証明書チェーンをFirefox 31.3 ESRにインポートしようとしています。オリジンチェーンは、OpenSSLでPEM形式に変換したp7bファイルです。curlそのチェーンを喜んで受け入れ、接続を確立します。ただし、Firefoxはファイルから最初の証明書のみをインポートします。残りは無視されます。
ひとつひとつインポートする必要がありますか?チェーンに関する質問はこちらから入手できます:http : //www.siemens.com/pki/siemens_ca_certificates.p7b
ここで説明したようにPEMファイルを分割し、すべての証明書をインポートするためにwaを適用した愚かな回避策:-(
回答:
それはチェーンではありません。これは、3つのルートを含むCA証明書の集合体であり、そのうち1つだけが「おもしろい」ように見えます。URLから推測できるように。
HTTPS(およびSSL / TLS)サーバーはルートまでの完全な証明書チェーンを提供することになっていますが、必ずしもルートを含むわけではなく、Firefoxで信頼されている非ルート証明書をインストールする必要はありません。Firefoxが提供するストア(およびWindows、Javaなど)を見ると、いくつかの例外はありますが、信頼できる証明書のほとんどがルートであることがわかります。(頻繁に明示的に信頼されていないOTOH証明書はルートではありません。)ブリッジ証明書は、通常、必要なルートを持たないクライアント(通常は古いクライアントに対する新しいルート)で使用するサーバーに役立ちます。
したがって、3つのルートをインストールするだけで十分であり、「Trust Center RootCA v2.0」のルートのみをインストールすることもできます。プラス多分「ボルティモアサイバートラスト」の「インターネットCA v1.0の」ためのブリッジ([サーバー]タブではありませんAuthoritites)サーバーは、それのルートがあるようには思えないから、ということを使用する場合。
はい、少なくともFirefoxを使用して、それぞれを個別にインストールする必要があります。Firefoxで使用される暗号化やSSL / TLSを実行するMozillaモジュールであるNSSで利用できるコマンドライン/スタンドアロンユーティリティがあると思います。これらのツールはおそらく証明書を追加するのと同じくらい基本的なことができると思います。FirefoxのWindowsインストールには含まれていません。他のプラットフォームについては知りません。NSSはオープンソースなので、おそらく自分でダウンロードしてコンパイルすることもできますが、GUIを数回クリックするよりもはるかに手間がかかるでしょう。
--cacertが*{ca,CA}file、OpenSSLの代わりにconcatファイルを呼び出します。concatファイルの場合、すべての証明書がメモリにロードされますが、特定のサーバー接続に必要な証明書のみが実際に使用されます。NSSを使用したカールが何をするのかわかりません。...
certutil最初にFirefoxでGUIを試してみたかったのです。問題はまだ残っていますが、なぜcurlはファイル全体を喜んで食べますか?curlのmanページには、NSSに対してコンパイルされた場合でも機能するはずであり、Red Hatでデフォルトで機能することが記載されています。