Firefox说证书是不可信的,即使证书链是好的
HTTPS for在Chrome、Internet Explorer和Safari中工作,但在Firefox中不工作。它还通过了所有的测试。Firefox说: 连接到www.bigfont.ca时出错。 对等方的证书已被用户标记为不受信任。 (错误代码:sec_Error_untrusted_cert) 这是Firefox的已知情况。我们研究了以下建议: 您必须将中间CA证书添加到安装中 我们正在使用SmartSSL和OpenSSL创建SSL证书。因此,我们通过以下方式添加了中间CA证书,并运行此命令来创建PFXFirefox说证书是不可信的,即使证书链是好的,firefox,azure,ssl,https,openssl,Firefox,Azure,Ssl,Https,Openssl,HTTPS for在Chrome、Internet Explorer和Safari中工作,但在Firefox中不工作。它还通过了所有的测试。Firefox说: 连接到www.bigfont.ca时出错。 对等方的证书已被用户标记为不受信任。 (错误代码:sec_Error_untrusted_cert) 这是Firefox的已知情况。我们研究了以下建议: 您必须将中间CA证书添加到安装中 我们正在使用SmartSSL和OpenSSL创建SSL证书。因此,我们通过以下方式添加了中间CA证书,并运行
OpenSSL> pkcs12 -export -in bigfont.ca.crt -inkey bigfont.ca-encrypted.key
-certfile sub.class1.server.ca.pem -out bigfont.ca.pfx -password pass:my-password
我们将生成的bigfont.ca.pfx
文件上传到Azure网站的配置页面
为了进一步测试,我们运行了opensslsu客户端-servername www.bigfont.ca-connect www.bigfont.ca:443-showcerts
。结果表明,该证书链运行良好
depth=1 C = IL,
O = StartCom Ltd.,
OU = Secure Digital Certificate Signing,
CN = StartCom Class 1 Primary Intermediate Server CA
verify error:num=20:unable to get local issuer certificate
verify return:0
---
Certificate chain
0 s:
/description=T8eg9X1a04Scp3hM
/C=CA
/CN=www.bigfont.ca
/emailAddress=shaunluttin@bigfont.ca
i:
/C=IL
/O=StartCom Ltd.
/OU=Secure Digital Certificate Signing
/CN=StartCom Class 1 Primary Intermediate Server CA
-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----
1 s:
/C=IL
/O=StartCom Ltd.
/OU=Secure Digital Certificate Signing
/CN=StartCom Class 1 Primary Intermediate Server CA
i:
/C=IL
/O=StartCom Ltd.
/OU=Secure Digital Certificate Signing
/CN=StartCom Certification Authority
-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----
---
Server certificate
subject=
/description=T8eg9X1a04Scp3hM
/C=CA
/CN=www.bigfont.ca
/emailAddress=shaunluttin@bigfont.ca
issuer=
/C=IL
/O=StartCom Ltd.
/OU=Secure Digital Certificate Signing
/CN=StartCom Class 1 Primary Intermediate Server CA
---
No client certificate CA names sent
---
SSL handshake has read 3369 bytes and written 547 bytes
---
New, TLSv1/SSLv3, Cipher is RC4-SHA
Server public key is 2048 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
SSL-Session:
Protocol : TLSv1
Cipher : RC4-SHA
Session-ID: 6E1F00009...FDD7B7BF7B7
Session-ID-ctx:
Master-Key: 2FA3C020A506198C1319081F9E023D35...5AEB01985323AADCF9
Key-Arg : None
PSK identity: None
PSK identity hint: None
Start Time: 1413947020
Timeout : 300 (sec)
Verify return code: 20 (unable to get local issuer certificate)
---
read:errno=10054
如果链正常工作,为什么Firefox会抱怨?解决方案
cert8.db
文件有关。在这里找到它:
删除CA证书并再次导入它对我来说是个好办法。当我问这个问题时,这与问题无关,但现在值得一提 很多浏览器都有 对于StartCom以外的其他发行人来说,前面的答案可能仍然有助于解决类似问题
但如果您仍在使用StartCom,您可能希望切换到我已经经历了几天,几名二级技术人员试图使用GeoTrust证书解决LAMP堆栈上的类似问题。我似乎记得我们尝试了其他Apache命令来指定中间证书,我们把几把钥匙放在一个单独的。pem(??)。祝你好运对不起,我帮不上忙了。