Utworzyłem samopodpisany certyfikat SSL dla localhost CN. Firefox akceptuje ten certyfikat po początkowej reklamacji, zgodnie z oczekiwaniami. Chrome i IE odmawiają jednak zaakceptowania go, nawet po dodaniu certyfikatu do systemowego magazynu certyfikatów w obszarze Zaufane rooty. Mimo że certyfikat jest wymieniony jako poprawnie zainstalowany po kliknięciu „Wyświetl informacje o certyfikacie” w wyskakującym okienku HTTPS Chrome, nadal nalega, aby certyfikatowi nie można było zaufać.

Co mam zrobić, aby Chrome zaakceptował certyfikat i przestał na niego narzekać?

2020-05-22 : Za pomocą tylko 6 poleceń powłoki możesz to zrobić.

Proszę nie zmieniać ustawienia przeglądarki bezpieczeństwa.

Za pomocą następującego kodu możesz (1) zostać własnym urzędem certyfikacji, (2), a następnie podpisać certyfikat SSL jako urząd certyfikacji. (3) Następnie zaimportuj certyfikat CA (nie certyfikat SSL, który trafia na twój serwer) do Chrome / Chromium. (Tak, działa to nawet w systemie Linux).

######################
# Become a Certificate Authority
######################

# Generate private key
openssl genrsa -des3 -out myCA.key 2048
# Generate root certificate
openssl req -x509 -new -nodes -key myCA.key -sha256 -days 825 -out myCA.pem

######################
# Create CA-signed certs
######################

NAME=mydomain.com # Use your own domain name
# Generate a private key
openssl genrsa -out $NAME.key 2048
# Create a certificate-signing request
openssl req -new -key $NAME.key -out $NAME.csr
# Create a config file for the extensions
>$NAME.ext cat <<-EOF
authorityKeyIdentifier=keyid,issuer
basicConstraints=CA:FALSE
keyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment
subjectAltName = @alt_names
[alt_names]
DNS.1 = $NAME # Be sure to include the domain name here because Common Name is not so commonly honoured by itself
DNS.2 = bar.$NAME # Optionally, add additional domains (I've added a subdomain here)
IP.1 = 192.168.0.13 # Optionally, add an IP address (if the connection which you have planned requires it)
EOF
# Create the signed certificate
openssl x509 -req -in $NAME.csr -CA myCA.pem -CAkey myCA.key -CAcreateserial \
-out $NAME.crt -days 825 -sha256 -extfile $NAME.ext

Przypomnę:

1. Zostań urzędem certyfikacji
2. Podpisz swój certyfikat za pomocą klucza CA.
3. Importuj myCA.pemjako organ w ustawieniach Chrome (Ustawienia> Zarządzaj certyfikatami> Urzędy> Importuj)
4. Użyj .crtpliku na swoim serwerze

Dodatkowe kroki (przynajmniej dla komputerów Mac):

1. Zaimportuj certyfikat CA w „Plik> Importuj plik”, a następnie znajdź go również na liście, kliknij go prawym przyciskiem myszy, rozwiń „> Zaufaj” i wybierz „Zawsze”
2. Dodaj extendedKeyUsage=serverAuth,clientAuthponiżej basicConstraints=CA:FALSEi upewnij się, że ustawiłeś „CommonName” na to samo, co w $NAMEprzypadku prośby o konfigurację

Możesz sprawdzić swoją pracę

openssl verify -CAfile myCA.pem -verify_hostname bar.mydomain.com mydomain.com.crt

Dla localhostwyłącznie:

Po prostu wklej to w swoim chrome:

chrome://flags/#allow-insecure-localhost

Powinieneś zobaczyć podświetlony tekst z napisem: Zezwól na niepoprawne certyfikaty dla zasobów ładowanych z localhost

Kliknij Enable.

To działało dla mnie:

1. Korzystając z Chrome, przejdź do strony na serwerze za pośrednictwem HTTPS i przejdź obok czerwonej strony z ostrzeżeniem (zakładając, że jeszcze tego nie zrobiłeś).
2. Otwórz się Chrome Settings > Show advanced settings > HTTPS/SSL > Manage Certificates.
3. Kliknij Authoritieskartę i przewiń w dół, aby znaleźć certyfikat pod nazwą organizacji nadaną certyfikatowi.
4. Wybierz, kliknij Edytuj ( UWAGA : w najnowszych wersjach Chrome przycisk jest teraz „Zaawansowany” zamiast „Edytuj”), zaznacz wszystkie pola i kliknij OK. Może być konieczne ponowne uruchomienie Chrome.

Powinieneś dostać teraz ładną zieloną blokadę na swoich stronach.

EDYCJA: Próbowałem ponownie na nowym komputerze i certyfikat nie pojawił się w oknie Zarządzaj certyfikatami, przechodząc dalej od czerwonej strony niezaufanego certyfikatu. Musiałem wykonać następujące czynności:

1. Na stronie z niezaufanym certyfikatem ( https://przekreślony na czerwono) kliknij blokadę> Informacje o certyfikacie. UWAGA: w nowszych wersjach Chrome musisz otworzyć Developer Tools > Securityi wybrać View certificate.
2. Kliknij Details tab > Export. Wybierz PKCS #7, single certificatejako format pliku.
3. Następnie postępuj zgodnie z moimi oryginalnymi instrukcjami, aby przejść do strony Zarządzaj certyfikatami. Kliknij Authorities tab > Importi wybierz plik, do którego eksportowałeś certyfikat, i upewnij się, że wybierasz PKCS #7, single certificate typ pliku .
4. Jeśli pojawi się monit o magazyn certyfikatów, wybierz Zaufane główne urzędy certyfikacji
5. Zaznacz wszystkie pola i kliknij OK. Uruchom ponownie Chrome.

