Eu tenho um desktop do FreeBSD-11 Mate do qual estou tentando se conectar a um recurso WebDaV interno que usa um certificado emitido em particular. Quando a caixa de diálogo do navegador de arquivos / conectar-se ao servidor é fornecida com o nome do servidor, protocolo (https / webdav), nome de usuário e senha, eu recebo esta caixa de mensagem:
The site's identity can't be verified:
The signing certificate authority is not known.
Certificate information:
Identity: webdav.hamilton.harte-lyne.ca
Verified by: CA HLL ISSUER 01
Expires: 04/09/19
Fingerprint (SHA1): DB 66 1F BE 27 47 3B D6 50 1B AE 4A 5E 07 3B E5 91 A4 DC 60
Are you really sure you would like to continue?
Quando respondo Sim, vejo esta mensagem:
Erro HTTP: certificado TLS inaceitável
Eu adicionei nossos certificados particulares de raiz e emissor da CA às Preferências de SSL do KDE para o usuário em questão. Mas eu não posso determinar o que é sobre o nosso certificado que o navegador de arquivos não gosta. Não temos esse problema de nossos usuários do CentOS-6 Linux nem de nossos usuários do MS Windows7pro. Estes podem todos se conectar sem problemas. Então isso é específico para o FreeBSD.
Existe alguma maneira de descobrir exatamente o que o FreeBSD não gosta no certificado? O erro está registrado em algum lugar?
Esse problema foi resolvido adicionando nossos certificados raiz ao arquivo /usr/local/share/certs/ca-root-nss.crt . A ressalva é que esse arquivo é sobrescrito toda vez que o pacote de provisionamento ca_root_nss é atualizado e, portanto, os certificados privados precisam ser adicionados novamente.