ฉันสร้างใบรับรอง SSL ที่ลงชื่อด้วยตนเองสำหรับ localhost CN Firefox ยอมรับใบรับรองนี้หลังจากเริ่มบ่นเรื่องนี้ตามที่คาดไว้ อย่างไรก็ตาม Chrome และ IE ปฏิเสธที่จะยอมรับแม้ว่าจะเพิ่มใบรับรองไปยังที่เก็บใบรับรองระบบภายใต้ Trusted Roots แม้ว่าใบรับรองจะแสดงรายการว่าติดตั้งอย่างถูกต้องเมื่อฉันคลิก "ดูข้อมูลใบรับรอง" ในป๊อปอัพ HTTPS ของ Chrome แต่ก็ยังยืนยันว่าใบรับรองไม่น่าเชื่อถือ

ฉันควรทำอย่างไรเพื่อให้ Chrome ยอมรับใบรับรองและหยุดบ่นเกี่ยวกับเรื่องนี้

2020-05-22 : ด้วยคำสั่งเชลล์เพียง6คำสั่งคุณสามารถทำสิ่งนี้ได้สำเร็จ

กรุณาอย่าเปลี่ยนการตั้งค่าความปลอดภัยเบราว์เซอร์ของคุณ

ด้วยรหัสต่อไปนี้คุณสามารถ (1) เป็น CA ของคุณเอง (2) จากนั้นลงชื่อใบรับรอง SSL ของคุณเป็น CA (3) จากนั้นนำเข้าใบรับรอง CA (ไม่ใช่ใบรับรอง SSL ซึ่งไปยังเซิร์ฟเวอร์ของคุณ) ลงใน Chrome / Chromium (ใช่มันใช้งานได้กับ Linux)

######################
# Become a Certificate Authority
######################

# Generate private key
openssl genrsa -des3 -out myCA.key 2048
# Generate root certificate
openssl req -x509 -new -nodes -key myCA.key -sha256 -days 825 -out myCA.pem

######################
# Create CA-signed certs
######################

NAME=mydomain.com # Use your own domain name
# Generate a private key
openssl genrsa -out $NAME.key 2048
# Create a certificate-signing request
openssl req -new -key $NAME.key -out $NAME.csr
# Create a config file for the extensions
>$NAME.ext cat <<-EOF
authorityKeyIdentifier=keyid,issuer
basicConstraints=CA:FALSE
keyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment
subjectAltName = @alt_names
[alt_names]
DNS.1 = $NAME # Be sure to include the domain name here because Common Name is not so commonly honoured by itself
DNS.2 = bar.$NAME # Optionally, add additional domains (I've added a subdomain here)
IP.1 = 192.168.0.13 # Optionally, add an IP address (if the connection which you have planned requires it)
EOF
# Create the signed certificate
openssl x509 -req -in $NAME.csr -CA myCA.pem -CAkey myCA.key -CAcreateserial \
-out $NAME.crt -days 825 -sha256 -extfile $NAME.ext

วิธีการสรุป:

1. กลายเป็นแคลิฟอร์เนีย
2. เซ็นรับรองโดยใช้คีย์ CA ของคุณ
3. นำเข้าmyCA.pemในฐานะผู้มีอำนาจในการตั้งค่า Chrome ของคุณ (การตั้งค่า> จัดการใบรับรอง> ผู้มีอำนาจ> นำเข้า)
4. ใช้.crtไฟล์ในเซิร์ฟเวอร์ของคุณ

ขั้นตอนพิเศษ (สำหรับ Mac อย่างน้อย):

1. นำเข้าใบรับรอง CA ที่ "ไฟล์> นำเข้าไฟล์" จากนั้นค้นหาในรายการคลิกขวาขยาย "> เชื่อถือ" และเลือก "เสมอ"
2. เพิ่มextendedKeyUsage=serverAuth,clientAuthด้านล่างbasicConstraints=CA:FALSEและให้แน่ใจว่าคุณตั้ง "CommonName" เป็นเช่นเดียวกับ$NAMEเมื่อมันขอตั้งค่า

คุณสามารถตรวจสอบงานของคุณ

openssl verify -CAfile myCA.pem -verify_hostname bar.mydomain.com mydomain.com.crt

สำหรับlocalhostเท่านั้น:

เพียงวางสิ่งนี้ลงใน chrome ของคุณ:

chrome://flags/#allow-insecure-localhost

คุณควรเห็นข้อความที่เน้นว่า: อนุญาตใบรับรองที่ไม่ถูกต้องสำหรับทรัพยากรที่โหลดจาก localhost

Enableคลิก

สิ่งนี้ใช้ได้กับฉัน:

1. ใช้ Chrome กดหน้าเว็บบนเซิร์ฟเวอร์ของคุณผ่าน HTTPS และดำเนินการต่อผ่านหน้าคำเตือนสีแดง (สมมติว่าคุณยังไม่ได้ทำสิ่งนี้)
2. Chrome Settings > Show advanced settings > HTTPS/SSL > Manage Certificatesที่เปิดขึ้นมา
3. คลิกAuthoritiesแท็บและเลื่อนลงเพื่อค้นหาใบรับรองของคุณภายใต้ชื่อองค์กรที่คุณมอบให้กับใบรับรอง
4. เลือกคลิกแก้ไข ( หมายเหตุ : ใน Chrome รุ่นล่าสุดปุ่มตอนนี้เป็น "ขั้นสูง" แทน "แก้ไข") ทำเครื่องหมายในช่องทั้งหมดแล้วคลิกตกลง คุณอาจต้องรีสตาร์ท Chrome

คุณควรได้ล็อคสีเขียวที่ดีบนหน้าของคุณตอนนี้

แก้ไข:ฉันลองอีกครั้งในเครื่องใหม่และใบรับรองไม่ปรากฏในหน้าต่างจัดการใบรับรองเพียงแค่ดำเนินการต่อจากหน้าใบรับรองสีแดงที่ไม่น่าเชื่อถือ ฉันต้องทำดังต่อไปนี้:

1. ในหน้าที่มีใบรับรองที่ไม่น่าเชื่อถือ ( https://ขีดเป็นสีแดง) ให้คลิกที่ล็อค> ข้อมูลใบรับรอง หมายเหตุ:ในรุ่นใหม่ของโครเมี่ยม, คุณต้องเปิดและเลือกDeveloper Tools > SecurityView certificate
2. Details tab > Exportคลิกที่ เลือกPKCS #7, single certificateเป็นรูปแบบไฟล์
3. จากนั้นทำตามคำแนะนำดั้งเดิมของฉันเพื่อไปที่หน้าจัดการใบรับรอง คลิกAuthorities tab > Importและเลือกไฟล์ที่คุณส่งออกใบรับรองและให้แน่ใจว่าจะเลือก เป็นประเภทของไฟล์PKCS #7, single certificate
4. หากที่เก็บใบรับรองได้รับแจ้งให้เลือกผู้ให้บริการออกใบรับรองหลักที่เชื่อถือได้
5. ทำเครื่องหมายที่ช่องทั้งหมดแล้วคลิกตกลง รีสตาร์ท Chrome

