,1]策略限定符信息:策略限定符ID=CPS限定符:http://pki.orgname.fqdn/cps
  • 增强的密钥用法:任何用途(2.5.29.37.0)
  • CRL分发点:[1]CRL分发点分发点名称:全名:URL= http://pki.orgname.fqdn/cdp/OrgName-RootCA.crl CRL颁发者:目录位址:C=GB O=此处为组织名称CN=组织名称根CA
  • 主题密钥ID:47 42 f0 e5 bb 39 76 9 d艾德94 ca a6 b6 50 fb 24 37 19 a0 3a
  • 基本约束:主题类型=CA路径长度约束=无
  • 密钥用法:证书签名,脱机CRL签名,CRL签名(06)

测试Web服务器证书

  • 版本:V3
  • 序列号:50 f6 be 8d ab db df 21
  • Alogr签名:沙256 RSA
  • 签名哈希算法:沙256
  • 颁发者:C=GB,O=此处为组织名称,CN=组织名称根CA
  • 有效期自:2017年7月2日19:48:11
  • 有效期至:2019年7月2日19:48:11
  • 主题:C=GB,O=此处为组织名称,CN=服务器名称.组织名称.fqdn
  • 公开密钥:RSA 2048比特
  • 公钥参数:05 00
  • 颁发机构密钥标识符:密钥ID =47 42 f0 e5 bb 39 76 9d艾德94 ca a6 b6 50 fb 24 37 19 a0 3a
  • 授权信息访问:[1]颁发机构信息访问访问方法=证书颁发机构颁发者(1.3.6.1.5.5.7.48.2)备用名称:URL= http://pki.orgname.fqdn/aia/OrgName-IssuingCA.crt [2]颁发机构信息访问访问方法=联机证书状态协议(1.3.6.1.5.5.7.48.1)备用名称:网址= http://pki.orgname.fqdn/ocsp
  • 最新的CRL:[1]最新的CRL分发点名称:完整名称:URL= http://pki.orgname.fqdn/cdp/OrgName-IssuingCA-Delta.crl
  • 使用者别名:IP地址=192.0.2.4 IP地址=2001:数据库地址= 1234:4321:0000:0000:0000:1234
  • 证书策略:[1]证书策略:策略标识符=1.3.6.1.4.1.[OrgPEN].1.1 [1,1]策略限定符信息:策略限定符ID=CPS限定符:http://pki.orgname.fqdn/cps
  • 增强的密钥用法:服务器验证(1.3.6.1.5.5.7.3.1)
  • CRL分发点:[1]CRL分发点分发点名称:全名:URL= http://pki.orgname.fqdn/cdp/OrgName-IssuingCA.crl CRL颁发者:目录位址:C=GB O=此处为组织名称CN=组织名称根CA
  • 主题密钥ID:1999年12月20日
  • 基本约束:主题类型=结束实体路径长度约束=无
  • 密钥用法:数字签名、密钥加密(a0)

为什么总是火狐会出问题???即使是边缘也能工作。

jq6vz3qz

jq6vz3qz1#

我已经发现了这个问题,我不小心在根CA上包含了权威密钥标识符扩展,这让Firefox很不高兴,大概是因为它指向了自己,所有其他浏览器都发现了它不应该在那里,并忽略了它!

7fyelxc5

7fyelxc52#

尝试生成一个不包含扩展用法字段的新测试CA。然后生成一个新的ssl证书。将“增强的密钥用法:任何目的(2.5.29.37.0)”并不是良好的做法。

rhfm7lfc

rhfm7lfc3#

在本地环境中也遇到了同样的问题。我只是停止了使用https://访问localhost的尝试,而我使用http://访问了它

相关问题