AKTUALIZACJA DLA CHROME 58+ (WYDANO 2017-04-19)

Począwszy od Chrome 58, możliwość identyfikacji tylko hosta commonName została usunięta . Certyfikaty muszą teraz służyć subjectAltNamedo identyfikowania ich hostów. Zobacz dalszą dyskusję tutaj i tracker błędów tutaj . W przeszłości subjectAltNamebył używany tylko do certyfikatów z wieloma hostami, więc niektóre wewnętrzne narzędzia CA nie zawierają ich.

Jeśli Twoje samopodpisane certyfikaty działały dobrze w przeszłości, ale nagle zaczęły generować błędy w Chrome 58, właśnie dlatego.

Niezależnie od tego, jakiej metody używasz do generowania certyfikatu z podpisem własnym (lub certyfikatu podpisanego przez samopodpisany urząd certyfikacji), upewnij się, że certyfikat serwera zawiera subjectAltNamewłaściwy DNSi / lub IPwpis / wpisy, nawet jeśli dotyczy tylko jednego hosta .

W przypadku openssl oznacza to, że konfiguracja OpenSSL ( /etc/ssl/openssl.cnfna Ubuntu) powinna mieć coś podobnego do następującego dla jednego hosta:

[v3_ca]   # and/or [v3_req], if you are generating a CSR
subjectAltName = DNS:example.com

lub dla wielu hostów:

[v3_ca]   # and/or [v3_req], if you are generating a CSR
subjectAltName = DNS:example.com, DNS:host1.example.com, DNS:*.host2.example.com, IP:10.1.2.3

W przeglądarce certyfikatów Chrome (która została przeniesiona do karty „Bezpieczeństwo” pod F12) powinieneś zobaczyć ją Extensionsjako Certificate Subject Alternative Name:

Na komputerze Mac możesz użyć narzędzia Dostęp do pęku kluczy, aby dodać samopodpisany certyfikat do pęku kluczy systemu, a Chrome go zaakceptuje. Tutaj znalazłem instrukcje krok po kroku:

Google Chrome, Mac OS X i certyfikaty SSL z podpisem własnym

Gruntownie:

1. kliknij dwukrotnie ikonę kłódki za pomocą X i przeciągnij i upuść ikonę certyfikatu na pulpit,
2. otwórz ten plik (z rozszerzeniem .cer); to otwiera aplikację pęku kluczy, która pozwala zatwierdzić certyfikat.

Kliknij dowolne miejsce na stronie i wpisz BYPASS_SEQUENCE

„ thisisunsafe” to BYPASS_SEQUENCE dla przeglądarki Chrome w wersji 65

„ badidea” Wersja Chrome 62–64.

„ danger” działał we wcześniejszych wersjach Chrome

Nie musisz szukać pola wprowadzania, wystarczy je wpisać. To dziwne, ale działa.

Próbowałem na Mac High Sierra.

Aby dokładnie sprawdzić, czy zmienili go ponownie, przejdź do najnowszego kodu źródłowego chromu

Aby wyszukać BYPASS_SEQUENCE, w tej chwili wygląda to tak:

var BYPASS_SEQUENCE = window.atob('dGhpc2lzdW5zYWZl');

Teraz mają go zakamuflowane, ale aby zobaczyć prawdziwy BYPASS_SEQUENCE, możesz uruchomić następujący wiersz w konsoli przeglądarki.

console.log(window.atob('dGhpc2lzdW5zYWZl'));

Linux

Jeśli używasz Linuksa, możesz także śledzić oficjalne strony wiki:

• Konfigurowanie certyfikatów SSL w systemie Linux.
• NSS Shared DB I LINUX
• NSS Shared DB Howto

Gruntownie:

• kliknij ikonę kłódki za pomocą X,
• wybierz Informacje o certyfikacie
• przejdź do zakładki Szczegóły
• Kliknij Eksportuj ... (zapisz jako plik)

Teraz następujące polecenie doda certyfikat (gdzie TWOJE_PLIK to eksportowany plik):

certutil -d sql:$HOME/.pki/nssdb -A -t "P,," -n YOUR_FILE -i YOUR_FILE

Aby wyświetlić listę wszystkich certyfikatów, uruchom następujące polecenie:

certutil -d sql:$HOME/.pki/nssdb -L

Jeśli nadal nie działa, ten błąd może dotyczyć: Problem 55050: Błąd SSL Ubuntu 8179

PS libnss3-toolsPrzed użyciem powyższych poleceń upewnij się, że masz .

Jeśli nie masz, zainstaluj go poprzez:

sudo apt-get install libnss3-tools # on Ubuntu
sudo yum install nss-tools # on Fedora, Red Hat, etc.