อัปเดตสำหรับโครเมี่ยม 58+ (เปิดตัว 2017-04-19)

ในฐานะของ Chrome 58, ความสามารถในการระบุโฮสต์โดยใช้เพียงถูกลบออกcommonName ใบรับรองต้องใช้subjectAltNameเพื่อระบุโฮสต์ของพวกเขา ดูเพิ่มเติมอภิปรายที่นี่และติดตามข้อผิดพลาดที่นี่ ในอดีตsubjectAltNameเคยใช้สำหรับ certs หลายโฮสต์เท่านั้นเครื่องมือ CA ภายในบางตัวไม่รวม

หาก certs ที่ลงชื่อด้วยตนเองของคุณทำงานได้ดีในอดีตแต่ก็เริ่มสร้างข้อผิดพลาดใน Chrome 58 ด้วยเหตุนี้เอง

ดังนั้นวิธีใดก็ตามที่คุณใช้เพื่อสร้างใบรับรองที่ลงนามด้วยตนเอง (หรือใบรับรองที่ลงนามโดย CA ที่ลงนามเอง) ตรวจสอบให้แน่ใจว่าใบรับรองของเซิร์ฟเวอร์ประกอบด้วย a subjectAltNameด้วยรายการที่เหมาะสมDNSและ / หรือIPรายการ / แม้ว่าจะเป็นเพียงโฮสต์เดียว .

สำหรับ openssl นี่หมายถึงการกำหนดค่าOpenSSL ของคุณ ( /etc/ssl/openssl.cnfบน Ubuntu) ควรมีสิ่งที่คล้ายกับรายการต่อไปนี้สำหรับโฮสต์เดียว:

[v3_ca]   # and/or [v3_req], if you are generating a CSR
subjectAltName = DNS:example.com

หรือสำหรับโฮสต์หลายรายการ:

[v3_ca]   # and/or [v3_req], if you are generating a CSR
subjectAltName = DNS:example.com, DNS:host1.example.com, DNS:*.host2.example.com, IP:10.1.2.3

ในมุมมองใบรับรองของ Chrome (ซึ่งได้ย้ายไปที่แท็บ "ความปลอดภัย" ภายใต้ F12) คุณจะเห็นว่ามันอยู่ภายใต้Extensionsเป็นCertificate Subject Alternative Name:

ใน Mac คุณสามารถใช้ยูทิลิตี Keychain Access เพื่อเพิ่มใบรับรองที่ลงชื่อด้วยตัวเองลงใน Keychain System แล้ว Chrome จะยอมรับมัน ฉันพบคำแนะนำทีละขั้นตอนที่นี่:

ใบรับรอง Google Chrome, Mac OS X และ SSL ที่ลงชื่อด้วยตนเอง

โดยทั่วไป:

1. ดับเบิลคลิกที่ไอคอนล็อคด้วย X และลากและวางไอคอนใบรับรองไปที่เดสก์ท็อป
2. เปิดไฟล์นี้ (ลงท้ายด้วยนามสกุล. cer) นี่เป็นการเปิดแอปพลิเคชั่นพวงกุญแจที่ให้คุณอนุมัติใบรับรอง

คลิกที่ใดก็ได้บนหน้าและพิมพ์ BYPASS_SEQUENCE

" thisisunsafe" เป็น BYPASS_SEQUENCE สำหรับ Chrome เวอร์ชัน 65

" badidea" Chrome รุ่น 62 - 64

" danger" เคยทำงานกับ Chrome รุ่นก่อนหน้า

คุณไม่จำเป็นต้องค้นหาช่องป้อนข้อมูลเพียงพิมพ์ มันรู้สึกแปลก ๆ แต่ก็ใช้งานได้

ฉันลองบน Mac High Sierra

หากต้องการตรวจสอบอีกครั้งหากพวกเขาเปลี่ยนมันอีกครั้งไปที่รหัสแหล่งโครเมียมล่าสุด

หากต้องการค้นหา BYPASS_SEQUENCE ในขณะนี้ดูเหมือนว่า:

var BYPASS_SEQUENCE = window.atob('dGhpc2lzdW5zYWZl');

ตอนนี้พวกเขามีลายพราง แต่เพื่อดู BYPASS_SEQUENCE จริงคุณสามารถเรียกใช้บรรทัดต่อไปนี้ในคอนโซลเบราว์เซอร์

console.log(window.atob('dGhpc2lzdW5zYWZl'));

ลินุกซ์

หากคุณใช้งาน Linux คุณสามารถติดตามหน้า wiki อย่างเป็นทางการนี้ได้:

• การกำหนดค่าใบรับรอง SSL บน Linux
• ฐานข้อมูลที่ใช้ร่วมกันของ NSS และ LINUX
• ฐานข้อมูลที่ใช้ร่วมกันของ NSS Howto

โดยทั่วไป:

• คลิกที่ไอคอนล็อคด้วย X
• เลือกข้อมูลใบรับรอง
• ไปที่แท็บรายละเอียด
• คลิกที่ส่งออก ... (บันทึกเป็นไฟล์)

ตอนนี้คำสั่งต่อไปนี้จะเพิ่มใบรับรอง (โดยที่ YOUR_FILE เป็นไฟล์ที่ส่งออกของคุณ):

certutil -d sql:$HOME/.pki/nssdb -A -t "P,," -n YOUR_FILE -i YOUR_FILE

หากต้องการแสดงใบรับรองทั้งหมดของคุณให้เรียกใช้คำสั่งต่อไปนี้:

certutil -d sql:$HOME/.pki/nssdb -L

หากยังไม่สามารถใช้งานได้คุณอาจได้รับผลกระทบจากข้อผิดพลาดนี้: ปัญหา 55050: ข้อผิดพลาด Ubuntu SSL 8179

ป.ล. โปรดตรวจสอบให้แน่ใจว่าคุณมีlibnss3-toolsก่อนที่คุณจะสามารถใช้คำสั่งข้างต้น

หากคุณไม่มีโปรดติดตั้งโดย:

sudo apt-get install libnss3-tools # on Ubuntu
sudo yum install nss-tools # on Fedora, Red Hat, etc.

