Недавно Chrome перестал работать с моими самоподписанными сертификатами SSL и считает их небезопасными. Когда я смотрю на сертификат на DevTools | Securityвкладке, я вижу, что он говорит
Отсутствует альтернативное имя субъекта Сертификат для этого сайта не содержит расширения альтернативного имени субъекта, содержащего доменное имя или IP-адрес.
Ошибка сертификата Возникли проблемы с цепочкой сертификатов сайта (net :: ERR_CERT_COMMON_NAME_INVALID).
Как я могу это исправить?
CN=www.example.comнаверное не так. Имена хостов всегда попадают в SAN . Если он присутствует в CN , то он также должен присутствовать в SAN (в этом случае вы должны указать его дважды). Дополнительные правила и причины см. В разделах «Как подписать запрос на подпись сертификата в центре сертификации» и « Как создать самоподписанный сертификат с помощью openssl?». Вам также необходимо будет поместить самозаверяющий сертификат в соответствующее хранилище доверенных сертификатов.
Ответы:
Чтобы исправить это, вам нужно указать дополнительный параметр opensslпри создании сертификата, в основном
-sha256 -extfile v3.ext
где v3.extнаходится такой файл, %%DOMAIN%%замененный тем же именем, что и у вашего Common Name. Больше информации здесь и здесь . Обратите внимание, что обычно вы устанавливаете Common Nameи %%DOMAIN%%для домена, для которого пытаетесь создать сертификат. Так что если бы это было так www.mysupersite.com, вы бы использовали это для обоих.
authorityKeyIdentifier=keyid,issuer
basicConstraints=CA:FALSE
keyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment
subjectAltName = @alt_names
[alt_names]
DNS.1 = %%DOMAIN%%
Еще одно примечание : если все, что вы пытаетесь сделать, это остановить появление ошибок хрома при просмотре самоподписанного сертификата, вы можете указать Chrome игнорировать все ошибки SSL для ВСЕХ сайтов, запустив его со специальной опцией командной строки, как подробно описано здесь. на SuperUser
bin\openssl x509 -in server.csr -out server.crt -req -signkey server.key -days 365 -sha256 -extfile v3.ext. Конечно, вам все равно нужно сохранить v3.ext файл в той же папке.
unknown option -extfile. Как это исправить?
extfileдирективу не в той команде openssl? Вместо того, чтобы использоваться в openssl req -new ..., он используется в openssl x509 -req .... По крайней мере, это то, что здесь кто-то сказал , что кажется правдой из примера
Следующее решение сработало для меня на chrome 65 ( ref ) -
Создайте файл конфигурации OpenSSL (пример: req.cnf)
[req]
distinguished_name = req_distinguished_name
x509_extensions = v3_req
prompt = no
[req_distinguished_name]
C = US
ST = VA
L = SomeCity
O = MyCompany
OU = MyDivision
CN = www.company.com
[v3_req]
keyUsage = critical, digitalSignature, keyAgreement
extendedKeyUsage = serverAuth
subjectAltName = @alt_names
[alt_names]
DNS.1 = www.company.com
DNS.2 = company.com
DNS.3 = company.net
Создайте сертификат, ссылающийся на этот файл конфигурации
openssl req -x509 -nodes -days 730 -newkey rsa:2048 \
-keyout cert.key -out cert.pem -config req.cnf -sha256
basicConstraints = CA:trueпропали?
Я создал сценарий bash, чтобы упростить создание самозаверяющих сертификатов TLS, действующих в Chrome.
Протестировано Chrome 65.xи все еще работает. Обязательно перезапустите Chrome после установки новых сертификатов.
chrome://restart
Еще один (гораздо более надежный) инструмент, на который стоит обратить внимание - это cfsslнабор инструментов CloudFlare :
Я просто использую -subjпараметр, добавляющий IP-адрес машины. Так решается одной командой.
sudo openssl req -x509 -nodes -days 3650 -newkey rsa:2048 -sha256 -subj '/CN=my-domain.com/subjectAltName=DNS.1=192.168.0.222/' -keyout my-domain.key -out my-domain.crt
Вы можете добавить другие атрибуты, такие как C, ST, L, O, OU, emailAddress, для создания сертификатов без запроса.