Jako bonus możesz użyć następujących przydatnych skryptów:

$ cat add_cert.sh
certutil -d sql:$HOME/.pki/nssdb -A -t "P,," -n $1 -i $1
$ cat list_cert.sh
certutil -d sql:$HOME/.pki/nssdb -L # add '-h all' to see all built-in certs
$ cat download_cert.sh
echo QUIT | openssl s_client -connect $1:443 | sed -ne '/BEGIN CERT/,/END CERT/p'

Stosowanie:

add_cert.sh [FILE]
list_cert.sh
download_cert.sh [DOMAIN]

Rozwiązywanie problemów

• Uruchom Chrome z --auto-ssl-client-authparametrem

  google-chrome --auto-ssl-client-auth

Na komputerze Mac możesz utworzyć certyfikat, któremu w pełni ufają Chrome i Safari na poziomie systemu, wykonując następujące czynności:

    # create a root authority cert
    ./create_root_cert_and_key.sh

    # create a wildcard cert for mysite.com
    ./create_certificate_for_domain.sh mysite.com

    # or create a cert for www.mysite.com, no wildcards
    ./create_certificate_for_domain.sh www.mysite.com www.mysite.com

Powyższe wykorzystuje poniższe skrypty i plik pomocniczy v3.ext, aby uniknąć błędów braku alternatywnej nazwy podmiotu

Jeśli chcesz utworzyć nowy samopodpisany certyfikat, który jest w pełni zaufany, korzystając z własnych uprawnień administratora, możesz to zrobić za pomocą tych skryptów.

create_root_cert_and_key.sh

    #!/usr/bin/env bash
    openssl genrsa -out rootCA.key 2048
    openssl req -x509 -new -nodes -key rootCA.key -sha256 -days 1024 -out rootCA.pem

create_certificate_for_domain.sh

    #!/usr/bin/env bash

    if [ -z "$1" ]
    then
      echo "Please supply a subdomain to create a certificate for";
      echo "e.g. www.mysite.com"
      exit;
    fi

    if [ ! -f rootCA.pem ]; then
      echo 'Please run "create_root_cert_and_key.sh" first, and try again!'
      exit;
    fi
    if [ ! -f v3.ext ]; then
      echo 'Please download the "v3.ext" file and try again!'
      exit;
    fi

    # Create a new private key if one doesnt exist, or use the xeisting one if it does
    if [ -f device.key ]; then
      KEY_OPT="-key"
    else
      KEY_OPT="-keyout"
    fi

    DOMAIN=$1
    COMMON_NAME=${2:-*.$1}
    SUBJECT="/C=CA/ST=None/L=NB/O=None/CN=$COMMON_NAME"
    NUM_OF_DAYS=825
    openssl req -new -newkey rsa:2048 -sha256 -nodes $KEY_OPT device.key -subj "$SUBJECT" -out device.csr
    cat v3.ext | sed s/%%DOMAIN%%/"$COMMON_NAME"/g > /tmp/__v3.ext
    openssl x509 -req -in device.csr -CA rootCA.pem -CAkey rootCA.key -CAcreateserial -out device.crt -days $NUM_OF_DAYS -sha256 -extfile /tmp/__v3.ext 

    # move output files to final filenames
    mv device.csr "$DOMAIN.csr"
    cp device.crt "$DOMAIN.crt"

    # remove temp file
    rm -f device.crt;

    echo 
    echo "###########################################################################"
    echo Done! 
    echo "###########################################################################"
    echo "To use these files on your server, simply copy both $DOMAIN.csr and"
    echo "device.key to your webserver, and use like so (if Apache, for example)"
    echo 
    echo "    SSLCertificateFile    /path_to_your_files/$DOMAIN.crt"
    echo "    SSLCertificateKeyFile /path_to_your_files/device.key"

v3.ext

    authorityKeyIdentifier=keyid,issuer
    basicConstraints=CA:FALSE
    keyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment
    subjectAltName = @alt_names

    [alt_names]
    DNS.1 = %%DOMAIN%%

Jeszcze jeden krok - jak sprawić, by samopodpisane certyfikaty były w pełni zaufane w Chrome / Safari

Aby zezwolić na pełne zaufanie do samopodpisanych certyfikatów w Chrome i Safari, musisz zaimportować nowy urząd certyfikacji na komputer Mac. Aby to zrobić, postępuj zgodnie z tymi instrukcjami lub bardziej szczegółowymi instrukcjami dotyczącymi tego ogólnego procesu na stronie internetowej mitmproxy :

Możesz to zrobić na dwa sposoby, w wierszu polecenia, używając tego polecenia, które wyświetli monit o podanie hasła:

$ sudo security add-trusted-cert -d -r trustRoot -k /Library/Keychains/System.keychain rootCA.pem

lub za pomocą Keychain Accessaplikacji:

1. Otwórz dostęp do pęku kluczy
2. Wybierz „System” z listy „Breloki”
3. Wybierz „Certyfikaty” z listy „Kategoria”
4. Wybierz „Plik | Importuj elementy ...”
5. Przejdź do pliku utworzonego powyżej „rootCA.pem”, wybierz go i kliknij „Otwórz”
6. Wybierz nowo zaimportowany certyfikat z listy „Certyfikaty”.
7. Kliknij przycisk „i” lub kliknij prawym przyciskiem myszy swój certyfikat i wybierz „Uzyskaj informacje”
8. Rozwiń opcję „Zaufanie”
9. Zmień „Korzystając z tego certyfikatu” na „Zawsze ufaj”
10. Zamknij okno dialogowe, a pojawi się monit o podanie hasła.
11. Zamknij i ponownie otwórz wszystkie karty używające domeny docelowej, a zostanie ona bezpiecznie załadowana!