เป็นโบนัสคุณสามารถใช้สคริปต์ที่มีประโยชน์ต่อไปนี้:

$ cat add_cert.sh
certutil -d sql:$HOME/.pki/nssdb -A -t "P,," -n $1 -i $1
$ cat list_cert.sh
certutil -d sql:$HOME/.pki/nssdb -L # add '-h all' to see all built-in certs
$ cat download_cert.sh
echo QUIT | openssl s_client -connect $1:443 | sed -ne '/BEGIN CERT/,/END CERT/p'

การใช้งาน:

add_cert.sh [FILE]
list_cert.sh
download_cert.sh [DOMAIN]

การแก้ไขปัญหา

• เรียกใช้ Chrome พร้อม--auto-ssl-client-authพารามิเตอร์

  google-chrome --auto-ssl-client-auth

ใน Mac คุณสามารถสร้างใบรับรองที่ Chrome และ Safari เชื่อถือได้อย่างสมบูรณ์ในระดับระบบโดยทำสิ่งต่อไปนี้:

    # create a root authority cert
    ./create_root_cert_and_key.sh

    # create a wildcard cert for mysite.com
    ./create_certificate_for_domain.sh mysite.com

    # or create a cert for www.mysite.com, no wildcards
    ./create_certificate_for_domain.sh www.mysite.com www.mysite.com

ด้านบนใช้สคริปต์ต่อไปนี้และไฟล์สนับสนุนv3.extเพื่อหลีกเลี่ยงข้อผิดพลาดที่ไม่มีทางเลือกชื่อเรื่อง

หากคุณต้องการสร้างใบรับรองที่ลงนามเองใหม่ซึ่งเชื่อถือได้อย่างเต็มที่โดยใช้สิทธิ์รูทของคุณเองคุณสามารถทำได้โดยใช้สคริปต์เหล่านี้

create_root_cert_and_key.sh

    #!/usr/bin/env bash
    openssl genrsa -out rootCA.key 2048
    openssl req -x509 -new -nodes -key rootCA.key -sha256 -days 1024 -out rootCA.pem

create_certificate_for_domain.sh

    #!/usr/bin/env bash

    if [ -z "$1" ]
    then
      echo "Please supply a subdomain to create a certificate for";
      echo "e.g. www.mysite.com"
      exit;
    fi

    if [ ! -f rootCA.pem ]; then
      echo 'Please run "create_root_cert_and_key.sh" first, and try again!'
      exit;
    fi
    if [ ! -f v3.ext ]; then
      echo 'Please download the "v3.ext" file and try again!'
      exit;
    fi

    # Create a new private key if one doesnt exist, or use the xeisting one if it does
    if [ -f device.key ]; then
      KEY_OPT="-key"
    else
      KEY_OPT="-keyout"
    fi

    DOMAIN=$1
    COMMON_NAME=${2:-*.$1}
    SUBJECT="/C=CA/ST=None/L=NB/O=None/CN=$COMMON_NAME"
    NUM_OF_DAYS=825
    openssl req -new -newkey rsa:2048 -sha256 -nodes $KEY_OPT device.key -subj "$SUBJECT" -out device.csr
    cat v3.ext | sed s/%%DOMAIN%%/"$COMMON_NAME"/g > /tmp/__v3.ext
    openssl x509 -req -in device.csr -CA rootCA.pem -CAkey rootCA.key -CAcreateserial -out device.crt -days $NUM_OF_DAYS -sha256 -extfile /tmp/__v3.ext 

    # move output files to final filenames
    mv device.csr "$DOMAIN.csr"
    cp device.crt "$DOMAIN.crt"

    # remove temp file
    rm -f device.crt;

    echo 
    echo "###########################################################################"
    echo Done! 
    echo "###########################################################################"
    echo "To use these files on your server, simply copy both $DOMAIN.csr and"
    echo "device.key to your webserver, and use like so (if Apache, for example)"
    echo 
    echo "    SSLCertificateFile    /path_to_your_files/$DOMAIN.crt"
    echo "    SSLCertificateKeyFile /path_to_your_files/device.key"

v3.ext

    authorityKeyIdentifier=keyid,issuer
    basicConstraints=CA:FALSE
    keyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment
    subjectAltName = @alt_names

    [alt_names]
    DNS.1 = %%DOMAIN%%

อีกหนึ่งขั้นตอน - วิธีทำให้ใบรับรองที่ลงชื่อด้วยตนเองเชื่อถือได้อย่างสมบูรณ์ใน Chrome / Safari

ในการอนุญาตให้ใบรับรองที่ลงชื่อด้วยตนเองเชื่อถือได้อย่างเต็มที่ใน Chrome และ Safari คุณต้องนำเข้าหน่วยงานออกใบรับรองใหม่ลงใน Mac ของคุณ โดยทำตามคำแนะนำเหล่านี้หรือคำแนะนำโดยละเอียดเพิ่มเติมเกี่ยวกับกระบวนการทั่วไปนี้ในเว็บไซต์ mitmproxy :

คุณสามารถทำหนึ่งในสองวิธีนี้ที่บรรทัดคำสั่งโดยใช้คำสั่งนี้ซึ่งจะแจ้งให้คุณใส่รหัสผ่าน:

$ sudo security add-trusted-cert -d -r trustRoot -k /Library/Keychains/System.keychain rootCA.pem

หรือโดยใช้Keychain Accessแอพ:

1. เปิดการเข้าถึง Keychain
2. เลือก "ระบบ" ในรายการ "พวงกุญแจ"
3. เลือก "ใบรับรอง" ในรายการ "หมวดหมู่"
4. เลือก "ไฟล์ | นำเข้ารายการ ... "
5. เรียกดูไฟล์ที่สร้างขึ้นด้านบน "rootCA.pem" เลือกไฟล์แล้วคลิก "เปิด"
6. เลือกใบรับรองที่นำเข้าใหม่ของคุณในรายการ "ใบรับรอง"
7. คลิกปุ่ม "i" หรือคลิกขวาที่ใบรับรองของคุณและเลือก "รับข้อมูล"
8. ขยายตัวเลือก "ความน่าเชื่อถือ"
9. เปลี่ยน "เมื่อใช้ใบรับรองนี้" เป็น "Always Trust"
10. ปิดกล่องโต้ตอบและคุณจะได้รับพร้อมท์ให้ใส่รหัสผ่าน
11. ปิดและเปิดแท็บใด ๆ ที่ใช้โดเมนเป้าหมายของคุณอีกครั้งและมันจะถูกโหลดอย่างปลอดภัย!

