Firefox 中的 SSL 证书异常

Question

提前感谢您的帮助或任何可以让我离开这里的提示。

我在一个带有 JBoss 服务器和 Apache 的 Java EE 应用程序上工作。我对 SSL 连接和证书并不是很熟悉，我了解基本的，但我必须处理它。 因此，在我的本地配置 (localhost) 上，我在 JBoss 和 Apache 上配置了我的连接证书，以及一个 USER_DEV.P12 文件，我将其导入到 Firefox 的证书中。 我在远程测试服务器 (test-server) 上具有相同的配置，并且我也在 Firefox 中导入了一个 USER_TEST.P12。

当我访问https://localhost/ 或https://test-server/ 时，Firefox 要求我添加异常，这是正常的。之后，我选择了适当的用户证书，并且可以正常使用我的应用程序。 但是对于第二个（比如说https://test-server/），Firefox 给我一个sec_error_reused_issuer_and_serial 错误。当然，我用谷歌搜索并创建了Mozilla help，所以当我在证书管理器中删除“服务器”时，我可以再次访问我的第二个域，但第一个域也会出现同样的问题。

为了缩短问题，我的 2 个客户端/服务器证书对是可以的，但我不能在 Firefox 中为我的 2 个不同的服务器/用户同时拥有 2 个证书例外，即使名称、服务器地址和 MD5是不同的。我通知序列号是相同的（01），但它在我同事的电脑上工作。那我做错了吗？我是否每次都必须手动处理（或使用 Firefox 配置文件）？

Answer 1

这是因为您使用自签名证书并且它们使用相同的序列号。你有几个解决方案，

1. 使用同一工具在同一台计算机上重新签署证书。大多数工具会增加每次签名的序列号，您将获得不同的序列号。

2. 制作您自己的 CA 并使用相同的 CA 签署 2 个证书。这样 Firefox 只需要导入一个 CA。

Answer 2

我在不同的情况下遇到相同的错误消息，但是在谷歌上搜索错误消息会将我带到这里。我通过 SSH 连接将所需端口（80,443 和 5900）转发到同一 LAN 上的另一台服务器，并在我的 linux 工作站上浏览 localhost (https)，​​从而访问安装在远程设施中的刀片服务器的 IPMI 远程管理控制器。这对我有用：

ssh -l root -L 80:192.168.0.90:80 -L 443:192.168.0.90:443 -L 5900:192.168.0.90:5900

但是当我尝试访问不同的远程机器时遇到“相同的序列号”错误。我使用 Firefox，支持文档描述了删除违规证书的过程：

https://support.mozilla.org/en-US/kb/Certificate%20contains%20the%20same%20serial%20number%20as%20another%20certificate

这些说明适用于比我的更早版本的 firefox，但即使在找到证书存储（首选项 - 高级 - 证书 - ViewCertificates ）并删除 127.0.0.1 条目，关闭并重新打开浏览器后，我仍然收到错误.

唯一对我有用的是重命名我的主目录中的各种文件夹，其中一些缓存内容可能会逗留：

mv .cache old.cache
mv .config old.config
mv .mozilla old.mozilla
mv .local old.local
mv .java old.java

在此之后，关闭/重新打开我的浏览器，我可以输入一个新的安全例外来浏览本地主机。这当然是一个相当“钝器”的解决方案，除了有问题的挥之不去的证书之外，它还删除了许多东西，但我可以稍后将它们全部放回去（在删除新生成的文件夹之后）。我可能会尝试缩小要重命名的范围，“.mozilla”将是我的第一个猜测。

Answer 3

在 Windows 上，我发现删除 C:\Users[myuser]\AppData\Roaming\Mozilla\Firefox\Profiles[myprofile] 中的 cert*.db 文件

解决了这个问题。我不知道这是否有任何连锁反应，因为 Firefox 不是我的主要浏览器，我只需要调试一些在 Firefox 中不起作用的东西。