事象

自己証明書を設置したサイトを作成し、Firefoxで表示させると「MOZILLA_PKIX_ERROR_CA_CERT_USED_AS_END_ENTITY」というエラーが表示されます。
（Cherome、edge、IE11では正常に表示される）

目的

このエラーが表示されないようにしたい

環境

サーバー

CentOS7
nginx

ブラウザ

Firefox 68.0(64bit)　※7/11時点の最新ver

証明書

ルート認証局
└中間認証局
□└ウェブサーバー用証明書

証明書の設置場所

ルート認証局

Firefox>オプション>プライバシーとセキュリティ>証明書を表示>認証局証明書>インポート

中間認証局

Firefox>オプション>プライバシーとセキュリティ>証明書を表示>認証局証明書>インポート

サーバー証明書（公開鍵・秘密鍵）

Webサーバー /etc/nginx/conf.key

やってみた事

ルート証明書作成時の定義にこれを追加

nsCertType = sslCA, emailCA
keyUsage = keyCertSign, cRLSign
extendedKeyUsage = serverAuth, clientAuth

中間証明書作成時の定義

ルート証明書の定義と同様

ウェブサーバー用証明書の定義にこれを追加

nsCertType = server
keyUsage = digitalSignature, keyEncipherment
extendedKeyUsage = serverAuth, clientAuth

その他

chrome向けにsanの値を設定

情報をお持ちの方、ご教示いただけないでしょうか。
よろしくお願い致します。

行動規範の内容に同意します

回答1件

ベストアンサー

試していませんが、https://wiki.mozilla.org/SecurityEngineering/x509Certs によると、

MOZILLA_PKIX_ERROR_CA_CERT_USED_AS_END_ENTITY

A certificate with a basic constraints extension with cA:TRUE is being used
as an end-entity certificate

なので、ウェブサーバー用証明書が CA:TRUE で作成されているのではないでしょうか。

上記 URL では誤植があって、Generate the end entity certificate 箇所で、"-extfile openssl.ss.cnf" とすべきところが、"-extfile openssl.int.cnf" となっています。

投稿2019/07/11 12:06

TaichiYanagiya

総合スコア12202

nic_

2019/07/12 06:32

TaichiYanagiya様アドバイス頂きまして、ありがとうございます。大変助かります。ご教示頂いた、basicConstraintsの設定値をFALSEにしましたが、結果は変わらず、エラー「MOZILLA_PKIX_ERROR_CA_CERT_USED_AS_END_ENTITY」となりました。 ─（詳細）───────────────────────── The server uses a certificate with a basic constraints extension identifying it as a certificate authority. For a properly-issued certificate, this should not be the case. HTTP Strict Transport Security: false HTTP 公開鍵ピンニング: false ────────────────────────────── basicConstraintsを設定したセクションは下記です。 [ usr_cert ] [ proxy_cert_ext ] [ v3_ca ] 中間認証局の秘密鍵で証明書署名要求に署名した際、実行ログに「CA:TRUE」と記載がありましたが、何故なのかがわかりません。こちらがそのログです。 ─（ログ）───────────────────────── # openssl ca -config /etc/pki/tls/openssl_certification.cnf -out ../certification/www_example_crt.pem -in ../certification/www_example_csr.pem -cert InterCA_crt.pem -keyfile InterCA_key.pem -passin pass:xxxxxxxxxxxxxxxxx -batch -extensions v3_ca Using configuration from /etc/pki/tls/openssl_certification.cnf Check that the request matches the signature Signature ok Certificate Details: Serial Number: 00:00:00:00:00:00:00:00:00:00:00:00:00:00:00:00 Validity Not Before: Jul 12 05:57:10 2019 GMT Not After : Jul 11 05:57:10 2020 GMT Subject: countryName = JP stateOrProvinceName = Tokyo organizationName = examplename commonName = *.example.xxx X509v3 extensions: X509v3 Subject Alternative Name: DNS:example.co.jp, DNS:*.example.xxx, DNS:*.dev.example.xxx, DNS:*.stg.example.xxx, DNS:*.office.example.xxx X509v3 Subject Key Identifier: FA:00:00:00:00:00:00:00:00:00:00:00:00:00:00:00:00:00:00:00 X509v3 Authority Key Identifier: keyid:00:00:00:00:00:00:00:00:00:00:00:00:00:00:00:00:00:00:00:00 X509v3 Basic Constraints: CA:TRUE Netscape Cert Type: SSL CA, S/MIME CA Certificate is to be certified until Jul 11 05:57:10 2020 GMT (365 days) Write out database with 1 new entries Data Base Updated ────────────────────────────── また何かお気づきの点がございましたら、ご教示頂ければ幸甚です。

TaichiYanagiya

2019/07/13 08:10

ウェブサーバー用証明書(サイト証明書)を作成する際、"-extensions v3_ca" を付けているので、openssl_certification.cnf の [v3_ca] セクションの設定(CA:TRUE)で作成されているのだと思います。 "-extensions v3_ca" を付けずに作成するとどうなりますでしょうか？

nic_

2019/07/16 01:41

TaichiYanagiya様ご回答ありがとうございます。 "-extensions v3_ca" を付けずに作成した結果、前回同様「CA:TRUE」となってしまいました。。そこで現在、「openssl ca～」を「openssl x509～」に置き換え「-extensions v3_ca」を「-extensions v3_req」に置き換える等して検証中ですが、うまくいっていない状況です。

nic_

2019/07/16 02:23

TaichiYanagiya様アドバイスのおかげで、うまくいきました。ありがとうございました。下記のように、「-extensions v3_ca」を「-extensions v3_req」に置き換えるだけで良かったようです。 openssl ca -config /etc/pki/tls/openssl_certification.cnf -out ../certification/www_example_crt.pem -in ../certification/www_example_csr.pem -cert InterCA_crt.pem -keyfile InterCA_key.pem -passin pass:xxxxxxxxxxxxxxxxx -batch -extensions v3_req

行動規範の内容に同意します