Feb 022006
 

自前CAの証明書が期限切れだったので、Solaris上で作り直しました。
ところがFirefoxにインポートしても"Could not verify this certificate for unknown reasons."になってしまいます 😕
何が原因かわかってませんが、CSWパッケージのopensslで作成するとNG、Solaris標準(といっても/usr/sfw配下)だとOKになるようです。
それぞれのバージョンを見比べると

$ /usr/sfw/bin/openssl version
OpenSSL 0.9.7d 17 Mar 2004
$ /opt/csw/bin/openssl version
OpenSSL 0.9.8a 11 Oct 2005

実際のキー生成や署名は、opensslコマンドの直接実行ではなくCA.plを使っているのですが、それぞれのバージョンに付属するCA.plではCA作成の方法が少々異なっていました。

0.9.8aでは

print "Making CA certificate ...\n";
system ("$REQ -new -keyout " .
    "${CATOP}/private/$CAKEY -out ${CATOP}/$CAREQ");
system ("$CA -create_serial " .
    "-out ${CATOP}/$CACERT $CADAYS -batch " .
    "-keyfile ${CATOP}/private/$CAKEY -selfsign " .
    "-infiles ${CATOP}/$CAREQ ");
$RET=$?;

0.9.7aでは

print "Making CA certificate ...\n";
system ("$REQ -new -x509 -keyout " .
    "${CATOP}/private/$CAKEY -out ${CATOP}/$CACERT $DAYS");
$RET=$?;

この違いが何を意味するのか、もう少し勉強が必要です 😥

Firefox - could not verify this certificate for unknown reasons

Sorry, the comment form is closed at this time.