Joe*_*e P
5
ssl
firefox
pki
我整个下午都在尝试创建一个 Firefox 可以使用的 CA,每次尝试都使用过:
- 微软边缘
- 微软 IE 11
- 谷歌浏览器 59
- 歌剧 46
- wget 1.17.1
- 卷曲 7.47.0
...但不是 Firefox 54.0.1,它始终抛出 SEC_ERROR_INADEQUATE_CERT_TYPE 并拒绝与服务器通信。我已经按照https://bugzilla.mozilla.org/show_bug.cgi?id=1049176从根 CA 中删除了所有应用程序策略的增强型密钥用法,但它仍然不起作用......我是什么丢失的?我没有想法了......
最新尝试
为这个庞大的部分道歉,但这就是 Windows 将告诉我的有关当前尝试使这项工作成功的所有信息;希望有人能发现问题所在!!!
根CA
- 版本:V3
- 序列号:?33 9c 48 f4 0a 2f fc 4e
- 签名Alogr:sha256RSA
- 签名哈希算法:sha256
- 颁发者:C=GB, O=Org Name Here, CN=Org Name Root CA
- 有效期自:?02 ?七月?2017 19:38:24
- 有效期至: ?02 ?July ?2047 19:38:24
- 主题:C=GB, O=Org Name Here, CN=Org Name Root CA
- 公钥:RSA 2048 位
- 公钥参数:05 00
- 权限密钥标识符:KeyID=d3 f2 2f 78 c2 db 20 d7 63 72 fd d8 54 be 75 2c fe ef d3 3f
- 证书策略:[1]证书策略:Policy Identifier=1.3.6.1.4.1.[OrgPEN].1.1 [1,1]Policy Qualifier Info:Policy Qualifier Id=CPS Qualifier:http://pki.orgname.fqdn/cps
- 主题密钥 ID:d3 f2 2f 78 c2 db 20 d7 63 72 fd d8 54 be 75 2c fe ef d3 3f
- 基本约束:主题类型=CA 路径长度约束=无
颁发 CA
- 版本:V3
- 序列号:?15 6c 30 6d d8 f1 eb b0
- 签名Alogr:sha256RSA
- 签名哈希算法:sha256
- 颁发者:C=GB, O=Org Name Here, CN=Org Name Root CA
- 有效期自:?02 ?7 月 ?2017 年 19:40:02
- 有效期至: ?02 ?July ?2027 19:40:02
- 主题:C=GB, O=Org Name Here, CN=Org Name Issuing CA
- 公钥:RSA 2048 位
- 公钥参数:05 00
- 权限密钥标识符:KeyID=d3 f2 2f 78 c2 db 20 d7 63 72 fd d8 54 be 75 2c fe ef d3 3f
- 权限信息访问:[1]权限信息访问方法=认证机构颁发者(1.3.6.1.5.5.7.48.2)替代名称:URL= http://pki.orgname.fqdn/aia/OrgName-RootCA.crt [ 2]Authority Information Access Access Method=在线证书状态协议(1.3.6.1.5.5.7.48.1)备用名称:URL= http://pki.orgname.fqdn/ocsp
- 证书策略:[1]证书策略:Policy Identifier=1.3.6.1.4.1.[OrgPEN].1.1 [1,1]Policy Qualifier Info:Policy Qualifier Id=CPS Qualifier:http://pki.orgname.fqdn/cps
- 增强的密钥使用:任何目的 (2.5.29.37.0)
- CRL分发点:[1]CRL分发点分发点名称:全名:URL= http://pki.orgname.fqdn/cdp/OrgName-RootCA.crl CRL颁发者:目录地址:C=GB O=Org Name Here CN=OrgName 根 CA
- 主题密钥 ID:47 42 f0 e5 bb 39 76 9d ed 94 ca a6 b6 50 fb 24 37 19 a0 3a
- 基本约束:主题类型=CA 路径长度约束=无
- 密钥用法:证书签名、离线 CRL 签名、CRL 签名 (06)
测试 Web 服务器证书
- 版本:V3
- 序列号:??50 f6 是 8d ab db df 21
- 签名Alogr:sha256RSA
- 签名哈希算法:sha256
- 颁发者:C=GB, O=Org Name Here, CN=Org Name Root CA
- 有效期自:?02 ?7 月 ?2017 年 19:48:11
- 有效期至: ??02 ?July ?2019 19:48:11
- 主题:C=GB, O=Org Name Here, CN=servername.orgname.fqdn
- 公钥:RSA 2048 位
- 公钥参数:05 00
- 权限密钥标识符:KeyID=47 42 f0 e5 bb 39 76 9d ed 94 ca a6 b6 50 fb 24 37 19 a0 3a
- 权限信息访问:[1]权限信息访问访问方法=认证机构颁发者(1.3.6.1.5.5.7.48.2)替代名称:URL= http://pki.orgname.fqdn/aia/OrgName-IssuingCA.crt [ 2]Authority Information Access Access Method=在线证书状态协议(1.3.6.1.5.5.7.48.1)备用名称:URL= http://pki.orgname.fqdn/ocsp
- 最新鲜的 CRL: [1] 最新鲜的 CRL 分发点名称: 全名: URL= http://pki.orgname.fqdn/cdp/OrgName-IssuingCA-Delta.crl
- 主题替代名称:DNS 名称=servername.orgname.fqdn DNS 名称=freindlyname.orgname.fqdn IP 地址=192.0.2.4 IP 地址=2001:DB8:1234:4321:0000:0000:0000:1234
- 证书策略:[1]证书策略:Policy Identifier=1.3.6.1.4.1.[OrgPEN].1.1 [1,1]Policy Qualifier Info:Policy Qualifier Id=CPS Qualifier:http://pki.orgname.fqdn/cps
- 增强的密钥用法:服务器身份验证 (1.3.6.1.5.5.7.3.1)
- CRL分发点:[1]CRL分发点分发点名称:全名:URL= http://pki.orgname.fqdn/cdp/OrgName-IssuingCA.crl CRL颁发者:目录地址:C=GB O=Org Name Here CN=OrgName 根 CA
- 主题密钥 ID:b9 50 13 7d bc eb dd 92 b9 03 b7 86 e0 00 dc f7 2f ea 56 20
- 基本约束:主题类型=结束实体路径长度约束=无
- 密钥用法:数字签名、密钥加密 (a0)
为什么总是 Firefox 导致问题???甚至 Edge 也能用.....