Eu tenho um servidor rodando na minha rede interna. Para suporte ao SSL, configurei uma CA interna (usando o OpenSSL) e emiti um certificado para o servidor. A cadeia de certificados é a seguinte:
Example Root CA V1
+-- server.example.com
Instalei o certificado do servidor no servidor e importei o certificado raiz no Firefox, e isso funcionou até agora.
Como o certificado raiz está prestes a expirar, decidi configurar uma autoridade de certificação totalmente nova com uma hierarquia mais profunda:
Example Root CA V2
+-- Example Signing CA V2
+-- server.example.com
Também criei um certificado de usuário, assinado pela CA de assinatura.
Eu adicionei o certificado de usuário no Firefox. A nova CA raiz é exibida em Autoridades e o certificado intermediário (CA de assinatura) é exibido em Outros. Para o certificado raiz, defini as três marcas de seleção em Editar confiança.
Em seguida, atualizei o certificado no servidor. Quando agora tento me conectar ao servidor, o Firefox reclama que a conexão não é segura:
server.example.com uses an invalid security certificate.
The certificate is not trusted because it was issued by an invalid CA certificate.
Error code: SEC_ERROR_CA_CERT_INVALID
Clicar no código de erro fornece:
https://server.example.com/
Issuer certificate is invalid.
HTTP Strict Transport Security: true
HTTP Public Key Pinning: false
Certificate chain:
seguido pelo certificado do servidor, pelo certificado CA intermediário e pelo certificado CA raiz.
O servidor executa ownCloud e Webmin; até agora, substituí apenas o certificado Webmin. O Firefox é a versão 50.1.0.
O que há de errado aqui?