และเป็นโบนัสหากคุณต้องการไคลเอนต์ java เพื่อเชื่อถือใบรับรองคุณสามารถทำได้โดยการนำเข้าใบรับรองของคุณไปยังที่เก็บคีย์ java หมายเหตุสิ่งนี้จะลบใบรับรองออกจากที่เก็บคีย์หากมีอยู่แล้วเนื่องจากจำเป็นต้องอัพเดตในกรณีที่สิ่งต่าง ๆ เปลี่ยนแปลง แน่นอนว่านี่จะเป็นสิ่งที่นำเข้ามาเท่านั้น

import_certs_in_current_folder_into_java_keystore.sh

KEYSTORE="$(/usr/libexec/java_home)/jre/lib/security/cacerts";

function running_as_root()
{
  if [ "$EUID" -ne 0 ]
    then echo "NO"
    exit
  fi

  echo "YES"
}

function import_certs_to_java_keystore
{
  for crt in *.crt; do 
    echo prepping $crt 
    keytool -delete -storepass changeit -alias alias__${crt} -keystore $KEYSTORE;
    keytool -import -file $crt -storepass changeit -noprompt --alias alias__${crt} -keystore $KEYSTORE
    echo 
  done
}

if [ "$(running_as_root)" == "YES" ]
then
  import_certs_to_java_keystore
else
  echo "This script needs to be run as root!"
fi

อัปเดต 11/2017: คำตอบนี้อาจใช้ไม่ได้กับ Chrome เวอร์ชันใหม่กว่าส่วนใหญ่

UPDATE 02/2016: คำแนะนำที่ดีกว่าสำหรับผู้ใช้ Mac สามารถพบที่นี่

1. บนเว็บไซต์ที่คุณต้องการเพิ่มให้คลิกขวาที่ไอคอนล็อคสีแดงในแถบที่อยู่:

   2. คลิกแท็บชื่อการเชื่อมต่อจากนั้นคลิกข้อมูลใบรับรอง

   3. คลิกรายละเอียดแท็บคลิกที่ปุ่มคัดลอกไปยังไฟล์ ... สิ่งนี้จะเปิดตัวช่วยสร้างการส่งออกใบรับรองคลิกถัดไปเพื่อไปที่หน้าจอส่งออกรูปแบบไฟล์

   4. เลือกDER ที่เข้ารหัสไบนารี X.509 (.CER)คลิกถัดไป

   5. คลิกเรียกดู ...และบันทึกไฟล์ลงในคอมพิวเตอร์ของคุณ ตั้งชื่อให้มันเป็นคำอธิบาย คลิกถัดไปแล้วคลิกเสร็จสิ้น

   6. เปิดการตั้งค่า Chrome เลื่อนไปที่ด้านล่างและคลิกแสดงการตั้งค่าขั้นสูง ...

   7. ภายใต้HTTPS / SSLคลิกจัดการใบรับรอง ...

   8. คลิกที่เชื่อถือได้ที่ใบรับรองแท็บแล้วคลิกนำเข้า ... ปุ่ม สิ่งนี้จะเปิดตัวช่วยสร้างการนำเข้าใบรับรอง คลิกถัดไปเพื่อไปที่หน้าจอนำเข้าไฟล์

   9. คลิกเรียกดู ...และเลือกไฟล์ใบรับรองที่คุณบันทึกไว้ก่อนหน้านี้แล้วคลิกถัดไป

   10. เลือกวางใบรับรองทั้งหมดในร้านค้าดังต่อไปนี้ ร้านค้าที่เลือกควรเป็นผู้ออกใบรับรองหลักที่เชื่อถือได้ หากไม่ใช่ให้คลิกเรียกดู ...และเลือก คลิกถัดไปและเสร็จสิ้น

   11. คลิกใช่ในคำเตือนความปลอดภัย

   12. รีสตาร์ท Chrome

หากคุณใช้ macและไม่เห็นแท็บส่งออกหรือวิธีรับใบรับรองสิ่งนี้ใช้ได้สำหรับฉัน:

1. คลิกที่ล็อคหน้า https: //
2. ไปที่แท็บ "การเชื่อมต่อ"

3. คลิก "ข้อมูลใบรับรอง"

   ตอนนี้คุณควรเห็นสิ่งนี้:

4. ลากไอคอนใบรับรองเล็กน้อยนั้นทำเดสก์ท็อปของคุณ (หรือที่ใดก็ได้)

5. ดับเบิลคลิกที่ไฟล์. cer ที่ดาวน์โหลดมาซึ่งควรนำเข้ามาใน Keychain และเปิด Keychain Access เข้าสู่รายการใบรับรองของคุณ

   ในบางกรณีนี้เพียงพอและคุณสามารถรีเฟรชหน้าได้แล้ว

   มิฉะนั้น:

6. คลิกสองครั้งที่ใบรับรองที่เพิ่มใหม่
7. ภายใต้การเชื่อถือแบบหล่นลงเปลี่ยนตัวเลือก "เมื่อใช้ใบรับรองนี้" เป็น "เชื่อถือได้เสมอ"

ตอนนี้โหลดหน้าเว็บที่เป็นปัญหาอีกครั้งและควรแก้ไขปัญหาได้แล้ว! หวังว่านี่จะช่วยได้

แก้ไขจากWolph

เพื่อให้ง่ายขึ้นเล็กน้อยคุณสามารถใช้สคริปต์ต่อไปนี้ ( แหล่งที่มา ):

1. บันทึกสคริปต์ต่อไปนี้เป็นwhitelist_ssl_certificate.ssh:

   #!/usr/bin/env bash -e
   
   SERVERNAME=$(echo "$1" | sed -E -e 's/https?:\/\///' -e 's/\/.*//')
   echo "$SERVERNAME"
   
   if [[ "$SERVERNAME" =~ .*\..* ]]; then
       echo "Adding certificate for $SERVERNAME"
       echo -n | openssl s_client -connect $SERVERNAME:443 | sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p' | tee /tmp/$SERVERNAME.cert
       sudo security add-trusted-cert -d -r trustRoot -k "/Library/Keychains/System.keychain" /tmp/$SERVERNAME.cert
   else
       echo "Usage: $0 www.site.name"
       echo "http:// and such will be stripped automatically"
   fi

2. ทำให้สคริปต์เรียกใช้งาน (จากเชลล์):

   chmod +x whitelist_ssl_certificate.ssh

3. เรียกใช้สคริปต์สำหรับโดเมนที่คุณต้องการ (เพียงคัดลอก / วางงาน URL แบบเต็ม):

   ./whitelist_ssl_certificate.ssh https://your_website/whatever

อัปเดต 23 เม.ย. 20

แนะนำโดยทีม Chromium

https://www.chromium.org/Home/chromium-security/deprecating-powerful-features-on-insecure-origins#TOC-Testing-Powerful-Features

Quick Super-Easy Solution

มีวลีบายพาสแบบลับๆที่สามารถพิมพ์ลงในหน้าข้อผิดพลาดเพื่อให้ Chrome ดำเนินการต่อได้แม้จะมีข้อผิดพลาดด้านความปลอดภัย: thisisunsafe (ใน Chrome รุ่นก่อนหน้านี้พิมพ์badideaและแม้แต่ก่อนหน้านี้อันตราย ) DO NOT USE นี้จนกว่าคุณจะเข้าใจว่าทำไมคุณต้องใช้!

