Article original Publié le : 3 novembre 2022 Mise à jour le : – |
Contexte
Après avoir testé différentes versions de Freeipa au fil des années, je me suis retrouvé à ne plus pouvoir afficher l’url de ma dernière installe sous Firefox
Code d’erreur : SEC_ERROR_REUSED_ISSUER_AND_SERIAL
Il n’y a pas de problème avec Chrome ou Brave
Recherche
J’ai bien compris l’erreur expliquée par Mozilla “Le certificat contient le même numéro de série qu’un autre certificat“, mais après avoir fouillé dans le magasin de certificat, je n’ai trouvé aucune trace de l’ancien.
La page dédiée au profil de Firefox explique où sont stockés les certificats
Les paramètres des certificats de sécurité :
- cert9.db
Ce fichier stocke tous vos certificats de sécurité et tout certificat SSL que vous avez importé dans Firefox.
Correction
Mode bourrin, j’ai renommé le fichier cert9.db et cela a corrigé le problème puisque je suis repartie d’un magasin vide au redémarrage de Firefox
Mais on aime bien comprendre pourquoi quand même et on fait appel à l’utilitaire NSS Tools certutil
Cet outil en cli permet beaucoup de possibilités, dans mon cas visualiser, supprimer et/ou modifier des entrées dans la base de données de certificats
Identifier et lister tous les certificats (-L) dans le répertoire de son profil (-d)
1 |
$ certutil -L -d sql:$HOME/.mozilla/firefox/dbrp8pl.default | grep izero.lan |
1 2 3 4 5 6 7 8 9 10 11 12 |
Certificate Nickname Trust Attributes SSL,S/MIME,JAR/XPI freeipa.izero.lan ,, osma.izero.lan ,, proxmox.izero.lan ,, proxmox2.izero.lan ,, proxmox3.izero.lan ,, netbox.izero.lan ,, vm02.izero.lan ,, vm01.izero.lan ,, it.izero.lan ,, ... |
Supprimer (-D) le certificat (-n) resté en db
1 |
$ certutil -D -n freeipa.izero.lan -d sql:$HOME/.mozilla/firefox/dbrp8pl.default |
On vérifie
1 |
$ certutil -L -d sql:$HOME/.mozilla/firefox/dbrp8pl.default | grep izero.lan |
1 2 3 4 5 6 7 8 9 10 11 |
Certificate Nickname Trust Attributes SSL,S/MIME,JAR/XPI osma.izero.lan ,, proxmox.izero.lan ,, proxmox2.izero.lan ,, proxmox3.izero.lan ,, netbox.izero.lan ,, vm02.izero.lan ,, vm01.izero.lan ,, it.izero.lan ,, ... |
Et on relance Firefox
Sources
https://support.mozilla.org/fr/kb/certificat-contient-meme-numero-serie-qu-autre-certificat
https://support.mozilla.org/fr/kb/profils-la-ou-firefox-conserve-donnees-utilisateur
https://firefox-source-docs.mozilla.org/security/nss/legacy/tools/nss_tools_certutil/index.html#using_the_certificate_database_tool