没有增强密钥用法的 Firefox SEC_ERROR_INADEQUATE_CERT_TYPE

Question

我整个下午都在尝试创建一个 Firefox 可以使用的 CA，每次尝试都成功了：

• 微软边缘
• 微软 IE 11
• Google Chrome 59
• 歌剧 46
• wget 1.17.1
• 卷曲 7.47.0

... 但不是 Firefox 54.0.1，它一直抛出 SEC_ERROR_INADEQUATE_CERT_TYPE 并拒绝与服务器通信。我已经按照 https://bugzilla.mozilla.org/show_bug.cgi?id=1049176 从根 CA 中删除了所有应用程序策略的增强密钥使用，但它仍然不起作用......我错过了什么？我没主意了....

最近的尝试

对这个庞大的部分表示歉意，但这就是 Windows 将告诉我目前为完成这项工作所做的一切尝试；希望有人会发现问题所在！！！

根 CA

• 版本：V3
• 序列号： 33 9c 48 f4 0a 2f fc 4e
• 签名算法：sha256RSA
• 签名哈希算法：sha256
• 颁发者：C=GB，O=Org Name Here，CN=Org Name Root CA
• 有效日期： 2017 年 02 7 月 19:38:24
• 有效期至： 02 七月 2047 19:38:24
• 主题：C=GB，O=Org Name Here，CN=Org Name Root CA
• Public 密钥：RSA 2048 位
• Public 关键参数：05 00
• 授权密钥标识符：KeyID=d3 f2 2f 78 c2 db 20 d7 63 72 fd d8 54 be 75 2c fe ef d3 3f
• 证书政策：[1]证书政策： 策略标识符=1.3.6.1.4.1.[OrgPEN].1.1 [1,1]策略限定符信息：策略限定符 Id=CPS 限定符：http://pki.orgname.fqdn/cps
• 主题密钥 ID：d3 f2 2f 78 c2 db 20 d7 63 72 fd d8 54 be 75 2c fe ef d3 3f
• 基本约束：主题类型=CA 路径长度约束=None

颁发 ​​CA

• 版本：V3
• 序列号： 15 6c 30 6d d8 f1 eb b0
• 签名算法：sha256RSA
• 签名哈希算法：sha256
• 颁发者：C=GB，O=Org Name Here，CN=Org Name Root CA
• 有效日期： 2017 年 02 7 月 19:40:02
• 有效期至： 02 七月 2027 19:40:02
• 主题：C=GB，O=Org Name Here，CN=Org Name Issuing CA
• Public 密钥：RSA 2048 位
• Public 关键参数：05 00
• 授权密钥标识符：KeyID=d3 f2 2f 78 c2 db 20 d7 63 72 fd d8 54 be 75 2c fe ef d3 3f
• 权限信息访问：[1]权限信息访问访问方法=证书颁发机构 (1.3.6.1.5.5.7.48.2) 替代名称：URL=http://pki.orgname.fqdn/aia/OrgName-RootCA.crt [2]Authority Information Access Access Method=On-line Certificate Status Protocol (1.3.6.1.5.5.7.48.1) Alternative Name: URL=http://pki.orgname.fqdn/ocsp
• 证书策略：[1]证书策略：策略标识符=1.3.6.1.4.1.[OrgPEN].1.1 [1,1]策略限定符信息：策略限定符 Id=CPS 限定符：http://pki.orgname.fqdn/cps
• 增强型密钥用法：任何用途 (2.5.29.37.0)
• CRL 分发点：[1]CRL 分发点分发点名称：全名：URL=http://pki.orgname.fqdn/cdp/OrgName-RootCA.crl CRL 颁发者：目录地址：C=GB O=Org Name Here CN=OrgName根 CA
• 主题密钥 ID：47 42 f0 e5 bb 39 76 9d ed 94 ca a6 b6 50 fb 24 37 19 a0 3a
• 基本约束：主题类型=CA 路径长度约束=None
• 密钥用法：证书签名、离线 CRL 签名、CRL 签名 (06)

测试 Web 服务器证书

• 版本：V3
• 序列号： 50 f6 be 8d ab db df 21
• 签名算法：sha256RSA
• 签名哈希算法：sha256
• 颁发者：C=GB，O=Org Name Here，CN=Org Name Root CA
• 有效日期： 2017 年 02 7 月 19:48:11
• 有效期至： 02 七月 2019 19:48:11
• 主题：C=GB，O=组织名称，CN=servername.orgname.fqdn
• Public 密钥：RSA 2048 位
• Public 关键参数：05 00
• 权限密钥 Identifier:KeyID=47 42 f0 e5 bb 39 76 9d ed 94 ca a6 b6 50 fb 24 37 19 a0 3a
• 权限信息访问：[1]权限信息访问访问方法=证书颁发机构 (1.3.6.1.5.5.7.48.2) 替代名称：URL=http://pki.orgname.fqdn/aia/OrgName-IssuingCA.crt [2]Authority Information Access Access Method=On-line Certificate Status Protocol (1.3.6.1.5.5.7.48.1) Alternative Name: URL=http://pki.orgname.fqdn/ocsp
• 最新鲜的 CRL：[1]最新鲜的 CRL 分发点名称：全名：URL=http://pki.orgname.fqdn/cdp/OrgName-IssuingCA-Delta.crl
• 主题替代名称：DNS 名称=servername.orgname.fqdn DNS 名称=freindlyname.orgname.fqdn IP 地址=192.0.2.4 IP 地址=2001:DB8:1234:4321:0000:0000:0000:1234
• 证书策略：[1]证书策略：策略标识符=1.3.6.1.4.1.[OrgPEN].1.1 [1,1]策略限定符信息：策略限定符 Id=CPS 限定符：http://pki.orgname.fqdn/cps
• 增强的密钥用法：服务器身份验证 (1.3.6.1.5.5.7.3.1)
• CRL 分发点：[1]CRL 分发点分发点名称：全名：URL=http://pki.orgname.fqdn/cdp/OrgName-IssuingCA.crl CRL 颁发者：目录地址：C=GB O=Org Name Here CN=OrgName根 CA
• 主题密钥 ID：b9 50 13 7d bc eb dd 92 b9 03 b7 86 e0 00 dc f7 2f ea 56 20
• 基本约束：主题类型=结束实体路径长度约束=None
• 密钥用途：数字签名，密钥加密(a0)

为什么总是 Firefox 出问题？？？即使是 Edge 也能正常工作......

Answer 1

我发现了这个问题，我不小心在根 CA 上包含了授权密钥标识符扩展，这让 Firefox 很不高兴，大概是因为它指向自己，所有其他浏览器一定会发现它不应该存在并且忽略它！

Answer 2

在本地环境中遇到了同样的问题。我只是停止尝试使用 https:// 访问 localhost 并使用 http://

访问它

Answer 3

尝试生成一个排除扩展使用字段的新测试 CA。然后生成一个新的 ssl 证书。 在 CA 中使用“增强型密钥用法：任何用途 (2.5.29.37.0)”不是好的做法。