i jako bonus, jeśli potrzebujesz klientów Java do zaufania do certyfikatów, możesz to zrobić, importując swoje certyfikaty do magazynu kluczy Java. Uwaga: spowoduje to usunięcie certyfikatu z magazynu kluczy, jeśli już istnieje, ponieważ należy go zaktualizować na wypadek zmiany rzeczy. Oczywiście robi to tylko w przypadku importowanych certyfikatów.

import_certs_in_current_folder_into_java_keystore.sh

KEYSTORE="$(/usr/libexec/java_home)/jre/lib/security/cacerts";

function running_as_root()
{
  if [ "$EUID" -ne 0 ]
    then echo "NO"
    exit
  fi

  echo "YES"
}

function import_certs_to_java_keystore
{
  for crt in *.crt; do 
    echo prepping $crt 
    keytool -delete -storepass changeit -alias alias__${crt} -keystore $KEYSTORE;
    keytool -import -file $crt -storepass changeit -noprompt --alias alias__${crt} -keystore $KEYSTORE
    echo 
  done
}

if [ "$(running_as_root)" == "YES" ]
then
  import_certs_to_java_keystore
else
  echo "This script needs to be run as root!"
fi

AKTUALIZACJA 11/2017: Ta odpowiedź prawdopodobnie nie będzie działać w przypadku większości nowszych wersji Chrome.

AKTUALIZACJA 02/2016: Lepsze instrukcje dla użytkowników komputerów Mac można znaleźć tutaj .

1. W witrynie, którą chcesz dodać, kliknij prawym przyciskiem myszy czerwoną ikonę kłódki na pasku adresu:

   2. Kliknij zakładkę Połączenie , a następnie Informacje o certyfikacie

   3. Kliknij Szczegóły kartę, kliknięcia przycisku Kopiuj do pliku ... . Otworzy się Kreator eksportu certyfikatu, kliknij Dalej, aby przejść do ekranu Format pliku eksportu .

   4. Wybierz binarny X.509 (.CER) zakodowany w DER , kliknij Dalej

   5. Kliknij Przeglądaj ... i zapisz plik na komputerze. Nazwij to czymś opisowym. Kliknij przycisk Dalej , a następnie kliknij przycisk Zakończ .

   6. Otwórz ustawienia Chrome, przewiń w dół i kliknij Pokaż ustawienia zaawansowane ...

   7. W obszarze HTTPS / SSL kliknij Zarządzaj certyfikatami ...

   8. Kliknij zaufanych głównych urzędów certyfikacji kartę, a następnie kliknij Importuj ... przycisk. Spowoduje to otwarcie Kreatora importu certyfikatów. Kliknij przycisk Dalej, aby przejść do ekranu Plik do zaimportowania .

   9. Kliknij Przeglądaj ... i wybierz wcześniej zapisany plik certyfikatu, a następnie kliknij Dalej .

   10. Wybierz Umieść wszystkie certyfikaty w następującym sklepie . Wybrany sklep powinien być Zaufanym głównym urzędem certyfikacji . Jeśli nie jest, kliknij Przeglądaj ... i wybierz go. Kliknij Dalej i zakończ

   11. Kliknij Tak na ostrzeżeniu bezpieczeństwa.

   12. Uruchom ponownie Chrome.

Jeśli korzystasz z komputera Mac i nie widzisz karty eksportu ani sposobu uzyskania certyfikatu, działało to dla mnie:

1. Kliknij blokadę przed https: //
2. Przejdź do zakładki „Połączenie”

3. Kliknij „Informacje o certyfikacie”

   Teraz powinieneś zobaczyć to:

4. Przeciągnij tę małą ikonę certyfikatu na pulpit (lub gdziekolwiek).

5. Kliknij dwukrotnie pobrany plik .cer, który powinien zaimportować go do pęku kluczy i otworzyć Dostęp do pęku kluczy do listy certyfikatów.

   W niektórych przypadkach to wystarczy i możesz teraz odświeżyć stronę.

   Inaczej:

6. Kliknij dwukrotnie nowo dodany certyfikat.
7. W menu rozwijanym zaufania zmień opcję „Podczas korzystania z tego certyfikatu” na „Zawsze ufaj”

Ponownie załaduj stronę, o której mowa, i powinna być rozwiązana problem! Mam nadzieję że to pomoże.

Edytuj z Wolpha

Aby to trochę ułatwić, możesz użyć następującego skryptu ( źródła ):

1. Zapisz następujący skrypt jako whitelist_ssl_certificate.ssh:

   #!/usr/bin/env bash -e
   
   SERVERNAME=$(echo "$1" | sed -E -e 's/https?:\/\///' -e 's/\/.*//')
   echo "$SERVERNAME"
   
   if [[ "$SERVERNAME" =~ .*\..* ]]; then
       echo "Adding certificate for $SERVERNAME"
       echo -n | openssl s_client -connect $SERVERNAME:443 | sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p' | tee /tmp/$SERVERNAME.cert
       sudo security add-trusted-cert -d -r trustRoot -k "/Library/Keychains/System.keychain" /tmp/$SERVERNAME.cert
   else
       echo "Usage: $0 www.site.name"
       echo "http:// and such will be stripped automatically"
   fi

2. Ustaw skrypt jako wykonywalny (z powłoki):

   chmod +x whitelist_ssl_certificate.ssh

3. Uruchom skrypt dla żądanej domeny (wystarczy skopiować / wkleić pełne adresy URL):

   ./whitelist_ssl_certificate.ssh https://your_website/whatever

ZAKTUALIZOWANO 23.04.2020

Zalecane przez zespół Chromium

https://www.chromium.org/Home/chromium-security/deprecating-powerful-features-on-insecure-origins#TOC-Testing-Powerful-Features

Szybkie, super łatwe rozwiązanie

Istnieje sekretna fraza obejściowa, którą można wpisać na stronie błędu, aby Chrome nadal działał pomimo błędu bezpieczeństwa: to isssafe (we wcześniejszych wersjach Chrome wpisz badidea , a nawet wcześniej, niebezpieczeństwo ). DO NOT USE TO CHYBA dokładnie zrozumieć, dlaczego jest to potrzebne!

