Firefox SEC_ERROR_INADEQUATE_CERT_TYPE 没有增强的密钥使用

Question

我整个下午都在尝试创建一个 Firefox 可以使用的 CA，每次尝试都可以使用：

• 微软边缘
• 微软 IE 11
• 谷歌浏览器 59
• 歌剧 46
• wget 1.17.1
• 卷曲 7.47.0

...但不是 Firefox 54.0.1，它始终抛出 SEC_ERROR_INADEQUATE_CERT_TYPE 并拒绝与服务器通信。根据https://bugzilla.mozilla.org/show_bug.cgi?id=1049176，我已从根 CA 中删除了所有应用程序策略的增强密钥用法，但它仍然不起作用.....我错过了什么？我没有想法......

最新尝试

为这个庞大的部分道歉，但这就是 Windows 将告诉我的关于当前尝试使这项工作的所有内容；希望有人能发现问题所在！！！

根 CA

• 版本：V3
• 序列号：‎33 9c 48 f4 0a 2f fc 4e
• 签名算法：sha256RSA
• 签名哈希算法：sha256
• 颁发者：C=GB，O=Org Name Here，CN=Org Name Root CA
• 有效期自：‎02 ‎July ‎2017 19:38:24
• 有效期至：‎02 ‎July ‎2047 19:38:24
• 主题：C=GB，O=Org Name Here，CN=Org Name Root CA
• 公钥：RSA 2048 位
• 公钥参数：05 00
• 授权密钥标识符：KeyID=d3 f2 2f 78 c2 db 20 d7 63 72 fd d8 54 be 75 2c fe ef d3 3f
• 证书策略：[1]证书策略： Policy Identifier=1.3.6.1.4.1.[OrgPEN].1.1 [1,1]Policy Qualifier Info: Policy Qualifier Id=CPS Qualifier: http://pki.orgname.fqdn/cps
• 主题密钥 ID：d3 f2 2f 78 c2 db 20 d7 63 72 fd d8 54 be 75 2c fe ef d3 3f
• 基本约束：主题类型=CA 路径长度约束=无

颁发 CA

• 版本：V3
• 序列号：‎15 6c 30 6d d8 f1 eb b0
• 签名算法：sha256RSA
• 签名哈希算法：sha256
• 颁发者：C=GB，O=Org Name Here，CN=Org Name Root CA
• 有效期自：‎02 ‎July ‎2017 19:40:02
• 有效期至：‎02 ‎7 ‎2027 19:40:02
• 主题：C=GB，O=Org Name Here，CN=Org Name Issuing CA
• 公钥：RSA 2048 位
• 公钥参数：05 00
• 授权密钥标识符：KeyID=d3 f2 2f 78 c2 db 20 d7 63 72 fd d8 54 be 75 2c fe ef d3 3f
• Authority Information Access: [1]Authority Information Access Method=Certification Authority Issuer (1.3.6.1.5.5.7.48.2) Alternative Name: URL=http://pki.orgname.fqdn/aia/OrgName-RootCA.crt [2]Authority Information Access Method=On-line证书状态协议 (1.3.6.1.5.5.7.48.1) 备用名称：URL=http://pki.orgname.fqdn/ocsp
• 证书策略：[1]证书策略：策略标识符=1.3.6.1.4.1.[OrgPEN].1.1 [1,1]策略限定符信息：策略限定符 Id=CPS 限定符：http://pki.orgname.fqdn/cps
• 增强的密钥用法：任何用途 (2.5.29.37.0)
• CRL 分发点：[1]CRL 分发点分发点名称：全名：URL=http://pki.orgname.fqdn/cdp/OrgName-RootCA.crl CRL 颁发者：目录地址：C=GB O=Org Name Here CN=OrgName Root CA
• 主题密钥 ID：47 42 f0 e5 bb 39 76 9d ed 94 ca a6 b6 50 fb 24 37 19 a0 3a
• 基本约束：主题类型=CA 路径长度约束=无
• 密钥用法：证书签名、离线 CRL 签名、CRL 签名 (06)

测试 Web 服务器证书

• 版本：V3
• 序列号：‎‎50 f6 be 8d ab db df 21
• 签名算法：sha256RSA
• 签名哈希算法：sha256
• 颁发者：C=GB，O=Org Name Here，CN=Org Name Root CA
• 有效期自：‎02 ‎July ‎2017 19:48:11
• 有效期至：‎‎02 ‎July ‎2019 19:48:11
• 主题：C=GB，O=Org Name Here，CN=servername.orgname.fqdn
• 公钥：RSA 2048 位
• 公钥参数：05 00
• 授权密钥标识符：KeyID=47 42 f0 e5 bb 39 76 9d ed 94 ca a6 b6 50 fb 24 37 19 a0 3a
• Authority Information Access: [1]Authority Information Access Method=Certification Authority Issuer (1.3.6.1.5.5.7.48.2) Alternative Name: URL=http://pki.orgname.fqdn/aia/OrgName-IssuingCA.crt [2]Authority Information Access Method=On-line证书状态协议 (1.3.6.1.5.5.7.48.1) 备用名称：URL=http://pki.orgname.fqdn/ocsp
• Freshest CRL：[1]Freshest CRL 分发点名称：全名：URL=http://pki.orgname.fqdn/cdp/OrgName-IssuingCA-Delta.crl
• 主题替代名称：DNS 名称=servername.orgname.fqdn DNS 名称=freindlyname.orgname.fqdn IP 地址=192.0.2.4 IP 地址=2001:DB8:1234:4321:0000:0000:0000:1234
• 证书策略：[1]证书策略：策略标识符=1.3.6.1.4.1.[OrgPEN].1.1 [1,1]策略限定符信息：策略限定符 Id=CPS 限定符：http://pki.orgname.fqdn/cps
• 增强的密钥使用：服务器身份验证 (1.3.6.1.5.5.7.3.1)
• CRL 分发点：[1]CRL 分发点分发点名称：全名：URL=http://pki.orgname.fqdn/cdp/OrgName-IssuingCA.crl CRL 颁发者：目录地址：C=GB O=Org Name Here CN=OrgName Root CA
• 主题密钥 ID：b9 50 13 7d bc eb dd 92 b9 03 b7 86 e0 00 dc f7 2fe ea 56 20
• 基本约束：主题类型=结束实体路径长度约束=无
• 密钥用法：数字签名、密钥加密 (a0)

为什么总是 Firefox 导致问题？？？即使 Edge 也有效.....

Answer 1

我发现了这个问题，我不小心在根 CA 上包含了授权密钥标识符扩展，这让 Firefox 感到不安，大概因为它指向自己，所有其他浏览器都必须发现它不应该存在并忽略它！

Answer 2

尝试生成一个排除扩展使用字段的新测试 CA。然后生成一个新的 ssl 证书。 在 CA 中使用“增强的密钥用法：任何目的 (2.5.29.37.0)”并不是好的做法。

Answer 3

在本地环境中遇到了同样的问题。我只是停止尝试使用 https:// 访问 localhost 并使用 http://

访问它