2015-01-04 2 views
0

Firefox에서 SSL 클라이언트 인증서를 사용하려고합니다 (Mac의 경우 34.0.5는 테스트 플랫폼이지만 다른 모질라 프로그램의 경우 & 시스템에서 사용하기를 원합니다).Firefox가 인증서를 클라이언트 식별자로 제공하는 데 필요한 인증서 사용 플래그는 무엇입니까?

나는이 수준의 CA를 설정 한 : 최고/루트/자체 서명 인증서 -> CA 인증서 그럼 난 키/요청/인증서/PKCS12를 생성하고 파이어 폭스에 설치

.

클라이언트 식별을 요청하는 웹 서버로 이동하면 Firefox에서 인증서를 선택하라고 요청하지만 새 인증서를 제공하지 않습니다. 대신, 내 유일한 선택은 다른 공급자로부터받은 사용자 인증서입니다.

내 클라이언트 인증서의 키 사용 또는 확장 키 사용 설정이 문제라고 생각합니다. 파이어 폭스가 내 인증서가 클라이언트 인증에 적합하지 않다고 생각하여 제공하지 않습니다.

파이어 폭스가 클라이언트 식별 용도로 적합한 인증서를 선택하는 방법을 아는 사람이 있습니까?

(인증서가 데이터베이스로 가져오고 상위 인증서가 신뢰할 수 있으므로 사용자 인증서 플래그라고 생각하지만 클라이언트 인증서에 서명 할 권한이없는 1 단계 인증 CA 인증서 일 수 있습니까? 내가 노력하고있어 주요 용도입니다 [물론, 내가 다른 조합의 무리를 시도했지만,이 작동하지 않는 한 세트입니다])

[email protected]:/dir# openssl x509 -text -in tls/certs/TOP-LEVEL.crt 
Certificate: 
    Data: 
     Version: 3 (0x2) 
[...] 
     X509v3 extensions: 
      X509v3 Basic Constraints: critical 
       CA:TRUE, pathlen:2 
      X509v3 Key Usage: critical 
       Certificate Sign, CRL Sign 
[...] 
-----BEGIN CERTIFICATE----- 
[...] 
-----END CERTIFICATE----- 
[email protected]:/dir# openssl x509 -text -in tls/certs/MID-LEVEL.crt 
Certificate: 
    Data: 
     Version: 3 (0x2) 
[...] 
     X509v3 extensions: 
      X509v3 Basic Constraints: critical 
       CA:TRUE, pathlen:0 
      X509v3 Key Usage: 
       Certificate Sign, CRL Sign 
-----BEGIN CERTIFICATE----- 
[...] 
-----END CERTIFICATE----- 
[email protected]:/dir# openssl x509 -text -in user.crt 
Certificate: 
    Data: 
     Version: 3 (0x2) 
     X509v3 extensions: 
      X509v3 Basic Constraints: 
       CA:FALSE 
      X509v3 Key Usage: 
       Digital Signature, Key Encipherment 
-----BEGIN CERTIFICATE----- 
[...] 
-----END CERTIFICATE----- 

답변

0

내 전제는 (아마) 잘못되었습니다. SSL 서버가 클라이언트 측 인증서를 요청할 때 클라이언트 측 인증서가 수락 할 모든 CA의 목록을 보내고 클라이언트는 인증서 중 하나가 서명 한 인증서를 보내야한다고 밝혀졌습니다. 나는 새 CA 인증서를 올바른 위치에 두지 않았으므로 허용 가능한 CA로 Firefox에 전송되지 않았으므로 Firefox는 내 새로운 인증서를 보낼 대상을 선택하지 않았습니다.

openssl s_client (유용한 정보를 많이 인쇄 할 수 있음) 및 strace (openssl verify) (어떤 인증서 파일이 열려고 시도하는지 볼 수 있음)를 조합하여 추적했습니다.

일반적으로 인증서 문제는 파일, 경로 및 구성을 신중하게 구성해야합니다.