sec_error_inadequate_cert_type

Jose Luis
2010-06-16
2013-02-18
  • Jose Luis
    Jose Luis
    2010-06-16

    Hola,

    Tengo instalado ejbca_3.9.5 y no consigo dar con la tecla para generar un certificado para un servidor apache. He utilizado varias opciones, una ha sido crear el certificado .csr y la key en el servidor con openssl y despues pasrlo por la web de ejbca en "Enroll For Certificate from a CSR" bueno, pues con ese certificado PEM generado le he dicho a Apache que utilizara tal certificado, en un principio me decia que no encontraba la key (obvio) asi que le generé una key a partir del PEM que me generó ejbca. Apache arranca bien, pero al intentar acceder a la aplicación, firefox me da el siguiente error:

    Tipo de certificado no aprobado para la aplicación.

    (Código de error: sec_error_inadequate_cert_type)

    Igualmente he provado a crear directamente los key.pem, CA.pem y servername.pem en la pki, e igualmente me ha saltado el mismo error anterior.

    Por favor, alguien me puede decir el qué está fallando?

    Muchas gracias.

     
  • Creo que el error te está dando la pista.

    Los certificados para servidor necesitan tener activado el 'Extended Key Usage' de 'Server Authentication'. En EJBCA lo puedes verificar si te vas a 'Editar Perfiles de Certificados', seleccionas el perfil de certificado que estés usando y miras los valores que tienes seleccionados en 'Uso Extendido de la Clave' (o 'Uso de la Clave Extendida' en algunas traducciones). Asegúrate que tienes marcado 'Autenticación del Servidor'.

    De todos modos si no te aclaras, puedes copiar aquí el PEM (la parte pública claro) y lo reviso a ver qué te falta…

     
  • Jose Luis
    Jose Luis
    2010-06-17

    Justo lo que has dicho, "Extended key usage: Server Authentication", eso me faltaba. Ahora me salta un error relacionado con la lista de certificados revocados (sec_error_crl_invalid),  pero me imagino que será un fallo similar al inicial, me faltará algun configuracion en el perfil.

    Muchas gracias.

     
  • Supongo que será que la URL de la CRL no es correcta. Lo puedes ver en el perfil de certificado o editando las propiedades de la CA, depende de cómo lo tengas configurado.

     
  • Jose Luis
    Jose Luis
    2010-06-18

    No, era que tenía en el firefox una CRL antigua, me imagino que de pruebas muy anteriores.