Firefox sec_error_unknown_issuer dopo il rinnovo del certificato CA principale

Per la nostra networking aziendale utilizziamo una CA interna che firma direttamente alcuni certificati del server Intranet. Ora il certificato radice sta per scadere. Ho provato a rinnovarlo con il seguente command OpenSSL:

openssl req -new -x509 -days 123 -key root.key -out root.crt

  • Apache non può leggere il file di certificato
  • HaProxy giving - 503 Service non disponibile
  • Che cos'è una password di sfida?
  • Consenti agli utenti di un indirizzo IP senza l'authentication del client certificato
  • Riavviare CA CA autofirmata senza invalidare i certificati firmati da esso
  • il curl riesce su una richiesta https, wget non lo fa
  • Ho eliminato il vecchio certificato dal mio PC e installato quello nuovo. Windows / IE, Chrome e Opera sembrano funzionare bene, ma Firefox non lo accetterà. Tentare di accedere a un server intranet mi dà l'errore sec_error_unknown_issuer , affermando che nessuna catena è fornita. I googled le dita sull'osso, ma l'unica risposta che ho trovato era che il certificato intermedio manca dal config del server. Ma nel mio caso non c'è alcuna CA intermedia! Perché Firefox non può colbind il certificato server alla nuova root? Tutti gli altri browser sembrano essere in grado e anche openssl verify che tutto è OK. Qualche idea?

  • sec_error_unknown_issuer ma solo con Firefox e IE6
  • Disabilitare completamente "questo plugin è vulnerabile e dovrebbe essere aggiornato" in Firefox 18.0.2
  • Firefox non utilizza Kerberos nonostante sia configurato per
  • Come faccio ad abilitare XRandR in Xvfb o disabilitarlo in firefox quando si esegue firefox senza testa?
  • Aprire file RDP con browser
  • Distribuire CA interni ai client Linux
  • 2 Solutions collect form web for “Firefox sec_error_unknown_issuer dopo il rinnovo del certificato CA principale”

    L'avevo capito! Il problema era il mio openssl.cnf . Il vecchio certificato è stato creato con string_mask = utf8only . Questa row mancava dal mio file corrente, con un valore predefinito di PrintableString, T61String, BMPString . Non ho usato caratteri non ASCII, ma sembra che sia ancora sufficiente a irritare Firefox.

    Ho eliminato il vecchio certificato dal mio PC e installato quello nuovo.

    Firefox utilizza un proprio archivio di certificati separato . A rischio di dichiarare l'ovvio (per quelli di noi che usano regolarmente Firefox), hai aggiunto il nuovo certificato CA a Firefox in sé?

    Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.