質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

新規登録して質問してみよう
ただいま回答率
85.50%
Firefox

Mozilla Foundationによって作られた無料、オープンソース、クロスプラットフォームなウェブブラウザ

SSL

SSL(Secure Sockets Layer)とは、暗号化されたプロトコルで、インターネット上での通信セキュリティを提供しています。

ウェブブラウザ

ウェブブラウザ(インターネットブラウザ)とは、www上に公開されている情報リソースをユーザーに視覚的提供・操作させる機能を持ったソフトウェアプログラムです。

Q&A

解決済

1回答

4629閲覧

自己証明書を設置したサイトを作ったがFirefoxだけエラーとなる

nic_

総合スコア30

Firefox

Mozilla Foundationによって作られた無料、オープンソース、クロスプラットフォームなウェブブラウザ

SSL

SSL(Secure Sockets Layer)とは、暗号化されたプロトコルで、インターネット上での通信セキュリティを提供しています。

ウェブブラウザ

ウェブブラウザ(インターネットブラウザ)とは、www上に公開されている情報リソースをユーザーに視覚的提供・操作させる機能を持ったソフトウェアプログラムです。

1グッド

0クリップ

投稿2019/07/11 09:32

事象

自己証明書を設置したサイトを作成し、Firefoxで表示させると「MOZILLA_PKIX_ERROR_CA_CERT_USED_AS_END_ENTITY」というエラーが表示されます。
(Cherome、edge、IE11では正常に表示される)

目的

このエラーが表示されないようにしたい
エラー画面

環境

サーバー

CentOS7
nginx

ブラウザ

Firefox 68.0(64bit) ※7/11時点の最新ver

証明書

ルート認証局
└中間認証局
□└ウェブサーバー用証明書

証明書の設置場所

ルート認証局

Firefox>オプション>プライバシーとセキュリティ>証明書を表示>認証局証明書>インポート

中間認証局

Firefox>オプション>プライバシーとセキュリティ>証明書を表示>認証局証明書>インポート

サーバー証明書(公開鍵・秘密鍵)

Webサーバー /etc/nginx/conf.key

やってみた事

ルート証明書作成時の定義にこれを追加

nsCertType = sslCA, emailCA
keyUsage = keyCertSign, cRLSign
extendedKeyUsage = serverAuth, clientAuth

中間証明書作成時の定義

ルート証明書の定義と同様

ウェブサーバー用証明書の定義にこれを追加

nsCertType = server
keyUsage = digitalSignature, keyEncipherment
extendedKeyUsage = serverAuth, clientAuth

その他

chrome向けにsanの値を設定


情報をお持ちの方、ご教示いただけないでしょうか。
よろしくお願い致します。

x_x👍を押しています

気になる質問をクリップする

クリップした質問は、後からいつでもMYページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

guest

回答1

0

ベストアンサー

試していませんが、https://wiki.mozilla.org/SecurityEngineering/x509Certs によると、

MOZILLA_PKIX_ERROR_CA_CERT_USED_AS_END_ENTITY

A certificate with a basic constraints extension with cA:TRUE is being used as an end-entity certificate

なので、ウェブサーバー用証明書が CA:TRUE で作成されているのではないでしょうか。

上記 URL では誤植があって、Generate the end entity certificate 箇所で、"-extfile openssl.ss.cnf" とすべきところが、"-extfile openssl.int.cnf" となっています。

投稿2019/07/11 12:06

TaichiYanagiya

総合スコア12141

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

nic_

2019/07/12 06:32

TaichiYanagiya様 アドバイス頂きまして、ありがとうございます。 大変助かります。 ご教示頂いた、basicConstraintsの設定値をFALSEにしましたが、結果は変わらず、エラー「MOZILLA_PKIX_ERROR_CA_CERT_USED_AS_END_ENTITY」となりました。 ─(詳細)───────────────────────── The server uses a certificate with a basic constraints extension identifying it as a certificate authority. For a properly-issued certificate, this should not be the case. HTTP Strict Transport Security: false HTTP 公開鍵ピンニング: false ────────────────────────────── basicConstraintsを設定したセクションは下記です。 [ usr_cert ] [ proxy_cert_ext ] [ v3_ca ] 中間認証局の秘密鍵で証明書署名要求に署名した際、実行ログに「CA:TRUE」と記載がありましたが、何故なのかがわかりません。 こちらがそのログです。 ─(ログ)───────────────────────── # openssl ca -config /etc/pki/tls/openssl_certification.cnf -out ../certification/www_example_crt.pem -in ../certification/www_example_csr.pem -cert InterCA_crt.pem -keyfile InterCA_key.pem -passin pass:xxxxxxxxxxxxxxxxx -batch -extensions v3_ca Using configuration from /etc/pki/tls/openssl_certification.cnf Check that the request matches the signature Signature ok Certificate Details: Serial Number: 00:00:00:00:00:00:00:00:00:00:00:00:00:00:00:00 Validity Not Before: Jul 12 05:57:10 2019 GMT Not After : Jul 11 05:57:10 2020 GMT Subject: countryName = JP stateOrProvinceName = Tokyo organizationName = examplename commonName = *.example.xxx X509v3 extensions: X509v3 Subject Alternative Name: DNS:example.co.jp, DNS:*.example.xxx, DNS:*.dev.example.xxx, DNS:*.stg.example.xxx, DNS:*.office.example.xxx X509v3 Subject Key Identifier: FA:00:00:00:00:00:00:00:00:00:00:00:00:00:00:00:00:00:00:00 X509v3 Authority Key Identifier: keyid:00:00:00:00:00:00:00:00:00:00:00:00:00:00:00:00:00:00:00:00 X509v3 Basic Constraints: CA:TRUE Netscape Cert Type: SSL CA, S/MIME CA Certificate is to be certified until Jul 11 05:57:10 2020 GMT (365 days) Write out database with 1 new entries Data Base Updated ────────────────────────────── また何かお気づきの点がございましたら、ご教示頂ければ幸甚です。
TaichiYanagiya

2019/07/13 08:10

ウェブサーバー用証明書(サイト証明書)を作成する際、"-extensions v3_ca" を付けているので、openssl_certification.cnf の [v3_ca] セクションの設定(CA:TRUE)で作成されているのだと思います。 "-extensions v3_ca" を付けずに作成するとどうなりますでしょうか?
nic_

2019/07/16 01:41

TaichiYanagiya様 ご回答ありがとうございます。 "-extensions v3_ca" を付けずに作成した結果、前回同様「CA:TRUE」となってしまいました。。 そこで現在、「openssl ca~」を「openssl x509~」に置き換え 「-extensions v3_ca」を「-extensions v3_req」に置き換える等して 検証中ですが、うまくいっていない状況です。
nic_

2019/07/16 02:23

TaichiYanagiya様 アドバイスのおかげで、うまくいきました。 ありがとうございました。 下記のように、「-extensions v3_ca」を「-extensions v3_req」に置き換えるだけで良かったようです。 openssl ca -config /etc/pki/tls/openssl_certification.cnf -out ../certification/www_example_crt.pem -in ../certification/www_example_csr.pem -cert InterCA_crt.pem -keyfile InterCA_key.pem -passin pass:xxxxxxxxxxxxxxxxx -batch -extensions v3_req
guest

あなたの回答

tips

太字

斜体

打ち消し線

見出し

引用テキストの挿入

コードの挿入

リンクの挿入

リストの挿入

番号リストの挿入

表の挿入

水平線の挿入

プレビュー

15分調べてもわからないことは
teratailで質問しよう!

ただいまの回答率
85.50%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

関連した質問