Firefox说证书是不可信的，即使证书链是好的

HTTPS for在Chrome、Internet Explorer和Safari中工作，但在Firefox中不工作。它还通过了所有的测试。Firefox说：

连接到www.bigfont.ca时出错。 对等方的证书已被用户标记为不受信任。 （错误代码：sec_Error_untrusted_cert）

这是Firefox的已知情况。我们研究了以下建议：

您必须将中间CA证书添加到安装中

我们正在使用SmartSSL和OpenSSL创建SSL证书。因此，我们通过以下方式添加了中间CA证书，并运行此命令来创建PFX

OpenSSL> pkcs12 -export -in bigfont.ca.crt -inkey bigfont.ca-encrypted.key 
-certfile sub.class1.server.ca.pem -out bigfont.ca.pfx -password pass:my-password

我们将生成的

bigfont.ca.pfx

文件上传到Azure网站的配置页面

为了进一步测试，我们运行了

opensslsu客户端-servername www.bigfont.ca-connect www.bigfont.ca:443-showcerts

。结果表明，该证书链运行良好

depth=1 C = IL, 
O = StartCom Ltd., 
OU = Secure Digital Certificate Signing, 
CN = StartCom Class 1 Primary Intermediate Server CA

verify error:num=20:unable to get local issuer certificate
verify return:0

---
Certificate chain

 0 s:
      /description=T8eg9X1a04Scp3hM
      /C=CA
      /CN=www.bigfont.ca
      /emailAddress=shaunluttin@bigfont.ca
   i:
      /C=IL
      /O=StartCom Ltd.
      /OU=Secure Digital Certificate Signing
      /CN=StartCom Class 1 Primary Intermediate Server CA

-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----

 1 s:
      /C=IL
      /O=StartCom Ltd.
      /OU=Secure Digital Certificate Signing
      /CN=StartCom Class 1 Primary Intermediate Server CA
   i:
      /C=IL
      /O=StartCom Ltd.
      /OU=Secure Digital Certificate Signing
      /CN=StartCom Certification Authority

-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----
---
Server certificate
subject=
      /description=T8eg9X1a04Scp3hM
      /C=CA
      /CN=www.bigfont.ca
      /emailAddress=shaunluttin@bigfont.ca
issuer=
      /C=IL
      /O=StartCom Ltd.
      /OU=Secure Digital Certificate Signing
      /CN=StartCom Class 1 Primary Intermediate Server CA

---
No client certificate CA names sent

---
SSL handshake has read 3369 bytes and written 547 bytes

---
New, TLSv1/SSLv3, Cipher is RC4-SHA
Server public key is 2048 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
SSL-Session:
    Protocol  : TLSv1
    Cipher    : RC4-SHA
    Session-ID: 6E1F00009...FDD7B7BF7B7
    Session-ID-ctx:
    Master-Key: 2FA3C020A506198C1319081F9E023D35...5AEB01985323AADCF9
    Key-Arg   : None
    PSK identity: None
    PSK identity hint: None
    Start Time: 1413947020
    Timeout   : 300 (sec)
    Verify return code: 20 (unable to get local issuer certificate) 

---
read:errno=10054

如果链正常工作，为什么Firefox会抱怨？

解决方案

火狐

帮助

故障排除信息

重置Firefox

细节 这个问题与存储Firefox证书的

cert8.db

文件有关。在这里找到它：

火狐

帮助

故障排除信息

应用基础

配置文件文件夹

显示文件夹

问题可能是我们弄乱了Firefox的StartCom权威证书。我们可能在恢复StartSSL客户机身份验证证书的过程中混淆视听地完成了这项工作

您的证书（客户端身份验证）

当局 我们可能无意中弄乱了这些，从而使Firefox不信任StartCom

---

删除CA证书并再次导入它对我来说是个好办法。

当我问这个问题时，这与问题无关，但现在值得一提

很多浏览器都有

对于StartCom以外的其他发行人来说，前面的答案可能仍然有助于解决类似问题

---

但如果您仍在使用StartCom，您可能希望切换到

我已经经历了几天，几名二级技术人员试图使用GeoTrust证书解决LAMP堆栈上的类似问题。我似乎记得我们尝试了其他Apache命令来指定中间证书，我们把几把钥匙放在一个单独的。pem（？？）。祝你好运对不起，我帮不上忙了。