ที่มา:

https://chromium.googlesource.com/chromium/src/+/d8fc089b62cd4f8d907acff6fb3f5ff58f168697%5E%21/

(หมายเหตุที่window.atob('dGhpc2lzdW5zYWZl')แก้ไขเป็นthisisunsafe)

เวอร์ชันล่าสุดของแหล่งที่มาคือ @ https://chromium.googlesource.com/chromium/src/+/refs/heads/master/components/security_interstitials/core/browser/resources/interstitial_large.jsและwindow.atobฟังก์ชันสามารถดำเนินการได้ใน คอนโซล JS

สำหรับพื้นหลังเกี่ยวกับสาเหตุที่ทีม Chrome เปลี่ยนวลีบายพาส (ครั้งแรก):

https://bugs.chromium.org/p/chromium/issues/detail?id=581189

ถ้าทุกอย่างล้มเหลว (Solution # 1)

สำหรับการปิดครั้งเดียวอย่างรวดเร็วหากไม่มีตัวเลือก "ดำเนินการต่อไป" และวลีบายพาสไม่ทำงานแฮ็คนี้ใช้งานได้ดี:

1. อนุญาตข้อผิดพลาดของใบรับรองlocalhostโดยเปิดใช้งานการตั้งค่าสถานะนี้ (หมายเหตุ Chrome ต้องรีสตาร์ทหลังจากเปลี่ยนค่าสถานะ):

   chrome://flags/#allow-insecure-localhost

   (และคำตอบสำหรับการลงคะแนนhttps://stackoverflow.com/a/31900210/430128โดย @Chris)

2. หากไซต์ที่คุณต้องการเชื่อมต่อนั้นแสดงlocalhostว่าคุณทำเสร็จแล้ว มิฉะนั้นให้ตั้งค่าอุโมงค์ TCP เพื่อฟังพอร์ต 8090 ภายในเครื่องและเชื่อมต่อbroken-remote-site.comกับพอร์ต 443 ตรวจสอบให้แน่ใจว่าคุณได้socatติดตั้งและเรียกใช้สิ่งนี้ในหน้าต่างเทอร์มินัล:

   socat tcp-listen:8090,reuseaddr,fork tcp:broken-remote-site.com:443

3. ไปที่https: // localhost: 8090ในเบราว์เซอร์ของคุณ

หากสิ่งอื่นล้มเหลว (โซลูชัน # 2)

คล้ายกับ "ถ้าทุกคนอื่นล้มเหลว (โซลูชั่น # 1)" ที่นี่เรากำหนดค่าพร็อกซี่ของเราให้บริการในท้องถิ่นโดยใช้ngrok เนื่องจากคุณสามารถเข้าถึงอุโมงค์ http ngrok ผ่าน TLS (ซึ่งในกรณีนี้จะถูกยกเลิกโดย ngrok พร้อมใบรับรองที่ถูกต้อง) หรือผ่านปลายทางที่ไม่ใช่ TLS เบราว์เซอร์จะไม่บ่นเกี่ยวกับใบรับรองที่ไม่ถูกต้อง

ดาวน์โหลดและติดตั้ง ngrok แล้วเปิดเผยผ่านngrok.io:

ngrok http https://localhost

ngrok จะเริ่มต้นขึ้นและแจ้งชื่อโฮสต์ที่คุณสามารถเชื่อมต่อได้และคำขอทั้งหมดจะถูกส่งกลับไปยังเครื่องของคุณ

สำหรับสภาพแวดล้อมการทดสอบ

คุณสามารถใช้--ignore-certificate-errorsเป็นพารามิเตอร์บรรทัดคำสั่งเมื่อเปิดใช้งาน chrome (ทำงานกับรุ่น 28.0.1500.52 บน Ubuntu)

นี่จะทำให้ละเว้นข้อผิดพลาดและเชื่อมต่อโดยไม่มีการเตือน หากคุณมี Chrome รุ่นหนึ่งกำลังทำงานอยู่คุณจะต้องปิดก่อนที่จะเปิดใช้งานใหม่จากบรรทัดคำสั่งหรือจะเปิดหน้าต่างใหม่ แต่ไม่ต้องสนใจพารามิเตอร์

ฉันกำหนดค่า Intellij เพื่อเปิดใช้งาน Chrome ด้วยวิธีนี้เมื่อทำการดีบักเนื่องจากเซิร์ฟเวอร์ทดสอบไม่มีใบรับรองที่ถูกต้อง

ฉันจะไม่แนะนำให้เรียกดูตามปกติเช่นนี้เนื่องจากการตรวจสอบใบรับรองเป็นคุณลักษณะด้านความปลอดภัยที่สำคัญ แต่อาจเป็นประโยชน์สำหรับบางคน

ดังที่มีคนสังเกตเห็นคุณต้องรีสตาร์ท Chrome ทั้งหมดไม่ใช่แค่เพียงหน้าต่างเบราว์เซอร์ วิธีที่เร็วที่สุดในการทำเช่นนี้คือเปิดแท็บไปที่ ...

chrome://restart

WINDOWS JUN / 2017 Windows Server 2012

ฉันได้ติดตาม @Brad Parks คำตอบ บน Windows คุณควรนำเข้า rootCA.pem ในที่เก็บใบรับรองหลักที่เชื่อถือได้

ฉันทำตามขั้นตอนต่อไปนี้:

openssl genrsa -out rootCA.key 4096
openssl req -x509 -new -nodes -key rootCA.key -newkey rsa:4096 -sha256 -days 1024 -out rootCA.pem
openssl req -new -newkey rsa:4096 -sha256 -nodes -keyout device.key -out device.csr
openssl x509 -req -in device.csr -CA rootCA.pem -CAkey rootCA.key -CAcreateserial -out device.crt -days 2000 -sha256 -extfile v3.ext

โดยที่ v3.ext คือ:

authorityKeyIdentifier=keyid,issuer
basicConstraints=CA:FALSE
keyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment
subjectAltName = @alt_names

[alt_names]
DNS.1 = localhost
IP.1 = 192.168.0.2
IP.2 = 127.0.0.1

จากนั้นในกรณีของฉันฉันมีเว็บแอพด้วยตัวเองดังนั้นฉันต้องผูกใบรับรองด้วยที่อยู่ IP และพอร์ตใบรับรองควรอยู่ในร้านของฉันพร้อมข้อมูลส่วนตัวที่สำคัญดังนั้นฉันส่งออกไปยังรูปแบบ pfx

openssl pkcs12 -export -out device.pfx -inkey device.key -in device.crt

ด้วยคอนโซล mmc (ไฟล์ / เพิ่มหรือลบสแน็ปอิน / ใบรับรอง / เพิ่ม / บัญชีคอมพิวเตอร์ / LocalComputer / OK) ฉันนำเข้าไฟล์ pfx ในร้านค้าส่วนบุคคล

