Para nossa rede corporativa, usamos uma autoridade de certificação interna, que assina diretamente alguns certificados de servidor de intranet. Agora o certificado raiz está prestes a expirar. Eu tentei renová-lo com o seguinte comando OpenSSL:
openssl req -new -x509 -days 123 -key root.key -out root.crt
Apaguei o certificado antigo do meu PC e instalei o novo. Windows / IE, Chrome e Opera parecem estar bem com isso, mas o Firefox não aceita isso. Tentar acessar um servidor de intranet me fornece o erro sec_error_unknown_issuer , informando que nenhuma cadeia é fornecida. Eu pesquisei meus dedos até o osso, mas a única resposta que consegui encontrar foi que o certificado intermediário estava faltando na configuração do servidor. Mas no meu caso não há CA intermediária !! Por que o Firefox não pode vincular o certificado do servidor à nova raiz? Todos os outros navegadores parecem ser capazes e até openssl verify diz que tudo está OK. Alguma idéia?
Eu percebi isso! O problema foi meu openssl.cnf . O certificado antigo foi criado com string_mask = utf8only . Esta linha estava faltando no meu arquivo atual, resultando em um valor padrão de PrintableString, T61String, BMPString . Eu não usei nenhum caractere não-ASCII, mas parece que ainda é suficiente para irritar o Firefox.
I deleted the old certificate from my PC and installed the new one.
O Firefox usa seu próprio armazenamento de certificados separado . Correndo o risco de afirmar o óbvio (para aqueles de nós que usam regularmente o Firefox), você adicionou o novo certificado de CA ao próprio Firefox?
Tags firefox ssl openssl ssl-certificate