Źródło:

https://chromium.googlesource.com/chromium/src/+/d8fc089b62cd4f8d907acff6fb3f5ff58f168697%5E%21/

(UWAGA, że window.atob('dGhpc2lzdW5zYWZl')rozwiązuje to thisisunsafe)

Najnowsza wersja źródła to @ https://chromium.googlesource.com/chromium/src/+/refs/heads/master/components/security_interstitials/core/browser/resources/interstitial_large.js, a window.atobfunkcję można wykonać w konsola JS.

Aby dowiedzieć się, dlaczego zespół Chrome zmienił frazę obejściową (po raz pierwszy):

https://bugs.chromium.org/p/chromium/issues/detail?id=581189

Jeśli wszystko inne zawiedzie (rozwiązanie nr 1)

W przypadku szybkich działań jednorazowych, jeśli opcja „Kontynuuj mimo wszystko” nie jest dostępna lub fraza pomijająca nie działa, ten hack działa dobrze:

1. Zezwalaj na błędy certyfikatów localhost, włączając tę ​​flagę (uwaga Chrome wymaga ponownego uruchomienia po zmianie wartości flagi):

   chrome://flags/#allow-insecure-localhost

   (i odpowiedź na głosowanie https://stackoverflow.com/a/31900210/430128 autor: @Chris)

2. Jeśli witryna, z którą chcesz się połączyć localhost, jest skończona. W przeciwnym razie skonfiguruj tunel TCP do lokalnego nasłuchiwania na porcie 8090 i połącz się broken-remote-site.comz portem 443, upewnij się, że socatzainstalowałeś i uruchomiłeś coś takiego w oknie terminala:

   socat tcp-listen:8090,reuseaddr,fork tcp:broken-remote-site.com:443

3. Przejdź do https: // localhost: 8090 w przeglądarce.

Jeśli wszystko inne zawiedzie (Rozwiązanie nr 2)

Podobnie do „Jeśli wszystko inne zawiedzie (Rozwiązanie nr 1)”, tutaj konfigurujemy proxy do naszej usługi lokalnej za pomocą ngrok . Ponieważ możesz uzyskać dostęp do tuneli ngrok http za pośrednictwem TLS (w takim przypadku jest on zakończony przez ngrok z ważnym certyfikatem) lub przez punkt końcowy inny niż TLS, przeglądarka nie będzie narzekać na nieprawidłowe certyfikaty.

Pobierz i zainstaluj ngrok, a następnie ujawnij go za pomocą ngrok.io:

ngrok http https://localhost

ngrok uruchomi się i poda nazwę hosta, z którą można się połączyć, a wszystkie żądania zostaną tunelowane z powrotem na komputer lokalny.

Dla środowiska testowego

Możesz użyć --ignore-certificate-errorsjako parametru wiersza polecenia podczas uruchamiania chrome (działa na wersji 28.0.1500.52 na Ubuntu).

Spowoduje to, że zignoruje błędy i nawiąże połączenie bez ostrzeżenia. Jeśli masz już uruchomioną wersję Chrome, musisz ją zamknąć przed ponownym uruchomieniem z wiersza poleceń lub otworzy się nowe okno, ale zignorujesz parametry.

Konfiguruję Intellij do uruchamiania Chrome w ten sposób podczas debugowania, ponieważ serwery testowe nigdy nie mają prawidłowych certyfikatów.

Nie polecałbym jednak normalnego przeglądania w ten sposób, ponieważ kontrole certyfikatów są ważną funkcją bezpieczeństwa, ale dla niektórych może to być pomocne.

Jak ktoś zauważył, musisz ponownie uruchomić WSZYSTKIE przeglądarki Chrome, a nie tylko okna przeglądarki. Najszybszym sposobem na to jest otwarcie karty, aby ...

chrome://restart

WINDOWS JUN / 2017 Windows Server 2012

Śledziłem odpowiedź na @Brad Parks. W systemie Windows należy zaimportować plik rootCA.pem w sklepie Zaufane główne certyfikaty.

Zrobiłem następujące kroki:

openssl genrsa -out rootCA.key 4096
openssl req -x509 -new -nodes -key rootCA.key -newkey rsa:4096 -sha256 -days 1024 -out rootCA.pem
openssl req -new -newkey rsa:4096 -sha256 -nodes -keyout device.key -out device.csr
openssl x509 -req -in device.csr -CA rootCA.pem -CAkey rootCA.key -CAcreateserial -out device.crt -days 2000 -sha256 -extfile v3.ext

Gdzie v3.ext to:

authorityKeyIdentifier=keyid,issuer
basicConstraints=CA:FALSE
keyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment
subjectAltName = @alt_names

[alt_names]
DNS.1 = localhost
IP.1 = 192.168.0.2
IP.2 = 127.0.0.1

Następnie, w moim przypadku, mam własną aplikację internetową, więc muszę powiązać certyfikat z adresem IP i portem, certyfikat powinien znajdować się w MOIM sklepie z informacjami o kluczu prywatnym, więc wyeksportowałem do formatu pfx.

openssl pkcs12 -export -out device.pfx -inkey device.key -in device.crt

Za pomocą konsoli mmc (Plik / Dodaj lub usuń przystawki / Certyfikaty / Dodaj / Computert Konto / Komputer lokalny / OK) Zaimportowałem plik pfx w sklepie osobistym.