ต่อมาฉันใช้คำสั่งนี้เพื่อผูกใบรับรอง (คุณสามารถใช้เครื่องมือ HttpConfig):

netsh http add sslcert ipport=0.0.0.0:12345 certhash=b02de34cfe609bf14efd5c2b9be72a6cb6d6fe54 appid={BAD76723-BF4D-497F-A8FE-F0E28D3052F4}

certhash = เอกสารรับรอง

appid = GUID (ตัวเลือกของคุณ)

ก่อนอื่นฉันพยายามนำเข้าใบรับรอง "device.crt" บนผู้ให้สิทธิ์ใบรับรองรูทที่เชื่อถือได้ในวิธีต่างๆ แต่ฉันยังคงได้รับข้อผิดพลาดเดิม:

แต่ฉันรู้ว่าฉันควรนำเข้าใบรับรองของผู้มีสิทธิ์ออกใบรับรองไม่ใช่ใบรับรองสำหรับโดเมน ดังนั้นฉันจึงใช้คอนโซล mmc (ไฟล์ / เพิ่มหรือลบสแน็ปอิน / ใบรับรอง / เพิ่ม / บัญชีคอมพิวเตอร์ / LocalComputer / OK) ฉันนำเข้า rootCA.pem ในที่เก็บใบรับรองใบรับรองที่เชื่อถือได้

รีสตาร์ท Chrome แล้วเริ่มทำงาน

ด้วย localhost:

หรือด้วยที่อยู่ IP:

สิ่งเดียวที่ฉันไม่สามารถทำได้คือมันมีรหัสล้าสมัย (รูปสี่เหลี่ยมสีแดงในภาพ) ความช่วยเหลือได้รับการชื่นชมในจุดนี้

ด้วย makecert ทำให้ไม่สามารถเพิ่มข้อมูล SAN ได้ ด้วย New-SelfSignedCertificate (Powershell) คุณสามารถเพิ่มข้อมูล SAN ได้อีกด้วย

1. เพิ่มใบรับรอง CA ในรูต CA ที่เชื่อถือได้

2. ไปที่ chrome และเปิดใช้งานการตั้งค่าสถานะนี้!

chrome://flags/#allow-insecure-localhost

สุดท้ายให้ใช้โดเมน * .me หรือโดเมนที่ถูกต้องเช่น * .com และ * .net และบำรุงรักษาไว้ในไฟล์โฮสต์ สำหรับ devs ในเครื่องของฉันฉันใช้ * .me หรือ * .com กับไฟล์โฮสต์ที่ดูแลดังนี้

3. เพิ่มไปยังโฮสต์ C: / Windows / system32 / ไดรเวอร์ / etc / hosts

   127.0.0.1 nextwebapp.me

หมายเหตุ:หากเบราว์เซอร์เปิดขึ้นมาเมื่อทำเช่นนี้ข้อผิดพลาดจะยังคงปรากฏต่อไป ดังนั้นโปรดปิดเบราว์เซอร์และเริ่มใหม่อีกครั้ง ดีกว่าไปที่ไม่ระบุตัวตนหรือเริ่มเซสชันใหม่เพื่อให้ได้ผลทันที

คุณแน่ใจหรือไม่ว่าที่อยู่ที่ให้บริการเว็บไซต์นั้นเหมือนกับใบรับรอง ฉันมีปัญหาแบบเดียวกันกับ Chrome และใบรับรองที่ลงชื่อด้วยตัวเอง แต่ในที่สุดฉันก็พบว่ามันเป็นเรื่องที่พิถีพิถันเกี่ยวกับการตรวจสอบความถูกต้องของชื่อโดเมนในใบรับรอง (ตามที่ควรจะเป็น)

Chrome ไม่มีที่เก็บใบรับรองและใช้ Window เป็นของตัวเอง อย่างไรก็ตาม Chrome ไม่มีวิธีนำเข้า certs ในร้านค้าดังนั้นคุณควรเพิ่มผ่านทาง IE แทน

การติดตั้งใบรับรองใน Google Chrome

การติดตั้งใบรับรองใน Internet Explorer

ลองดูที่นี่เพื่อดูวิธีการต่าง ๆ ในการสร้าง certs แบบลงชื่อด้วยตนเอง (ฉันสมมติว่าคุณใช้ IIS ตามที่คุณไม่ได้กล่าวถึง)

วิธีการสร้างใบรับรองที่ลงชื่อด้วยตนเองใน IIS 7

ฉันลงกระบวนการที่ใช้สิ่งที่ bjnord แนะนำซึ่งก็คือ: Google Chrome, Mac OS X และใบรับรอง SSL ที่ลงชื่อด้วยตนเอง

สิ่งที่แสดงในบล็อกไม่ทำงาน

อย่างไรก็ตามหนึ่งในความคิดเห็นต่อบล็อกคือทองคำ:

sudo security add-trusted-cert -d -r trustRoot -k /Library/Keychains/System.keychain site.crt

คุณจะต้องติดตามบล็อกเกี่ยวกับวิธีรับไฟล์ใบรับรองหลังจากนั้นคุณสามารถใช้คำสั่งด้านบนและควรดำเนินการต่อไป

GUI สำหรับการจัดการใบรับรอง SSL บน Chromium บน Linux ทำงานไม่ถูกต้องสำหรับฉัน อย่างไรก็ตามเอกสารของพวกเขาให้คำตอบที่ถูกต้อง เคล็ดลับคือการเรียกใช้คำสั่งด้านล่างที่นำเข้าใบรับรอง SSL ที่ลงชื่อด้วยตนเอง เพียงอัปเดตชื่อของ<certificate-nickname>และcertificate-filename.cerจากนั้นรีสตาร์ท Chromium / chrome

จากเอกสาร:

บน Linux Chromium ใช้ฐานข้อมูลที่แชร์ของ NSS หากตัวจัดการภายในไม่ทำงานสำหรับคุณคุณสามารถกำหนดค่าใบรับรองด้วยเครื่องมือบรรทัดคำสั่ง NSS

รับเครื่องมือ

• Debian / Ubuntu: sudo apt-get install libnss3-tools

• Fedora: su -c "yum install nss-tools"

• Gentoo: su -c "echo 'dev-libs/nss utils' >> /etc/portage/package.use && emerge dev-libs/nss"(คุณต้องเปิดคำสั่งทั้งหมดด้านล่างด้วยnssคำนำหน้าเช่น, nsscertutil.) Opensuse:sudo zypper install mozilla-nss-tools

หากต้องการเชื่อถือใบรับรองเซิร์ฟเวอร์ที่ลงชื่อด้วยตนเองเราควรใช้

certutil -d sql:$HOME/.pki/nssdb -A -t "P,," -n <certificate-nickname> -i certificate-filename.cer

