如何讓Mozilla FireFox接受您的根證書頒發機構ssl證書，以便它不會在https上抱怨自簽名的ssl證書？

Question

首先，我想指出，這與Internet Exporer 11一起工作正常。但由於某種原因，我無法讓FireFox玩得很好！

所以我已經添加了自己的rootCA安全證書，並且在Internet Explorer下它工作正常，我的網站帶有自簽名證書是可信的。

但是在Firefox v61.0.1和v65.0上，即使已經添加了我的根證書，另外security.enterprise_roots.enabled設置為true（在about：config中），我仍然得到“你的連接不安全”消息，我必須添加一個安全例外只是為了查看我的網站。

在包含添加例外的消息和按鈕的區域中，Firefox說：

“xx.xxx.xx.x使用無效的安全證書。證書僅對xx.xxx.xx.x有效。錯誤代碼：SSL_ERROR_BAD_CERT_DOMAIN”

現在xx.xxx.xx.x是一個可以上網的IP地址，上面一行中的兩個實例都具有完全相同的IP地址，我已經將CN用於CN字段。

單擊SSL_ERROR_BAD_CERT_DOMAIN顯示：“無法與對等方安全通信：請求的域名與服務器的證書不匹配.HTTP Strict Transport Security：false HTTP公鑰鎖定：false證書鏈：----- BEGIN CERTIFICATE ----- .......”

無論如何，我猜測在其當前的配置中，Mozilla FireFox確信該站點具有無效證書，而實際上它是有效的，並且其混淆的原因可能是它期望域名不是IP地址。

如果是這樣，有沒有辦法告訴Firefox尊重基於IP地址的ssl證書？

同樣，對於我來說，當前配置與Internet Explorer完美配合。

如你所知，許多工具如內置IDE svn和其他源代碼控制客戶端在ssl-cert中有什么值得抱怨的時候真的不喜歡它。

這就是我在Windows中創建和加載自己的Root CA Authority的麻煩的原因。 並且不，請不要推薦letsencrypt，需要經常更新，我沒有它似乎需要更新的傳入OPEN端口。

謝謝！

Answer 1

萬歲！ 成功:)我去了我的想法是對IP vs名稱的混淆，發現我在[alt_names]部分下的extfile我使用過DNS.1 = xx.xxx.xx.x

所以我只是編輯了我的extfile並更改了DNS.1 = ...現在為IP.1 = xx.xxx.xx.x.

然后我簡單地重新創建了我的網絡服務器證書。 對於任何想知道的人，這是實際的命令：

openssl x509 -req -in mywebserver.csr -CA myrootCA.pem -CAkey myrootCA.key -CAcreateserial -out ./certs/mynginxwebserverIP.crt -days 2555 -sha256 -extfile myextfile.cnf

這覆蓋了我當前的.crt文件，我需要做的就是nginx -s reload和賓果游戲！

希望幫助別人因為它讓我發瘋！

現在它在Firefox中運行得很好，我得到了令人欣慰的漂亮的綠色鎖:)並且互聯網瀏覽器不知道/關心差異，雙向工作：D