Firefox sec_error_unknown_issuer dopo il rinnovo del certificato CA principale

Per la nostra networking aziendale utilizziamo una CA interna che firma direttamente alcuni certificati del server Intranet. Ora il certificato radice sta per scadere. Ho provato a rinnovarlo con il seguente command OpenSSL:

openssl req -new -x509 -days 123 -key root.key -out root.crt

Ho eliminato il vecchio certificato dal mio PC e installato quello nuovo. Windows / IE, Chrome e Opera sembrano funzionare bene, ma Firefox non lo accetterà. Tentare di accedere a un server intranet mi dà l'errore sec_error_unknown_issuer , affermando che nessuna catena è fornita. I googled le dita sull'osso, ma l'unica risposta che ho trovato era che il certificato intermedio manca dal config del server. Ma nel mio caso non c'è alcuna CA intermedia! Perché Firefox non può colbind il certificato server alla nuova root? Tutti gli altri browser sembrano essere in grado e anche openssl verify che tutto è OK. Qualche idea?

  • Due certificati SSL necessari per due server Apache che utilizzano mod_proxy per servire HTTPS?
  • Specificare il ssl_certificate di nginx nel block {} di posizione
  • Certificazione RapidSSL - non riesce a funzionare per nginx
  • Certificato SSL sul bilanciatore di carico o sul server
  • Utilizzando lo stesso certificato SSL di un dominio in diversi server IIS?
  • Elenchi certificati certificati in IIS7
  • Tomcat dietro Apache httpd con SSL e certificati client
  • Salva il certificato SSL remoto tramite la row di command di Linux
  • 2 Solutions collect form web for “Firefox sec_error_unknown_issuer dopo il rinnovo del certificato CA principale”

    L'avevo capito! Il problema era il mio openssl.cnf . Il vecchio certificato è stato creato con string_mask = utf8only . Questa row mancava dal mio file corrente, con un valore predefinito di PrintableString, T61String, BMPString . Non ho usato caratteri non ASCII, ma sembra che sia ancora sufficiente a irritare Firefox.

    Ho eliminato il vecchio certificato dal mio PC e installato quello nuovo.

    Firefox utilizza un proprio archivio di certificati separato . A rischio di dichiarare l'ovvio (per quelli di noi che usano regolarmente Firefox), hai aggiunto il nuovo certificato CA a Firefox in sé?

    Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.