แสดงรายการใบรับรองทั้งหมด

certutil -d sql:$HOME/.pki/nssdb -L

TRUSTARGS เป็นสตริงสามตัวของศูนย์หรือมากกว่าตัวอักษรโดยคั่นด้วยเครื่องหมายจุลภาค พวกเขากำหนดวิธีที่ใบรับรองควรเชื่อถือได้สำหรับ SSL, อีเมลและการลงนามวัตถุและอธิบายไว้ในเอกสารรับรองหรือโพสต์บล็อกของ Meena เกี่ยวกับการตั้งค่าสถานะความน่าเชื่อถือ

เพิ่มใบรับรองส่วนบุคคลและคีย์ส่วนตัวสำหรับการตรวจสอบสิทธิ์ไคลเอนต์ SSL ใช้คำสั่ง:

pk12util -d sql:$HOME/.pki/nssdb -i PKCS12_file.p12

เพื่อนำเข้าใบรับรองส่วนบุคคลและคีย์ส่วนตัวที่เก็บไว้ในไฟล์ PKCS # 12 TRUSTARGS ของใบรับรองส่วนบุคคลจะถูกตั้งค่าเป็น“ u, u, u”

ลบใบรับรอง certutil -d sql:$HOME/.pki/nssdb -D -n <certificate nickname>

คัดลอกมาจาก: https://chromium.googlesource.com/chromium/src/+/HEAD/docs/linux_cert_management.md

Filippo Valsorda เขียนเครื่องมือข้ามแพลตฟอร์มmkcertเพื่อทำสิ่งนี้กับร้านค้าที่น่าเชื่อถือจำนวนมาก ฉันคิดว่าเขาเขียนด้วยเหตุผลเดียวกันกับที่มีคำตอบมากมายสำหรับคำถามนี้: มันเป็นความเจ็บปวดที่จะทำสิ่งที่ "ถูกต้อง" สำหรับใบรับรอง SubjectAltName ที่ลงชื่อโดย CA รูทที่เชื่อถือได้

mkcert รวมอยู่ในระบบการจัดการแพ็คเกจที่สำคัญสำหรับ Windows, macOS และ Linux หลายรสชาติ

mkcert

mkcertเป็นเครื่องมืออย่างง่ายสำหรับการทำใบรับรองการพัฒนาที่เชื่อถือได้ในพื้นที่ มันไม่จำเป็นต้องมีการกำหนดค่า

$ mkcert -install
Created a new local CA at "/Users/filippo/Library/Application Support/mkcert" 💥
The local CA is now installed in the system trust store! ⚡️
The local CA is now installed in the Firefox trust store (requires browser restart)! 🦊

$ mkcert example.com "*.example.com" example.test localhost 127.0.0.1 ::1
Using the local CA at "/Users/filippo/Library/Application Support/mkcert" ✨

Created a new certificate valid for the following names 📜
 - "example.com"
 - "*.example.com"
 - "example.test"
 - "localhost"
 - "127.0.0.1"
 - "::1"

The certificate is at "./example.com+5.pem" and the key at "./example.com+5-key.pem" ✅

เมื่อคลิกไอคอนล็อคเครื่องหมายขีดคั่นเล็ก ๆ ถัดจาก URL คุณจะเห็นกล่องดังนี้:

หลังจากคลิกลิงก์ข้อมูลใบรับรองคุณจะเห็นกล่องโต้ตอบต่อไปนี้:

มันบอกคุณว่าที่เก็บใบรับรองใดที่ถูกต้องเป็นที่เก็บใบรับรองผู้ออกใบรับรองที่เชื่อถือได้

คุณสามารถใช้วิธีใดวิธีหนึ่งที่ระบุไว้ในคำตอบอื่น ๆ เพื่อเพิ่มใบรับรองในร้านค้าหรือใช้:

certutil -addstore -user "ROOT" cert.pem

• ROOT เป็นชื่อภายในของที่เก็บใบรับรองที่กล่าวถึงก่อนหน้านี้
• cert.pem เป็นชื่อของใบรับรองที่ลงนามเอง

สิ่งนี้ใช้ได้สำหรับฉัน ดู: http://www.robpeck.com/2010/10/google-chrome-mac-os-x-and-self-signed-ssl-certificates/#.Vcy8_ZNVhBc

ในแถบที่อยู่ให้คลิกล็อคเล็กน้อยด้วย X ซึ่งจะแสดงหน้าจอข้อมูลขนาดเล็ก คลิกปุ่มที่ระบุว่า "ข้อมูลใบรับรอง"

คลิกและลากรูปภาพไปยังเดสก์ท็อปของคุณ ดูเหมือนใบรับรองเล็กน้อย

คลิกสองครั้ง สิ่งนี้จะนำยูทิลิตี้ Keychain Access ขึ้นมา ป้อนรหัสผ่านของคุณเพื่อปลดล็อค

ตรวจสอบให้แน่ใจว่าคุณเพิ่มใบรับรองลงใน System keychain ไม่ใช่พวงกุญแจเข้าสู่ระบบ คลิก "เชื่อมั่นเสมอ" แม้ว่าจะดูเหมือนจะไม่ทำอะไรเลย

หลังจากเพิ่มแล้วให้ดับเบิลคลิก คุณอาจต้องตรวจสอบอีกครั้ง

ขยายส่วน "ความน่าเชื่อถือ"

"เมื่อใช้ใบรับรองนี้" ตั้งค่าเป็น "เชื่อถือเสมอ"

ฉันลองทุกอย่างและสิ่งที่ทำให้มันทำงาน: เมื่อนำเข้าเลือกหมวดหมู่ที่ถูกต้องคือหน่วยงานผู้ออกใบรับรองรูทที่เชื่อถือได้ :

(ขออภัยเป็นภาษาเยอรมัน แต่เพียงติดตามภาพ)

mkdir CA
openssl genrsa -aes256 -out CA/rootCA.key 4096
openssl req -x509 -new -nodes -key CA/rootCA.key -sha256 -days 1024 -out CA/rootCA.crt

openssl req -new -nodes -keyout example.com.key -out domain.csr -days 3650 -subj "/C=US/L=Some/O=Acme, Inc./CN=example.com"
openssl x509 -req -days 3650 -sha256 -in domain.csr -CA CA/rootCA.crt -CAkey CA/rootCA.key -CAcreateserial -out example.com.crt -extensions v3_ca -extfile <(
cat <<-EOF
[ v3_ca ]
subjectAltName = DNS:example.com
EOF
)

โพสต์นี้เต็มไปด้วยคำตอบแล้ว แต่ฉันสร้างสคริปต์ทุบตีตามคำตอบอื่น ๆ เพื่อให้ง่ายต่อการสร้างใบรับรอง TLS ที่ลงชื่อด้วยตนเองที่ถูกต้องใน Chrome (ทดสอบแล้วChrome 65.x) หวังว่ามันจะเป็นประโยชน์กับคนอื่น ๆ

