firefox - Firefox 需要哪些证书使用标志才能提供证书作为客户端标识符？

Question

我正在尝试在 Firefox 中使用 SSL 客户端证书(Mac 上的 34.0.5 是我的测试平台，但我希望它们能在其他 Mozilla 程序和系统上运行)。

我已经设置了一个 2 级 CA:顶级/根/自签名证书 -> CA 证书

然后我创建 key /请求/证书/PKCS12 并安装到 Firefox 中。

当我导航到请求客户端身份验证的 Web 服务器时，Firefox 要求我选择一个证书，但它不提供我的新证书。相反，我唯一的选择是从不同的提供商那里获得用户证书。

我认为问题出在我的客户端证书中的 key 使用或扩展 key 使用设置——我怀疑 Firefox 认为我的证书不适合客户端身份验证，因此它不提供。

有人知道 Firefox 如何为客户端识别目的选择合适的证书吗？

(证书导入数据库正常，父证书受信任，所以我认为这是用户证书标志。但是，它可能是一级 CA 证书未被授权签署客户端证书？以下是我正在尝试的关键用法 [当然，我尝试了很多不同的组合，但这是一组不起作用])

root@machine:/dir# openssl x509 -text -in tls/certs/TOP-LEVEL.crt 
Certificate:
    Data:
        Version: 3 (0x2)
[...]
        X509v3 extensions:
            X509v3 Basic Constraints: critical
                CA:TRUE, pathlen:2
            X509v3 Key Usage: critical
                Certificate Sign, CRL Sign
[...]
-----BEGIN CERTIFICATE-----
[...]
-----END CERTIFICATE-----
root@machine:/dir# openssl x509 -text -in tls/certs/MID-LEVEL.crt
Certificate:
    Data:
        Version: 3 (0x2)
[...]
        X509v3 extensions:
            X509v3 Basic Constraints: critical
                CA:TRUE, pathlen:0
            X509v3 Key Usage: 
                Certificate Sign, CRL Sign
-----BEGIN CERTIFICATE-----
[...]
-----END CERTIFICATE-----
root@machine:/dir# openssl x509 -text -in user.crt
Certificate:
    Data:
        Version: 3 (0x2)
        X509v3 extensions:
            X509v3 Basic Constraints: 
                CA:FALSE
            X509v3 Key Usage: 
                Digital Signature, Key Encipherment
-----BEGIN CERTIFICATE-----
[...]
-----END CERTIFICATE-----

Answer 1

我的前提(可能)不正确。事实证明，当 SSL 服务器请求客户端证书时，它会发送它将接受的所有 CA 的列表，并且客户端应该发送由其中之一(如果有的话)签名的证书。我的新 CA 证书没有放在正确的位置，所以它没有作为可接受的 CA 发送到 Firefox，因此 Firefox 没有提供我的新证书作为发送内容的选择。

我结合使用 openssl s_client(可以说服它打印出很多有用的信息)和 strace on openssl verify(你可以看到它试图打开哪些证书文件以及打开的位置)来追踪它。

像往常一样，证书问题需要仔细组织文件、路径和配置。