Później użyłem tego polecenia do powiązania certyfikatu (możesz także użyć narzędzia HttpConfig):

netsh http add sslcert ipport=0.0.0.0:12345 certhash=b02de34cfe609bf14efd5c2b9be72a6cb6d6fe54 appid={BAD76723-BF4D-497F-A8FE-F0E28D3052F4}

certhash = Odcisk certyfikatu

appid = GUID (twój wybór)

Najpierw próbowałem zaimportować certyfikat „device.crt” na Zaufane główne urzędy certyfikacji na różne sposoby, ale wciąż pojawia się ten sam błąd:

Ale zdałem sobie sprawę, że powinienem zaimportować certyfikat organu głównego, a nie certyfikat dla domeny. Więc użyłem konsoli mmc (Plik / Dodaj lub usuń przystawki / Certyfikaty / Dodaj / Computert Konto / Komputer lokalny / OK) Zaimportowałem rootCA.pem w sklepie Zaufane główne certyfikaty.

Uruchom ponownie Chrome i et voilà to działa.

Z localhost:

Lub z adresem IP:

Jedyne, czego nie mogłem osiągnąć, to to, że ma przestarzały szyfr (czerwony kwadrat na zdjęciu). W tej kwestii docenia się pomoc.

W makecert nie jest możliwe dodanie informacji SAN. Dzięki New-SelfSignedCertificate (Powershell) możesz dodawać informacje o sieci SAN, to także działa.

1. Dodaj certyfikat CA w zaufanym głównym magazynie CA.

2. Idź do chrome i włącz tę flagę!

chrome://flags/#allow-insecure-localhost

W końcu po prostu użyj domeny * .me lub dowolnych prawidłowych domen, takich jak * .com i * .net, i zachowaj je w pliku hosta. Dla moich lokalnych programistów używam * .me lub * .com z plikiem hosta utrzymywanym w następujący sposób:

3. Dodaj do hosta. C: / windows / system32 / drivers / etc / hosts

   127.0.0.1 nextwebapp.me

Uwaga: jeśli przeglądarka jest już otwarta, błąd będzie nadal wyświetlany. Zamknij więc przeglądarkę i zacznij od nowa. Jeszcze lepiej, przejdź incognito lub rozpocznij nową sesję, aby uzyskać natychmiastowy efekt.

Czy jesteś pewien, że adres strony jest obsługiwany, ponieważ jest taki sam jak certyfikat? Miałem te same problemy z Chrome i samopodpisanym certyfikatem, ale ostatecznie stwierdziłem, że było to bardzo wybredne w kwestii sprawdzania poprawności nazwy domeny na certyfikacie (tak jak powinno być).

Chrome nie ma własnego magazynu certyfikatów i używa własnego systemu Windows. Chrome nie umożliwia jednak importowania certyfikatów do sklepu, dlatego należy je dodać za pośrednictwem IE.

Instalowanie certyfikatów w Google Chrome

Instalowanie certyfikatów w przeglądarce Internet Explorer

Zobacz także kilka różnych podejść do tworzenia certyfikatów z podpisem własnym (zakładam, że używasz usług IIS, o których jeszcze nie wspomniałeś).

Jak utworzyć certyfikat z podpisem własnym w IIS 7

Przeszedłem proces korzystania z tego, co sugerował bjnord: Google Chrome, Mac OS X i certyfikaty SSL z podpisem własnym

To, co pokazano na blogu, nie działało.

Jednak jednym z komentarzy na blogu było złoto:

sudo security add-trusted-cert -d -r trustRoot -k /Library/Keychains/System.keychain site.crt

Będziesz musiał śledzić blog, jak uzyskać plik cert, a następnie możesz użyć powyższego polecenia i powinieneś iść.

GUI do zarządzania certyfikatami SSL na Chromium w systemie Linux NIE działał poprawnie dla mnie. Jednak ich doktorzy podali prawidłową odpowiedź. Sztuką było uruchomienie poniższej komendy, która importuje samopodpisany certyfikat SSL. Wystarczy zmienić nazwę z poniższych <certificate-nickname>a certificate-filename.cer, potem restart chrom / chrom.

Z Dokumentów:

W systemie Linux Chromium korzysta ze współużytkowanej bazy danych NSS. Jeśli wbudowany menedżer nie działa, możesz skonfigurować certyfikaty za pomocą narzędzi wiersza polecenia NSS.

Zdobądź narzędzia

• Debian / Ubuntu: sudo apt-get install libnss3-tools

• Fedora: su -c "yum install nss-tools"

• Gentoo: su -c "echo 'dev-libs/nss utils' >> /etc/portage/package.use && emerge dev-libs/nss"(Musisz uruchomić wszystkie poniższe polecenia z nssprefiksem, np nsscertutil.). Otwierauseuse:sudo zypper install mozilla-nss-tools

Aby zaufać samopodpisanemu certyfikatowi serwera, powinniśmy użyć

certutil -d sql:$HOME/.pki/nssdb -A -t "P,," -n <certificate-nickname> -i certificate-filename.cer

Wyświetl wszystkie certyfikaty

certutil -d sql:$HOME/.pki/nssdb -L

TRUSTARGS to trzy ciągi zerowe lub więcej znaków alfabetycznych, oddzielone przecinkami. Określają, w jaki sposób należy ufać certyfikatowi w zakresie SSL, e-maili i podpisywania obiektów, i są wyjaśnione w dokumentach certutil lub w blogu Meeny na temat flag zaufania.

