Самоподписанный ssl, который я создал для localhost, нельзя доверять, хотя я уже импортировал его в chrome
Я сгенерировал сертификат с помощью ssl, запустив сценарий по следующей ссылке: https://gist.github.com/bjanderson/075fadfccdd12623ab935e57eff15eb ] Скрипт работал нормально, и я получил все ожидаемые файлы. Я импортировал файл ca.crt в свой Chrome от имени доверенных корневых центров сертификации, но Chrome по-прежнему не доверяет ему.
Я получаю следующие ошибки:
Certificate - Subject Alternative Name missing
The certificate for this site does not contain a Subject Alternative Name extension containing a domain name or IP address.
Certificate - missing
This site is missing a valid, trusted certificate (net::ERR_CERT_AUTHORITY_INVALID).
Как исправить эти две проблемы и получить свой Chrome в доверять моему самоподписанному сертификату?
Сертификат - Отсутствует альтернативное имя субъекта Сертификат для этого сайта не содержит альтернативного имени субъекта. расширение, содержащее доменное имя или IP-адрес.
Это означает:
- CN не соответствует ServerName
- И поле X509v3 Subject Alternative Name тоже не соответствует.
Сертификат - отсутствует На этом сайте отсутствует действующий доверенный сертификат (net :: ERR_CERT_AUTHORITY_INVALID).
Это означает:
Серверу нельзя доверять, потому что не был предоставлен действительный сертификат ... Хорошо, это будет решено, когда будет устранена первая ошибка!
Подумайте о том, как (IP-адрес или DNS-имя) вы подключаете свой сервер:
https://228.929.123.46/
или
https://mydomain.example.com/
https://127.0.0.1/
https://$HOSTNAME/
Вы можете создать сертификат с помощью
CN = 228.929 .123.46и добавьтеDNS.1 = mydomain.example.com DNS.2 = $ HOSTNAME IP.1 = 127.0.0.1 DNS.3 = other.domain.org DNS....CN = 127.0.0.1и добавьтеDNS.1 = mydomain.example.com DNS.2 = $ HOSTNAME IP.1 = 228.929.123.46 DNS.3 = other.domain.org DNS....
Но если в Интернете, вам лучше удалить неполное имя хоста, localnet (192.168.xx) и localip (127.xxx)!
CN = 228.929.123.46и добавитьDNS.1 = mydomain.example.com DNS.2 = other.domain.org DNS....
И используйте только DNS-адрес или общедоступный IP-адрес для доступа к вашему серверу!
Посмотрите там ,
- Альтернативное имя субъекта на wikipedia.org
Затем, чтобы узнать, как это сделать ...
- Укажите subjectAltName для OpenSSL непосредственно в командной строке на security.stackexchange.com
- Добавление альтернативной темы Активное имя (SAN) цифрового сертификата на сайте documentation.progress.com
- Сгенерируйте сертификаты ssl с альтернативными именами субъектов в OSX на github.com/croxton[12215estive