У меня есть сервер, работающий во внутренней сети. Для поддержки SSL я настроил внутренний CA (используя OpenSSL) и выпустил сертификат для сервера. Цепочка сертификатов выглядит следующим образом:
Example Root CA V1
+-- server.example.com
Я установил сертификат сервера на сервер и импортировал корневой сертификат в Firefox, и до сих пор это работало.
Поскольку срок действия корневого сертификата истекает, я решил создать совершенно новый ЦС с более глубокой иерархией:
Example Root CA V2
+-- Example Signing CA V2
+-- server.example.com
Я также создал сертификат пользователя, подписанный подписывающим центром сертификации.
Затем я добавил сертификат пользователя в Firefox. Новый корневой ЦС отображается в разделе «Полномочия», а промежуточный сертификат (подписывающий ЦС) - в разделе «Прочие». Для корневого сертификата я установил все три галочки в Редактировать доверие.
Далее я обновил сертификат на сервере. Когда я сейчас пытаюсь подключиться к серверу, Firefox жалуется, что соединение небезопасно:
server.example.com uses an invalid security certificate.
The certificate is not trusted because it was issued by an invalid CA certificate.
Error code: SEC_ERROR_CA_CERT_INVALID
Нажатие на код ошибки дает мне:
https://server.example.com/
Issuer certificate is invalid.
HTTP Strict Transport Security: true
HTTP Public Key Pinning: false
Certificate chain:
за ним следуют серверный сертификат, промежуточный сертификат CA и корневой сертификат CA.
Сервер запускает ownCloud и Webmin; до сих пор я только заменил сертификат Webmin. Firefox - это версия 50.1.0.
Что здесь не так?