由于颁发者证书未知，因此证书不受信任。（错误代码：sec_error_unknown_issuer）Firefox

2024-5-30 • tag-icon

iis ssl-certificate firefox

由于颁发者证书未知，因此证书不受信任。（错误代码：sec_error_unknown_issuer）Firefox

一个网站想要将 SSL 证书从 Network Solutions 切换到 Gandi。一切似乎都安装正确，只是在 Firefox 中会抛出错误。在 Chrome 和 IE 上，不会抛出任何错误。看来证书路径有问题。我尝试了几种方法，并在 Google 上搜索了一下，但问题还是没有解决。任何提示都将不胜感激。提前谢谢您！

尝试的步骤：

根据以下说明从 Gandi 获取 Gandi 中级证书http://wiki.gandi.net/en/ssl/intermediate（SHA2 标准证书）
已将 Gandi 中级证书添加到服务器（MMC > 证书 > 中级证书颁发机构 > 证书）
从 SSL-Tools 获取的 USERTRust RSA 认证机构证书https://ssl-tools.net/certificates/1y0ovx5-usertrust-rsa-certification-authority
已将 USERTrust RSA 证书颁发机构证书添加到服务器（MMC > 证书 > 受信任的根证书颁发机构 > 证书）
每次安装后重新启动 IIS。
每次安装后清除本地浏览器缓存。

Firefox 错误：

Technical Details
www.somedomain.org uses an invalid security certificate.
The certificate is not trusted because the issuer certificate is unknown.
(Error code: sec_error_unknown_issuer)

Firefox 34 证书层次结构：

Gandi Standard SSL CA 2 > somedomain.org

Chrome 40 和 Internet Explorer 11 认证路径：

USERTRust > USERTrust RSA Certification Authority > Gandi Standard SSL CA 2 > somedomain.org

SSL 实验室测试结果（https://www.ssllabs.com/ssltest/analyze.html)：

Additional Certificates (if supplied)
Certificates provided   2 (2851 bytes)
Chain issues    Incomplete
#2
Subject Gandi Standard SSL CA 2 
Fingerprint: 247106a405b288a46e70a0262717162d0903e734
Valid until Wed Sep 11 16:59:59 PDT 2024 (expires in 9 years and 8 months)
Key RSA 2048 bits (e 65537)
Issuer  USERTrust RSA Certification Authority
Signature algorithm SHA384withRSA

Certification Paths
1   Sent by server  somedomain.org 
Fingerprint: 0123456789012345678901234567890123456789 
RSA 2048 bits (e 65537) / SHA256withRSA
2   Sent by server  Gandi Standard SSL CA 2 
Fingerprint: 247106a405b288a46e70a0262717162d0903e734 
RSA 2048 bits (e 65537) / SHA384withRSA
3   Extra download  USERTrust RSA Certification Authority 
Fingerprint: eab040689a0d805b5d6fd654fc168cff00b78be3 
RSA 4096 bits (e 65537) / SHA384withRSA
4   In trust store  AddTrust External CA Root   Self-signed 
Fingerprint: 02faf3e291435468607857694df5e45b68851868 
RSA 2048 bits (e 65537) / SHA1withRSA 
Weak or insecure signature, but no impact on root certificate

SSL-Tools 测试结果 (https://ssl-tools.net/webservers/)：

Certificate chain
somedomain.org 
1054 days remaining  2048 bit sha256WithRSAEncryption
- Gandi Standard SSL CA 2
- 3537 days remaining  2048 bit sha384WithRSAEncryption
- Root certificate unknown
-- USERTrust RSA Certification Authority

服务器：

Windows Server 2008 R2
IIS 7.5

答案1

‘USERTrust RSA 认证机构' 并非在所有平台上都被识别为根 CA。因此，最好的选择是将其用作中间 CA，并拥有由 'AddTrust 外部 CA 根“”。

您可以在以下位置检索此证书http://crt.usertrust.com/USERTrustRSAAddTrustCA.crt

您的证书的正确安装（最为接受）是：

根店铺
- AddTrust 外部 CA 根
中间的店铺
- USERTrust RSA 认证机构（由 AddTrust 签署）
- Gandi 标准 SSL CA 2
个人的店铺
- [您的服务器证书]

Windows Server 2008 R2 自动管理受信任的证书，因此您的服务器可以获得以下配置：

根店铺
- AddTrust 外部 CA 根
- USERTrust RSA 认证机构（自签名）
中间的店铺
- USERTrust RSA 认证机构（由 AddTrust 签署）
- Gandi 标准 SSL CA 2
个人的店铺
- [您的服务器证书]

当服务器发送证书时，它会选择到根的最短路径：

[服务器] < Gandi < USERTrust (自签名)

对于大多数平台来说，这是一个不完整的链条。

如果这是您的问题，最好的解决方案是在根存储上找到“USERTrust RSACertification Authority”，并将其属性编辑为“禁用此证书的所有用途“”。

您先请重新开始服务器，Windows将始终生成所需的链：

[服务器] < Gandi < USERTrust < AddTrust

相关内容