Dodaj certyfikat osobisty i klucz prywatny do uwierzytelnienia klienta SSL Użyj polecenia:

pk12util -d sql:$HOME/.pki/nssdb -i PKCS12_file.p12

aby zaimportować certyfikat osobisty i klucz prywatny przechowywane w pliku PKCS # 12. Wartości TRUSTARGS certyfikatu osobistego zostaną ustawione na „u, u, u”.

Usuń certyfikat certutil -d sql:$HOME/.pki/nssdb -D -n <certificate nickname>

Fragment: https://chromium.googlesource.com/chromium/src/+/HEAD/docs/linux_cert_management.md

Filippo Valsorda napisał narzędzie wieloplatformowe mkcert, aby zrobić to dla wielu sklepów zaufania. Przypuszczam, że napisał to z tego samego powodu, dla którego jest tak wiele odpowiedzi na to pytanie: trudno jest zrobić „właściwą” rzecz dla certyfikatów SubjectAltName podpisanych przez zaufany główny urząd certyfikacji.

mkcert jest zawarty w głównych systemach zarządzania pakietami dla Windows, macOS i kilku odmian Linuxa.

mkcert

mkcertto proste narzędzie do tworzenia lokalnie zaufanych certyfikatów programistycznych. Nie wymaga konfiguracji.

$ mkcert -install
Created a new local CA at "/Users/filippo/Library/Application Support/mkcert" 💥
The local CA is now installed in the system trust store! ⚡️
The local CA is now installed in the Firefox trust store (requires browser restart)! 🦊

$ mkcert example.com "*.example.com" example.test localhost 127.0.0.1 ::1
Using the local CA at "/Users/filippo/Library/Application Support/mkcert" ✨

Created a new certificate valid for the following names 📜
 - "example.com"
 - "*.example.com"
 - "example.test"
 - "localhost"
 - "127.0.0.1"
 - "::1"

The certificate is at "./example.com+5.pem" and the key at "./example.com+5-key.pem" ✅

Klikając małą przekreśloną ikonę kłódki obok adresu URL, pojawi się pole wyglądające tak:

Po kliknięciu łącza Informacje o certyfikacie zobaczysz następujące okno dialogowe:

Informuje, który magazyn certyfikatów jest właściwy, jest to sklep Zaufane główne urzędy certyfikacji .

Możesz użyć jednej z metod opisanych w innych odpowiedziach, aby dodać certyfikat do tego sklepu lub użyć:

certutil -addstore -user "ROOT" cert.pem

• ROOT to wspomniana wcześniej wewnętrzna nazwa magazynu certyfikatów.
• cert.pem to nazwa twojego podpisanego certyfikatu.

To zadziałało dla mnie. Zobacz: http://www.robpeck.com/2010/10/google-chrome-mac-os-x-and-self-signed-ssl-certificates/#.Vcy8_ZNVhBc

Na pasku adresu kliknij małą blokadę za pomocą X. Spowoduje to wyświetlenie małego ekranu informacyjnego. Kliknij przycisk z napisem „Informacje o certyfikacie”.

Kliknij i przeciągnij obraz na pulpit. Wygląda jak mały certyfikat.

Kliknij dwukrotnie. Spowoduje to wyświetlenie narzędzia Dostęp do pęku kluczy. Wprowadź hasło, aby je odblokować.

Pamiętaj, aby dodać certyfikat do pęku kluczy systemu, a nie pęku kluczy logowania. Kliknij „Zawsze ufaj”, chociaż wydaje się, że to nic nie robi.

Po dodaniu kliknij go dwukrotnie. Może być konieczne ponowne uwierzytelnienie.

Rozwiń sekcję „Zaufanie”.

„Podczas korzystania z tego certyfikatu” ustaw „Zawsze ufaj”

Próbowałem wszystkiego i co sprawiło, że działało: Podczas importowania wybierz odpowiednią kategorię, a mianowicie Zaufane główne urzędy certyfikacji :

(przepraszam, to niemiecki, ale po prostu podążaj za obrazem)

mkdir CA
openssl genrsa -aes256 -out CA/rootCA.key 4096
openssl req -x509 -new -nodes -key CA/rootCA.key -sha256 -days 1024 -out CA/rootCA.crt

openssl req -new -nodes -keyout example.com.key -out domain.csr -days 3650 -subj "/C=US/L=Some/O=Acme, Inc./CN=example.com"
openssl x509 -req -days 3650 -sha256 -in domain.csr -CA CA/rootCA.crt -CAkey CA/rootCA.key -CAcreateserial -out example.com.crt -extensions v3_ca -extfile <(
cat <<-EOF
[ v3_ca ]
subjectAltName = DNS:example.com
EOF
)

Ten post jest już zalewany odpowiedziami, ale stworzyłem skrypt bash oparty na niektórych innych odpowiedziach, aby ułatwić wygenerowanie samopodpisanego certyfikatu TLS ważnego w Chrome (testowane w Chrome 65.x). Mam nadzieję, że jest to przydatne dla innych.

