ERR_BAD_SSL_CLIENT_ AUTH_CERT - Google Chrome

 ( zeller | 2019. január 16., szerda - 23:48 )

ERR_BAD_SSL_CLIENT_AUTH_CERT - mondja a Google Chrome... Az IE11 nem mondja (csak gondolja), viszont neki sem megy az adott cert-tel authentikáló oldal, úgyhogy ez sajnos darabra 2/3-ad, merthogy a Firefox tökéletesen veszi az akadályt, úgyhogy holnap a CA meg a certek világába kirándulok, mondhatni a Windows-os certstore sötét és méy bugyraiba kell majd leszállnom, úgy tűnik...

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Nincs rajta valami HTTPS-t is buzeráló víruskergető? :D

Ez nem az az eset ;) amiről a fórumokban lehet olvasni... A böngészők gyakorlatilag "nem kérik el" a certet a tanusítványtártól.

Ilyen tesztre használható még az openssl/s_client, a wget, meg a curl.
(Vagy akár bepasztázhatod ide a cert-et (persze a prvkey-t nem), hátha több szem többet lát.)

> A böngészők gyakorlatilag "nem kérik el" a certet a tanusítványtártól.
Esetleg a szerver el sem küldi, hogy milyen tanusítványt óhajtozik? (Mármint azt a metainfót, hogy mely CA-tól származó certet fogad el.)

A certtel nincs gond, ha Firefox-ba húzom be, akkor az adott szerverre történő csatlakozáskor szépen feldonja a certificate-választó ablakot, hogy melyiket szeretném használni, és ahogy kiválasztom, szépen felépül a cert. alapon authentikált kapcsolat.

Egy rakat cert lett legenerálva egy sokéves scripttel - úgy tűnik, valahol, valami félrement közben, úgyhogy a script kihajít, (rondán összelapátolt python glue az openssl piszkálásához...), TinyCA felpattint, és némi kézi matatással újragenerálódtak a certek, és ami fontos, ezeket már jól kezeli az IS/Chrome is.

SubjectAltName egy ideje kötelező elem, és a Chrome sír is miatta. Ez lehet a gond?

Valami az aláírás körül nem volt 100%-ban kerek - gyakorlatilag hozzá sem nyúlt az IE meg a Chrome a cert.store-hoz (úgy raktam be a certet, hogy szóljon, ha a kulcsot valami használni akarja), amikor a túloldal certet kért tőle. Ugyanazt a p12 fájlt betolva FF-os cert.store-ba, pöcc-röff ment a csatlakozás...
Mindegy, majd ha lesz érkezésem, kitörpölöm, hogy mi ment, mi mehetett félre a certek tömeges legyártása során, ami miatt a Windows-os tanusítványtárra támaszkodó böngészők nem szerették. SubjectAltName miatt nem picsogott senki - megmondom őszintén, nem néztem, hogy a TinyCA belepakolja-e vagy sem...

A "NET::ERR_CERT_COMMON_NAME_INVALID" hibaüzenet picit más, mint a "ERR_BAD_SSL_CLIENT_ AUTH_CERT" :-P

Jogos. :)