web-dev-qa-db-ja.com

発行者の証明書が不明であるため、証明書は信頼されていません。 (エラーコード:sec_error_unknown_issuer)Firefox

WebサイトがSSL証明書をNetwork SolutionsからGandiに切り替えようとしています。 Firefoxでのみエラーがスローされることを除いて、すべてが正しくインストールされているようです。 ChromeおよびIEでは、スローされるエラーはありません。認証パスに問題があるようです。いくつか試しましたが、Googleで試しましたが、問題は解決しませんどんなヒントもいただければ幸いです。よろしくお願いします!

試行された手順:

  • http://wiki.gandi.net/en/ssl/intermediate (SHA2標準証明書)の指示に従ってGandiから取得したGandi中間証明書
  • ガンディ中間証明書をサーバーに追加(MMC>証明書>中間認証局>証明書)
  • https://ssl-tools.net/certificates/1y0ovx5-usertrust-rsa-certification-authority のSSL-Toolsから取得したUSERTRust RSA認証局証明書
  • サーバーにUSERTrust RSA証明機関証明書を追加しました(MMC>証明書>信頼されたルート証明機関>証明書)
  • すべてのインストール後にIISを再起動します。
  • インストールのたびにローカルブラウザのキャッシュをクリアします。

Firefoxエラー:

Technical Details
www.somedomain.org uses an invalid security certificate.
The certificate is not trusted because the issuer certificate is unknown.
(Error code: sec_error_unknown_issuer)

Firefox 34証明書の階層:

Gandi Standard SSL CA 2 > somedomain.org

Chrome 40とInternet Explorer 11の認定パス:

USERTRust > USERTrust RSA Certification Authority > Gandi Standard SSL CA 2 > somedomain.org

SSLラボのテスト結果( https://www.ssllabs.com/ssltest/analyze.html ):

Additional Certificates (if supplied)
Certificates provided   2 (2851 bytes)
Chain issues    Incomplete
#2
Subject Gandi Standard SSL CA 2 
Fingerprint: 247106a405b288a46e70a0262717162d0903e734
Valid until Wed Sep 11 16:59:59 PDT 2024 (expires in 9 years and 8 months)
Key RSA 2048 bits (e 65537)
Issuer  USERTrust RSA Certification Authority
Signature algorithm SHA384withRSA

Certification Paths
1   Sent by server  somedomain.org 
Fingerprint: 0123456789012345678901234567890123456789 
RSA 2048 bits (e 65537) / SHA256withRSA
2   Sent by server  Gandi Standard SSL CA 2 
Fingerprint: 247106a405b288a46e70a0262717162d0903e734 
RSA 2048 bits (e 65537) / SHA384withRSA
3   Extra download  USERTrust RSA Certification Authority 
Fingerprint: eab040689a0d805b5d6fd654fc168cff00b78be3 
RSA 4096 bits (e 65537) / SHA384withRSA
4   In trust store  AddTrust External CA Root   Self-signed 
Fingerprint: 02faf3e291435468607857694df5e45b68851868 
RSA 2048 bits (e 65537) / SHA1withRSA 
Weak or insecure signature, but no impact on root certificate

SSL-Toolsテスト結果( https://ssl-tools.net/webservers/ ):

Certificate chain
somedomain.org 
1054 days remaining  2048 bit sha256WithRSAEncryption
- Gandi Standard SSL CA 2
- 3537 days remaining  2048 bit sha384WithRSAEncryption
- Root certificate unknown
-- USERTrust RSA Certification Authority

サーバ:

  • Windows Server 2008 R2
  • IIS 7.5
6
jiminy

USERTrust RSA Certification Authority」は、すべてのプラットフォームでルートCAとして認識されていません。したがって、最良のオプションは、「AddTrust External CA Root」によって署名された証明書を持つ中間CAとして使用することです。

この証明書は http://crt.usertrust.com/USERTrustRSAAddTrustCA.crt で取得できます。

証明書の適切なインストール(ほとんどの場合)は次のとおりです。

  • Rootstore
    • AddTrust外部CAルート
  • 中間ストア
    • USERTrust RSA認証局(AddTrustによる署名)
    • ガンディ標準SSL CA 2
  • 個人ストア
    • [サーバー証明書]

Windows Server 2008 R2は自動的に信頼された証明書を管理するため、サーバーは次の構成を取得できます。

  • Rootstore
    • AddTrust外部CAルート
    • USERTrust RSA認証局(自己署名)
  • 中間ストア
    • USERTrust RSA認証局(AddTrustによる署名)
    • ガンディ標準SSL CA 2
  • 個人ストア
    • [サーバー証明書]

サーバーが証明書を送信するとき、サーバーはルートへの最短パスを選択します。

  • [サーバー] <ガンディ<USERTrust(自己署名)

そして、それはほとんどのプラットフォームにとって不完全なチェーンです。

これが問題である場合、最良の解決策は、ルートストアで「USERTrust RSACertification Authority」を見つけ、そのプロパティを「」に編集することです。この証明書のすべての目的を無効にします '。

サーバーを再起動した後、Windowsは常に目的のチェーンを生成します。

  • [サーバー] <ガンディ<USERTrust <AddTrust
11
mimaen