Самозаверяющий сертификат wildcard не работает для Firefox

Создайте самозаверяющий root certificate с помощью makecert.exe и импортируйте в Trusted Root Certification Authorities.

Поскольку Mozilla Firefox имеет собственный список сертификатов центра сертификации (CA), импортированные самоподписанные сертификат в список сертификатов центра Firefox.

Создайте производный сертификат с помощью CN=*.test.com

Настройте прокси-сервер, использующий самозаверяющий сертификат.

При просмотре something.test.com с помощью Internet Explorer и Chrome сертификат принимается, и предупреждение о проблеме с безопасностью не отображается. Firefox показывает сообщение об ошибке

'something.test.com использует недействительный сертификат безопасности. Сертификат действителен только для *.test.com (код ошибки: ssl_error_bad_cert_domain)».

Кажется, проблема связана с использованием подстановочного знака в CN, потому что, если я создаю производный сертификат с CN=something.test.com, ни для одного из браузеров не отображается ошибка.


ssl ssl-certificate mozilla proxy-server
person tchelidze    schedule 05.11.2015    source источник
comment
Я понятия не имею, как на самом деле выглядит ваш сертификат. Но подстановочный знак должен быть в альтернативном имени субъекта, а не в CN, чтобы он работал со всеми браузерами. Если у вас все еще есть проблемы, опубликуйте сертификаты, которые вы использовали, чтобы действительно воспроизвести вашу проблему.   -  person Steffen Ullrich    schedule 05.11.2015
comment
Спасибо за ответ. я создаю корневой и производный сертификаты с помощью следующей команды cmd соответственно. makecert.exe -ss Root -n CN=RootCANName, O=Some Org -sky подпись -cy авторитет -m 120 -a sha256 -eku 1.3.6.1.5.5.7.3.1 -b 02.11.2015 -h 1 - r makecert.exe -ss My -n CN=*.facebook.com, O=Some Org -sky exchange end -m 120 -a sha256 -eku 1.3.6.1.5.5.7.3.1 -b 03.11.2015 - pe -in RootCAName -это корень   -  person tchelidze    schedule 05.11.2015
comment
Если у вас все еще есть проблемы, опубликуйте сертификаты, которые вы использовали, чтобы действительно воспроизвести вашу проблему - я не вижу сертификатов, только инструкции. Если вы хотите получить помощь от других, сделайте так, чтобы им было легко воспроизвести вашу проблему. Кроме того, добавляйте детали в удобочитаемом формате к своему вопросу и не бросайте их в нечитаемом виде в какой-то комментарий.   -  person Steffen Ullrich    schedule 05.11.2015
comment
Вы правы, команды плохо отформатированы. подумал, что было бы проще показать точную команду, как был создан сертификат, чтобы увидеть все параметры конфигурации, а не отправлять файлы .cer (поскольку с помощью этих команд можно легко создавать файлы cer).   -  person tchelidze    schedule 05.11.2015
comment
Неважно, какой инструмент использовался для создания сертификатов, важно содержание сертификатов. Кроме того, не у всех есть makecert.exe (есть ОС вне Windows).   -  person Steffen Ullrich    schedule 05.11.2015
comment
Окей Штеффен, моя цель — найти решение, а не спорить с пользователями сайта, поэтому я буду рад, если вы дадите мне какое-нибудь предложение.   -  person tchelidze    schedule 05.11.2015
comment
Мое предложение состояло в том, чтобы предоставить сертификаты, чтобы можно было поближе посмотреть, что происходит, и, возможно, воспроизвести проблему.   -  person Steffen Ullrich    schedule 05.11.2015
comment
CN=www.example.com, вероятно, неверно. Имена хостов всегда указываются в SAN. Если он присутствует в CN, то он должен присутствовать и в SAN (в этом случае вам нужно указать его дважды). Дополнительные правила и причины см. в разделах Как подписать запрос на подпись сертификата в центре сертификации и Как создать самозаверяющий сертификат с помощью openssl? Вам также потребуется поместить самоподписанный сертификат в соответствующее хранилище доверия.   -  person jww    schedule 17.12.2017

Ответы (1)


arrow_upward
1
arrow_downward

Проблема решена с помощью многодоменного (SAN) сертификата.

makecert.exe не удается создать сертификат SAN. по крайней мере, я не знаю, как это сделать.

Используется OpenSSL для создания сертификата SAN, и это сработало.

Учебное пособие по OpenSSL PKI – это хороший источник информации о том, как создать сертификат SAN.

person tchelidze    schedule 06.11.2015
comment
Также см. Как вы подписываете запрос на подпись сертификата в своем центре сертификации и Как создать самозаверяющий сертификат с помощью openssl? Вам также потребуется поместить самозаверяющий сертификат в соответствующее хранилище доверенных сертификатов. - person jww; 17.12.2017