我花了整个下午的时间来尝试创建一个Firefox可以使用的CA,每次尝试都成功了:
- 微软边缘
- 微软IE 11
- 谷歌浏览器59
- 歌剧46
- 工作组1.17.1
- curl 度7.47.0
...但Firefox 54.0.1不会,它总是抛出SEC_ERROR_INADEQUATE_CERT_TYPE,并拒绝与服务器通信。我已经按照https://bugzilla.mozilla.org/show_bug.cgi?id=1049176从根CA中删除了所有应用程序策略的增强型密钥使用,但它仍然不起作用.....我错过了什么?我没有主意了....
最近一次尝试
对于这个庞大的部分表示歉意,但这是Windows将告诉我的关于当前试图使此工作的一切;希望有人能发现问题所在!
根CA
- 版本:V3
- 序列号:33 9 c 48 f4 0a 2f fc 4 e
- Alogr签名:沙256 RSA
- 签名哈希算法:沙256
- 颁发者:C=GB,O=此处为组织名称,CN=组织名称根CA
- 有效期自:2017年7月2日19:38:24
- 有效期至:2047年7月2日19:38:24
- 主题:C=GB,O=此处为组织名称,CN=组织名称根CA
- 公开密钥:RSA 2048比特
- 公钥参数:05 00
- 颁发机构密钥标识符:密钥ID =d3 f2 2f 78 c2 db 20 d7 63 72 fd d8 54 be 75 2c fe ef d3 3f
- 证书策略:[1]证书策略:策略标识符=1.3.6.1.4.1.[OrgPEN].1.1 [1,1]策略限定符信息:策略限定符ID=CPS限定符:http://pki.orgname.fqdn/cps
- 主题密钥ID:d3 f2 2f 78 c2 db 20 d7 63 72 fd d8 54是75 2c fe ef d3 3f
- 基本约束:主题类型=CA路径长度约束=无
颁发CA
- 版本:V3
- 序列号:15 6c 30 6d d8 f1 eb b 0
- Alogr签名:沙256 RSA
- 签名哈希算法:沙256
- 颁发者:C=GB,O=此处为组织名称,CN=组织名称根CA
- 有效期自:2017年7月2日19:40:02
- 有效期至:2027年7月2日19:40:02
- 主题:C=GB,O=此处的组织名称,CN=颁发CA的组织名称
- 公开密钥:RSA 2048比特
- 公钥参数:05 00
- 颁发机构密钥标识符:密钥ID =d3 f2 2f 78 c2 db 20 d7 63 72 fd d8 54 be 75 2c fe ef d3 3f
- 授权信息访问:[1]颁发机构信息访问访问方法=证书颁发机构颁发者(1.3.6.1.5.5.7.48.2)备用名称:URL= http://pki.orgname.fqdn/aia/OrgName-RootCA.crt [2]颁发机构信息访问访问方法=联机证书状态协议(1.3.6.1.5.5.7.48.1)备用名称:网址= http://pki.orgname.fqdn/ocsp
- 证书策略:[1]证书策略:策略标识符=1.3.6.1.4.1.[OrgPEN].1.1 [1,1]策略限定符信息:策略限定符ID=CPS限定符:http://pki.orgname.fqdn/cps
- 增强的密钥用法:任何用途(2.5.29.37.0)
- CRL分发点:[1]CRL分发点分发点名称:全名:URL= http://pki.orgname.fqdn/cdp/OrgName-RootCA.crl CRL颁发者:目录位址:C=GB O=此处为组织名称CN=组织名称根CA
- 主题密钥ID:47 42 f0 e5 bb 39 76 9 d艾德94 ca a6 b6 50 fb 24 37 19 a0 3a
- 基本约束:主题类型=CA路径长度约束=无
- 密钥用法:证书签名,脱机CRL签名,CRL签名(06)
测试Web服务器证书
- 版本:V3
- 序列号:50 f6 be 8d ab db df 21
- Alogr签名:沙256 RSA
- 签名哈希算法:沙256
- 颁发者:C=GB,O=此处为组织名称,CN=组织名称根CA
- 有效期自:2017年7月2日19:48:11
- 有效期至:2019年7月2日19:48:11
- 主题:C=GB,O=此处为组织名称,CN=服务器名称.组织名称.fqdn
- 公开密钥:RSA 2048比特
- 公钥参数:05 00
- 颁发机构密钥标识符:密钥ID =47 42 f0 e5 bb 39 76 9d艾德94 ca a6 b6 50 fb 24 37 19 a0 3a
- 授权信息访问:[1]颁发机构信息访问访问方法=证书颁发机构颁发者(1.3.6.1.5.5.7.48.2)备用名称:URL= http://pki.orgname.fqdn/aia/OrgName-IssuingCA.crt [2]颁发机构信息访问访问方法=联机证书状态协议(1.3.6.1.5.5.7.48.1)备用名称:网址= http://pki.orgname.fqdn/ocsp
- 最新的CRL:[1]最新的CRL分发点名称:完整名称:URL= http://pki.orgname.fqdn/cdp/OrgName-IssuingCA-Delta.crl
- 使用者别名:IP地址=192.0.2.4 IP地址=2001:数据库地址= 1234:4321:0000:0000:0000:1234
- 证书策略:[1]证书策略:策略标识符=1.3.6.1.4.1.[OrgPEN].1.1 [1,1]策略限定符信息:策略限定符ID=CPS限定符:http://pki.orgname.fqdn/cps
- 增强的密钥用法:服务器验证(1.3.6.1.5.5.7.3.1)
- CRL分发点:[1]CRL分发点分发点名称:全名:URL= http://pki.orgname.fqdn/cdp/OrgName-IssuingCA.crl CRL颁发者:目录位址:C=GB O=此处为组织名称CN=组织名称根CA
- 主题密钥ID:1999年12月20日
- 基本约束:主题类型=结束实体路径长度约束=无
- 密钥用法:数字签名、密钥加密(a0)
为什么总是火狐会出问题???即使是边缘也能工作。
3条答案
按热度按时间jq6vz3qz1#
我已经发现了这个问题,我不小心在根CA上包含了权威密钥标识符扩展,这让Firefox很不高兴,大概是因为它指向了自己,所有其他浏览器都发现了它不应该在那里,并忽略了它!
7fyelxc52#
尝试生成一个不包含扩展用法字段的新测试CA。然后生成一个新的ssl证书。将“增强的密钥用法:任何目的(2.5.29.37.0)”并不是良好的做法。
rhfm7lfc3#
在本地环境中也遇到了同样的问题。我只是停止了使用https://访问localhost的尝试,而我使用http://访问了它