对于我们的企业networking,我们使用一个内部CA,它直接签署一些Intranet服务器证书。 现在,根证书即将到期。 我试着用下面的OpenSSL命令来更新它:
openssl req -new -x509 -days 123 -key root.key -out root.crt
我从我的电脑中删除了旧的证书,并安装了新的证书。 Windows / IE,Chrome和Opera似乎没有问题,但Firefox不会接受它。 试图访问内部网服务器给我sec_error_unknown_issuer错误,指出没有链提供。 我把我的手指search到了骨头,但唯一的答案是我能find的是中间证书从服务器configuration丢失。 但在我的情况下,没有中间的CA! 为什么Firefox不能将服务器证书链接到新的根目录? 所有其他浏览器似乎能够,甚至公开openssl verify说,一切正常。 有任何想法吗?
我想到了! 问题是我的openssl.cnf 。 旧证书是使用string_mask = utf8only创build的。 这一行从我当前的文件中缺less,导致默认值PrintableString, T61String, BMPString 。 我没有使用任何非ASCII字符,但它似乎仍然足以激怒Firefox。
我从我的电脑中删除了旧的证书,并安装了新的证书。
Firefox使用自己的独立证书存储 。 冒着明显的(对于我们这些经常使用Firefox的人),你是否将新的CA证书添加到Firefox本身?