Firefox表示即使证书链很好,证书也是不可信的

时间:2014-10-22 01:54:11

标签: firefox azure ssl https openssl

https://www.bigfont.ca的HTTPS适用于Chrome,Internet Explorer和Safari,但不适用于Firefox。它还通过了this SSL Checkers的所有测试。 Firefox说:

  

连接到www.bigfont.ca时发生错误。   Peer的证书已被标记为不被用户信任。   (错误代码:sec_error_untrusted_cert)

这是Firefox的一个已知情况。我们查看了StartSSL FAQ,建议是:

  

您必须将中间CA证书添加到您的安装中。

我们正在使用SmartSSL和OpenSSL来创建SSL证书。因此,我们按照Troy Hunt's tutorial添加了中间CA证书,并运行此命令来创建PFX。

OpenSSL> pkcs12 -export -in bigfont.ca.crt -inkey bigfont.ca-encrypted.key 
-certfile sub.class1.server.ca.pem -out bigfont.ca.pfx -password pass:my-password

我们将生成的bigfont.ca.pfx文件上传到Azure网站的配置页面。

Windows Azure Website Configuration

为了进一步测试,我们运行了openssl s_client -servername www.bigfont.ca -connect www.bigfont.ca:443 -showcerts。结果表明证书链运作良好。 

depth=1 C = IL, 
O = StartCom Ltd., 
OU = Secure Digital Certificate Signing, 
CN = StartCom Class 1 Primary Intermediate Server CA

verify error:num=20:unable to get local issuer certificate
verify return:0

---
Certificate chain

 0 s:
      /description=T8eg9X1a04Scp3hM
      /C=CA
      /CN=www.bigfont.ca
      /emailAddress=shaunluttin@bigfont.ca
   i:
      /C=IL
      /O=StartCom Ltd.
      /OU=Secure Digital Certificate Signing
      /CN=StartCom Class 1 Primary Intermediate Server CA

-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----

 1 s:
      /C=IL
      /O=StartCom Ltd.
      /OU=Secure Digital Certificate Signing
      /CN=StartCom Class 1 Primary Intermediate Server CA
   i:
      /C=IL
      /O=StartCom Ltd.
      /OU=Secure Digital Certificate Signing
      /CN=StartCom Certification Authority

-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----
---
Server certificate
subject=
      /description=T8eg9X1a04Scp3hM
      /C=CA
      /CN=www.bigfont.ca
      /emailAddress=shaunluttin@bigfont.ca
issuer=
      /C=IL
      /O=StartCom Ltd.
      /OU=Secure Digital Certificate Signing
      /CN=StartCom Class 1 Primary Intermediate Server CA

---
No client certificate CA names sent

---
SSL handshake has read 3369 bytes and written 547 bytes

---
New, TLSv1/SSLv3, Cipher is RC4-SHA
Server public key is 2048 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
SSL-Session:
    Protocol  : TLSv1
    Cipher    : RC4-SHA
    Session-ID: 6E1F00009...FDD7B7BF7B7
    Session-ID-ctx:
    Master-Key: 2FA3C020A506198C1319081F9E023D35...5AEB01985323AADCF9
    Key-Arg   : None
    PSK identity: None
    PSK identity hint: None
    Start Time: 1413947020
    Timeout   : 300 (sec)
    Verify return code: 20 (unable to get local issuer certificate) 

---
read:errno=10054

如果链条正常工作,为什么Firefox会抱怨?

3 个答案:

答案 0 :(得分:1)

解决方案

<强> Reset Firefox to its default state

  1. 火狐
  2. 帮助
  3. 疑难解答信息
  4. 重置Firefox

    5. 详细

    问题原来与存储Firefox证书的cert8.db文件有关。在这里找到它:

    1. 火狐
    2. 帮助
    3. 疑难解答信息
    4. 应用程序基础
    5. 个人资料文件夹
    6. 显示文件夹

      7. 问题是可能是,我们与Firefox的当局 StartCom证书混淆了。我们可能在通过恢复我们的StartSSL 客户端身份验证证书的过程中弄糊涂了。

      您的证书(客户端身份验证)

      enter image description here

      当局

      我们可能不小心弄乱了这些,从而使Firefox不信任StartCom。

      enter image description here

答案 1 :(得分:1)

当问到这个问题时,它并不相关,但现在值得一提。

许多浏览器都有stopped trusting StartCom

以前的答案可能仍然有助于解决其他发行人的问题,而不是StartCom。

但如果您仍在使用StartCom,则可能需要切换到https://letsencrypt.org

答案 2 :(得分:0)

删除CA证书并再次导入它对我来说很有用。

相关问题
最新问题