[支持请求]配置证书、信任根证书后仍显示不被信任

[LSP0123]

感谢大佬的更新，我尝试添加了环境变量 FOR_FIREFOX=ON 之后，生成了下面这 7 个文件：

$ exa -TL 1 certs

certs

├── he-sb.home.conf

├── he-sb.home.crt

├── he-sb.home.csr

├── he-sb.home.key

├── he-sb.home.rootCA.key

├── he-sb.home.rootCA.pem

└── he-sb.home.rootCA.srl

但无论是将 he-sb.home.crt 还是 he-sb.home.rootCA.pem 添加到系统证书内

• 使用 he-sb.home.rootCA.pem 添加到系统信任时，是将后缀名修改为 crt 后添加的（否则 Win 10 LTSC 2021 无法识别这个后缀名，无法打开）

• 两个证书分别添加到系统信任时，Firefox 的错误代码均为 SEC_ERROR_UNKNOWN_ISSUER

• traefik 用的是 he-sb.home.crt 和 he-sb.home.key 这对证书和私钥

Firefox 都会报不安全，需要添加安全例外才能加载网站，是我这边 traefik 用错证书了，还是系统添加信任时使用的证书文件不对，还是两个地方都不对呢？

Originally posted by @he-sb in #14

1.创建证书

Flags:
  - CERT_COUNTRY= CN
  - CERT_STATE= ST
  - CERT_LOCALITY= L
  - CERT_ORGANIZATION= Home
  - CERT_ORGANIZATIONAL_UNIT= *.n1.home.arpa
  - CERT_COMMON_NAME= Phicomm
  - CERT_DOMAINS= [n1.home.arpa *.n1.home.arpa n1.local *.n1.local 192.168.0.145 192.168.2.200]
  - APP_FOR_K8S= false
  - APP_FOR_FIREFOX= true
  - APP_OUTPUT_DIR= n1
  - CUSTOM_FILE_NAME= 
  - CERT_EXPIRE_DAYS= 3650

2. 配置caddy

qbit.n1.home.arpa {
        tls /xxx/n1.home.arpa.pem.crt /xxx/n1.home.arpa.pem.key
        reverse_proxy 127.0.0.1:8080 {
                header_up X-Real-IP {remote}
                header_up Host {host}
        }
}

3.火狐浏览器内添加根证书信任

各个网站通过证书证明自己的身份。Firefox 不能信任此网站，因为它使用的证书对 qbit.n1.home.arpa 无效。
 
https://qbit.n1.home.arpa/#/



无法安全地与对等端通信：请求的域名与服务器的证书不匹配。



HTTP 严格传输安全（HSTS）：false

HTTP 公钥固定：false

[teamlet]

我查了一个这个问题。 在不同浏览器下，使用自签名证书呈现出的现象是不同的。 对于谷歌系的浏览器来说，自签名的证书需要配置域名、安装信任证书就可以实现安全访问； 对于火狐为代表的的浏览器来说，需要设置自己的安全策略。这个可以查看火狐的相关文档。 以上信息仅供参考。