สคริปต์ทุบตีที่ลงชื่อด้วยตนเอง

หลังจากที่คุณติดตั้ง ( และเชื่อถือได้ ) ใบรับรองอย่าลืมรีสตาร์ท Chrome ( chrome://restart)

เครื่องมืออื่นที่ควรค่าแก่การตรวจสอบคือcfsslชุดเครื่องมือของ CloudFlare :

cfssl

หากต้องการสร้างใบรับรองที่ลงชื่อด้วยตนเองใน Windows ที่ Chrome v58 และใหม่กว่าจะเชื่อถือได้ให้เปิด Powershell ด้วยสิทธิ์ระดับสูงและประเภท:

New-SelfSignedCertificate -CertStoreLocation Cert:\LocalMachine\My -Subject "fruity.local" -DnsName "fruity.local", "*.fruity.local" -FriendlyName "FruityCert" -NotAfter (Get-Date).AddYears(10)
#notes: 
#    -subject "*.fruity.local" = Sets the string subject name to the wildcard *.fruity.local
#    -DnsName "fruity.local", "*.fruity.local"
#         ^ Sets the subject alternative name to fruity.local, *.fruity.local. (Required by Chrome v58 and later)
#    -NotAfter (Get-Date).AddYears(10) = make the certificate last 10 years. Note: only works from Windows Server 2016 / Windows 10 onwards!!

เมื่อคุณทำเช่นนี้ใบรับรองที่จะได้รับการบันทึกไว้ในใบรับรองภายในเครื่องคอมพิวเตอร์ภายใต้ส่วนบุคคล \ ใบรับรองร้านค้า

คุณต้องการคัดลอกใบรับรองนี้ไปยังร้านค้าผู้ออกใบรับรองหลักที่เชื่อถือได้

วิธีหนึ่งที่จะทำเช่นนี้: คลิกปุ่มเริ่มต้นของ Windows certlm.mscและชนิด จากนั้นลากและวางใบรับรองที่สร้างขึ้นใหม่ไปยังที่เก็บใบรับรองผู้เชื่อถือใบรับรองหลักที่เชื่อถือได้สำหรับภาพหน้าจอด้านล่าง

SSL / HTTPS localhost fix บน mac / osx:

1. คลิกล็อกสีแดงพร้อมกากบาทในแถบที่อยู่ของคุณเมื่อพยายามเปิดสภาพแวดล้อม https localhost ของคุณ จะมีหน้าต่างเปิดขึ้นพร้อมข้อมูลเกี่ยวกับใบรับรอง

2. คลิกที่หน้าต่างข้อมูล "รายละเอียด"

3. เครื่องมือสำหรับนักพัฒนาซอฟต์แวร์ Chrome จะเปิดขึ้นในแท็บ 'ความปลอดภัย' คลิกที่ดูรับรอง อิมเมจใบรับรอง

4. เพิ่มลงในพวงกุญแจ 'ระบบ' ของคุณ (ไม่ใช่พวงกุญแจ 'เข้าสู่ระบบ' ซึ่งถูกเลือกไว้ตามค่าเริ่มต้น)

5. เปิดพวงกุญแจของคุณ (อีกครั้ง) และค้นหาใบรับรอง คลิกที่มันและให้แน่ใจว่าคุณ "เชื่อถือ" ทั้งหมด

6. รีสตาร์ท Chrome และควรใช้งานได้

ฉันกำลังประสบปัญหาเดียวกัน: ผมได้ติดตั้งใบรับรองใช้ Windows' เก็บของ Trusted Root เจ้าหน้าที่และ Chrome ERR_CERT_COMMON_NAME_INVALIDยังคงปฏิเสธที่ใบรับรองที่มีข้อผิดพลาด ERR_CERT_AUTHORITY_INVALIDโปรดทราบว่าเมื่อใบรับรองไม่ได้ติดตั้งอย่างถูกต้องในการจัดเก็บข้อผิดพลาด

ตามที่ระบุในข้อผิดพลาดความคิดเห็นนี้และคำถามนี้ปัญหาอยู่ที่ชื่อโดเมนที่ประกาศในใบรับรอง เมื่อได้รับแจ้งสำหรับ "ชื่อสามัญ" ในขณะที่สร้างใบรับรองฉันต้องป้อนชื่อโดเมนที่ฉันใช้เพื่อเข้าถึงเว็บไซต์ ( localhostในกรณีของฉัน) ฉันรีสตาร์ท Chrome โดยใช้chrome://restartและในที่สุดก็มีความสุขกับใบรับรองใหม่นี้

ตั้งแต่ Chrome 58+ ฉันเริ่มได้รับข้อผิดพลาดของใบรับรองในmacOSเนื่องจาก SAN หายไป นี่คือวิธีรับแถบสีเขียวบนแถบที่อยู่อีกครั้ง

1. สร้างใบรับรองใหม่ด้วยคำสั่งต่อไปนี้:

   openssl req \
     -newkey rsa:2048 \
     -x509 \
     -nodes \
     -keyout server.key \
     -new \
     -out server.crt \
     -subj /CN=*.domain.dev \
     -reqexts SAN \
     -extensions SAN \
     -config <(cat /System/Library/OpenSSL/openssl.cnf \
         <(printf '[SAN]\nsubjectAltName=DNS:*.domain.dev')) \
     -sha256 \
     -days 720

2. นำserver.crtเข้าคีย์เชนของคุณจากนั้นดับเบิลคลิกที่ใบรับรองขยายTrustและเลือกTrust ที่เชื่อถือได้

รีเฟรชหน้าhttps://domain.devใน Google Chrome ดังนั้นล็อกสีเขียวจึงกลับมา

สำหรับ Chrome บน MacOS หากคุณเตรียมใบรับรอง:

• ออกจาก Chrome ( cmd+ Q)
• เริ่มต้นแอป Keychain Access และเปิดหมวดหมู่ "ใบรับรอง"
• ลากไฟล์ใบรับรองของคุณไปที่หน้าต่าง Keychain Access และพิมพ์รหัสผ่านสำหรับไฟล์ใบรับรอง
• ดับเบิลคลิกที่ใบรับรองของคุณและเปิดรายการ "ความน่าเชื่อถือ"
  • ในแถว "เมื่อใช้ใบรับรองนี้" เลือก "เชื่อถือเสมอ"
  • ปิดสิ่งนี้และพิมพ์รหัสผ่านของคุณ
• เริ่ม Chrome และล้างแคชทั้งหมด
• ตรวจสอบว่าทุกอย่างโอเค

การอนุญาตให้ localhost ที่ไม่ปลอดภัยทำงานได้ดีผ่านวิธีนี้ chrome: // flags / # allow-insecure-localhost

เพียงแค่คุณต้องสร้างชื่อโฮสต์การพัฒนาของคุณเพื่อ xxx.localhost