skrypt bash z podpisem własnym tls

Po zainstalowaniu ( i zaufaniu ) certyfikatu nie zapomnij ponownie uruchomić Chrome ( chrome://restart)

Kolejnym narzędziem, które warto sprawdzić, jest cfsslzestaw narzędzi CloudFlare :

cfssl

Aby utworzyć samopodpisany certyfikat w systemie Windows, któremu będzie ufać Chrome w wersji 58 i nowszej, uruchom program Powershell z podwyższonymi uprawnieniami i wpisz:

New-SelfSignedCertificate -CertStoreLocation Cert:\LocalMachine\My -Subject "fruity.local" -DnsName "fruity.local", "*.fruity.local" -FriendlyName "FruityCert" -NotAfter (Get-Date).AddYears(10)
#notes: 
#    -subject "*.fruity.local" = Sets the string subject name to the wildcard *.fruity.local
#    -DnsName "fruity.local", "*.fruity.local"
#         ^ Sets the subject alternative name to fruity.local, *.fruity.local. (Required by Chrome v58 and later)
#    -NotAfter (Get-Date).AddYears(10) = make the certificate last 10 years. Note: only works from Windows Server 2016 / Windows 10 onwards!!

Po wykonaniu tej czynności certyfikat zostanie zapisany na certyfikatach komputera lokalnego w magazynie Personal \ Certificates .

Chcesz skopiować ten certyfikat do magazynu Zaufane główne urzędy certyfikacji \ Certyfikaty .

Można to zrobić na jeden sposób: kliknij przycisk Start systemu Windows i wpisz certlm.msc. Następnie przeciągnij i upuść nowo utworzony certyfikat do sklepu Zaufane główne urzędy certyfikacji \ Certyfikaty zgodnie z poniższym zrzutem ekranu.

Poprawka lokalnego hosta SSL / HTTPS na Mac / OSX:

1. Kliknij czerwoną kłódkę z krzyżykiem na pasku adresu podczas próby otwarcia środowiska lokalnego hosta https. Otworzy się okno z informacjami o certyfikacie.

2. Kliknij okno informacyjne „Szczegóły”

3. Chromowane narzędzia programistyczne zostaną otwarte na karcie „Bezpieczeństwo”. Kliknij Wyświetl certyfikat . Obraz certyfikatu

4. Dodaj go do pęku kluczy „System” (a nie pęku kluczy „login”, który jest domyślnie zaznaczony).

5. Otwórz brelok (ponownie) i znajdź certyfikat. Kliknij i upewnij się, że „Ufasz” wszystkim.

6. Uruchom ponownie Chrome i powinno działać.

Wystąpił ten sam problem: zainstalowałem certyfikat w sklepie „Zaufane główne urzędy systemu Windows”, a Chrome nadal z odrzuceniem certyfikatu, z błędem ERR_CERT_COMMON_NAME_INVALID. Pamiętaj, że gdy certyfikat nie jest poprawnie zainstalowany w sklepie, pojawia się błąd ERR_CERT_AUTHORITY_INVALID.

Jak sugeruje nazwa błędu, ten komentarz i to pytanie , problem leżał w zadeklarowanej nazwie domeny w certyfikacie. Gdy podczas generowania certyfikatu pojawiło się zapytanie o „nazwę zwykłą”, musiałem wprowadzić nazwę domeny, której używałem, aby uzyskać dostęp do witryny ( localhostw moim przypadku). Uruchomiłem ponownie Chrome za pomocą chrome://restarti ostatecznie byłem zadowolony z tego nowego certyfikatu.

Począwszy od Chrome 58+ zaczęłam otrzymywać błąd certyfikatu na macOS z powodu braku SAN. Oto, jak ponownie uzyskać zieloną blokadę na pasku adresu.

1. Wygeneruj nowy certyfikat za pomocą następującego polecenia:

   openssl req \
     -newkey rsa:2048 \
     -x509 \
     -nodes \
     -keyout server.key \
     -new \
     -out server.crt \
     -subj /CN=*.domain.dev \
     -reqexts SAN \
     -extensions SAN \
     -config <(cat /System/Library/OpenSSL/openssl.cnf \
         <(printf '[SAN]\nsubjectAltName=DNS:*.domain.dev')) \
     -sha256 \
     -days 720

2. Zaimportuj server.crtplik do KeyChain, a następnie kliknij dwukrotnie certyfikat, rozwiń Zaufanie i wybierz Zawsze ufaj

Odśwież stronę https://domain.dev w Google Chrome, aby wróciła zielona blokada.

W przypadku Chrome na MacOS, jeśli przygotowałeś certyfikat:

• Zamknij Chrome ( cmd+ Q).
• Uruchom aplikację Keychain Access i otwórz kategorię „Certyfikaty”.
• Przeciągnij plik certyfikatu do okna Dostęp do pęku kluczy i wpisz hasło do pliku certyfikatu.
• Kliknij dwukrotnie swój certyfikat i rozwiń listę „Zaufanie”.
  • W wierszu „Podczas korzystania z tego certyfikatu” wybierz „Zawsze ufaj”.
  • Zamknij to i wpisz hasło.
• Uruchom Chrome i wyczyść wszystkie pamięci podręczne.
• Sprawdź, czy wszystko jest w porządku.

Umożliwianie bezpiecznego działania lokalnego hosta za pomocą tej metody chrome: // flags / # allow-insecure-localhost

Wystarczy, że musisz utworzyć nazwę hosta programistycznego dla xxx.localhost.