>Форум Mozilla Россия
   http://forum.mozilla-russia.org/index.php
>Поддержка пользователей
   http://forum.mozilla-russia.org/viewforum.php?id=26
>Не импортируется корневой сертификат
   http://forum.mozilla-russia.org/viewtopic.php?id=60775

Michael74 > 05-11-2013 12:32:31

Добрый день.

Firefox 25
Windows 7

Не могу импортировать корневой сертификат.
1. Перехожу на вкладку "Центры сертификации"
2. Нажимаю "Импортировать..."
3. Указываю свой файл "ca.crt"
4. Ничего дальше не происходит, никаких новых окошек не появляется, сертификат в хранилище тоже не появляется.

При этом пользовательские сертификаты импортируются без проблем. Этот же сертификат успешно импортируется Internet Explorer-ом.

Azathoth > 05-11-2013 15:32:47

А откуда сертификат? Случайно не самостоятельно сгенерированный? И если самостоятельно, то каким образом?

Michael74 > 05-11-2013 15:44:56

Да, сертификат сгенерирован самостоятельно.  Сделано все согласно инструкции, типа:

openssl req -new -newkey rsa:1024 -nodes -out ca.csr -keyout ca.key
openssl x509 -trustout -signkey ca.key -days 365 -req -in ca.csr -out ca.pem

Раньше, несколько версий назад, все работало и грузилось на "ура". А тут понадобилось загрузить и такой облом.

Azathoth > 07-11-2013 02:22:38

Можно попробовать так:

Выделить код

Код:

openssl req -new -newkey rsa:4096 -x509 -days 3650 -nodes -out ca.crt -keyout ca.key

Тогда на выходе будет .crt сертификат вместо .pem. Но я думаю это не является проблемой =)

Отмечу: я не уверен что такой сертификат подходит для того что бы нормально выступать в качестве корневого. И честно говоря не стал бы советовать использовать именно этот способ, т.к. этой команды недостаточно для создания полноценного корневого сертификата. Желательно еще:
1. Через конфиг для openssl правильно его настроить и указать расширения (extensions) для этого сертификата (ну и вообще нужно генерировать этот сертификат совсем не так... =))
2. Подписать его самим собой и закопать на глубину 10 метров где-нибудь в лесу, что бы ни какая подозрительная личность его не нашла =)
3. Создать промежуточный сертификат, который подписать корневым, а уже промежуточным подписывать остальные

Тема довольно обширна и не проста. Я сам как раз задумался о создании своего центра сертификации для личных нужд и только начинаю разбираться в деталях.

banbot > 07-11-2013 11:46:44

Michael74
Azathoth
Там ларчик немного проще открывается. Команды от Michael74 генерят ca.pem в начале и конце которого стоят:

Выделить код

Код:

-----BEGIN TRUSTED CERTIFICATE-----
-----END TRUSTED CERTIFICATE-----

если заменить их на:

Выделить код

Код:

-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----

то всё прекрасно импортируется. Видно у парсера Firefox бага.

Azathoth > 07-11-2013 15:58:48

banbot, да, весело...