Загадочная фигня с импортом сертификата в FF
Есть клиентский сертификат для аутентификации на веб-сервере вместе с ключом в формате PKCS#12 (.pfx).
При попытке импорта Firefox 15 (и под линуксом, и под windows) спрашивает пароль, который использовался при экспорте. Пароля никакого не было, но на пустой пароль FF ругается "The PKCS #12 operation failed for unknown reasons" и ничего не импортирует.
Проблема была решена при помощи openssl путём разложения pkcs12 на составные части (ключ, сертификат и цепочка родительских сертификатов) в виде pem и сборки их обратно в pkcs12, но уже с паролем. Полученный pfx прекрасно импортировался. Но это ж ненатурально.
Достоверно известно, что исходный .pfx ранее успешно импортировался в FF, у меня на другой машине есть экземпляр FF с этим сертификатом. (Только более ранней версии, 10).
Что это за вредность такая? FF разучился импортировать сертификаты без пароля или что?
Update: дело не в пароле. pkcs12, созданные openssl'ем, успешно импортируются, независимо от использования в них пароля, а оригинальный pfx никак не хочет. Видимо, дело в каких-то нюансах формата. Но ведь раньше-то работало..
В оригинале идёт сначала ключ:
Bag Attributes
localKeyID: 01 00 00 00
Microsoft CSP Name: Microsoft Strong Cryptographic Provider
friendlyName: b5e965997cb800854f76219bf663da29_c6581fca-132f-4679-8904-98b50804597a
Key Attributes
X509v3 Key Usage: 10 [очень freindly Name, ага], потом сертификат, потом цепочка из двух других.
openssl'ный вариант: сначала сертификат, потом два других, и в самом конце ключ:
Bag Attributes
localKeyID: E0 24 1C B0 6D 69 B6 FA E9 79 2B F5 24 C7 F5 4A 4B F2 37 4B
Key Attributes: В IE8 оригинальный pfx импортировался без вопросов, так что проблема именно в Firefox'е.
При попытке импорта Firefox 15 (и под линуксом, и под windows) спрашивает пароль, который использовался при экспорте. Пароля никакого не было, но на пустой пароль FF ругается "The PKCS #12 operation failed for unknown reasons" и ничего не импортирует.
Проблема была решена при помощи openssl путём разложения pkcs12 на составные части (ключ, сертификат и цепочка родительских сертификатов) в виде pem и сборки их обратно в pkcs12, но уже с паролем. Полученный pfx прекрасно импортировался. Но это ж ненатурально.
Достоверно известно, что исходный .pfx ранее успешно импортировался в FF, у меня на другой машине есть экземпляр FF с этим сертификатом. (Только более ранней версии, 10).
Что это за вредность такая? FF разучился импортировать сертификаты без пароля или что?
Update: дело не в пароле. pkcs12, созданные openssl'ем, успешно импортируются, независимо от использования в них пароля, а оригинальный pfx никак не хочет. Видимо, дело в каких-то нюансах формата. Но ведь раньше-то работало..
В оригинале идёт сначала ключ:
Bag Attributes
localKeyID: 01 00 00 00
Microsoft CSP Name: Microsoft Strong Cryptographic Provider
friendlyName: b5e965997cb800854f76219bf663da29_c6581fca-132f-4679-8904-98b50804597a
Key Attributes
X509v3 Key Usage: 10 [очень freindly Name, ага], потом сертификат, потом цепочка из двух других.
openssl'ный вариант: сначала сертификат, потом два других, и в самом конце ключ:
Bag Attributes
localKeyID: E0 24 1C B0 6D 69 B6 FA E9 79 2B F5 24 C7 F5 4A 4B F2 37 4B
Key Attributes: В IE8 оригинальный pfx импортировался без вопросов, так что проблема именно в Firefox'е.