openssl.exe req -x509 -sha256 -newkey rsa:2048 -keyout certificate.key -out certificate.crt -days 365 -nodes -subj "/CN=my.domain.com" -addext "subjectAltName=DNS:my.domain.com" IIS затем нужен *.pfxформат:openssl.exe pkcs12 -export -out certificate.pfx -inkey certificate.key -in certificate.crt
У меня было так много проблем с получением самозаверяющих сертификатов, работающих в macos / Chrome. Наконец я нашел Mkcert, «простой инструмент с нулевой конфигурацией, позволяющий создавать локально доверенные сертификаты разработки с любыми именами». https://github.com/FiloSottile/mkcert
Сделайте копию своей конфигурации OpenSSL в своем домашнем каталоге:
cp /System/Library/OpenSSL/openssl.cnf ~/openssl-temp.cnf
или в Linux:
cp /etc/ssl/openssl.cnf ~/openssl-temp.cnf
Добавить альтернативное имя субъекта в openssl-temp.cnfпод [v3_ca]:
[ v3_ca ]
subjectAltName = DNS:localhost
Замените localhostдоменом, для которого вы хотите создать этот сертификат.
Создать сертификат:
sudo openssl req -x509 -nodes -days 365 -newkey rsa:2048 \
-config ~/openssl-temp.cnf
-keyout /path/to/your.key -out /path/to/your.crt
Затем вы можете удалить openssl-temp.cnf
Вот очень простой способ создать сертификат IP, которому будет доверять Chrome.
Файл ssl.conf ...
[ req ]
default_bits = 4096
distinguished_name = req_distinguished_name
req_extensions = req_ext
prompt = no
[ req_distinguished_name ]
commonName = 192.168.1.10
[ req_ext ]
subjectAltName = IP:192.168.1.10
Где, конечно же, 192.168.1.10 - это IP-адрес локальной сети, которому Chrome должен доверять.
Создайте сертификат:
openssl genrsa -out key1.pem
openssl req -new -key key1.pem -out csr1.pem -config ssl.conf
openssl x509 -req -days 9999 -in csr1.pem -signkey key1.pem -out cert1.pem -extensions req_ext -extfile ssl.conf
rm csr1.pem
В Windows импортируйте сертификат в хранилище доверенных корневых сертификатов на всех клиентских машинах. На телефоне или планшете Android загрузите сертификат, чтобы установить его. Теперь Chrome будет доверять сертификату в Windows и Android.
На Windows dev box лучше всего получить openssl.exe из "c: \ Program Files \ Git \ usr \ bin \ openssl.exe"
на MAC, начиная с версии 67.0.3396.99 Chrome, мой самозаверяющий сертификат перестал работать.
регенерация со всем написанным здесь не сработала.
ОБНОВИТЬ
удалось подтвердить, что мой подход работает сегодня :). Если это не сработает, убедитесь, что вы используете этот подход.
v3.ext
authorityKeyIdentifier=keyid,issuer
basicConstraints=CA:FALSE
keyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment
subjectAltName = @alt_names
[alt_names]
DNS.1 = <specify-the-same-common-name-that-you-used-while-generating-csr-in-the-last-step>
$
скопировано отсюда https://ksearch.wordpress.com/2017/08/22/generate-and-import-a-self-signed-ssl-certificate-on-mac-osx-sierra/
КОНЕЦ ОБНОВЛЕНИЯ
наконец, смог увидеть зеленый Secure, только когда удалил мой сертификат из системы и добавил его в локальную связку ключей. (если есть - сначала бросьте). Не уверен, что это имеет значение, но в моем случае я загрузил сертификат через Chrome и подтвердил, что дата создания - сегодня - так что это тот, который я только что создал.
надеюсь, что это будет полезно для кого-то потратить на это как день.
никогда не обновляйте хром!
Если вы хотите запустить свой сервер localhost, вам необходимо настроить CN = localhostи DNS.1 = localhost.
[req]
default_bits = 2048
default_md = sha256
distinguished_name = req_distinguished_name
prompt = no
prompt = no
x509_extensions = v3_req
[req_distinguished_name]
C = BR
CN = localhost
emailAddress=contact@example.com
L = Sao Paulo
O = example.com
OU = example.com
ST = Sao Paulo
[v3_req]
authorityKeyIdentifier = keyid, issuer
basicConstraints = CA:FALSE
extendedKeyUsage = serverAuth
keyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment
subjectAltName = @alt_names
[alt_names]
DNS.1 = localhost