Ваше соединение не защищено - Как добавить сертификат CA в браузер
Я только что добавил NAS (сетевое хранилище) в свою локальную сеть и хочу получить к нему доступ через HTTPS . Все работает, за исключением того, что, когда я перехожу к нему, Chrome отвечает сообщением «Небезопасно» в адресной строке, а в протокольной части URL-адреса «https» есть зачеркнутая строка. У меня аналогичная проблема с Mozilla Firefox.
Шаги
- На моем компьютере под управлением Linux Mint 17.3, Я создал корневой центр сертификации, выполнив
sudo /usr/lib/ssl/misc/CA.sh -newca. - Я вошел в NAS с помощью http и создал CSR (запрос подписи сертификата), который я затем загрузил на свой компьютер. Файл имеет расширение .csr.
- Затем я подписал файл .csr с помощью команды
sudo openssl ca -out myCert.pem -infiles myCert.csr. - Я импортировал сертификат myCert. pem в NAS, используя его веб-интерфейс.
- Я добавил сертификат CA myCaCert.pem на моем ПК в его хранилище сертификатов, переместив его в
/usr/share/ca-certificates/extra/myCaCert.crt, а затем запустивsudo dpkg-reconfigure ca-сертификаты. - Затем я проверил, что файл myCert.pem конечного сертификата работает нормально, запустив
openssl verify myCert.pem. Результатом было «myCert.pem: OK». - Затем я импортировал файл корневого сертификата myCaCert.pem в Mozilla Firefox и Chrome.
После выполнения этих шагов и Firefox, и chrome показывают, что URL-адрес NAS через https небезопасен. Обязательно ли настраивать на моем компьютере службу, на которой есть файл myCaCert.pem, чтобы обслуживать этот файл? Не уверен, что делать в этот момент ...
РЕДАКТИРОВАТЬ
Как было предложено dave_thompson_085, я проверил ошибки безопасности в Chrome в инструментах разработчика. Отображаются следующие две ошибки:
(1) Отсутствует альтернативное имя субъекта: сертификат для этого сайта не содержит расширения альтернативного имени субъекта, содержащего доменное имя или IP-адрес.
(2) Ошибка сертификата: имеется проблемы с цепочкой сертификатов сайта (net :: ERR_CERT_COMMON_NAME_INVALID).
Я думал, что альтернативные имена субъектов необязательны .... Попробую создать еще один CSR с помощью SAN ....
Комментарии, отправленные date_thompson_085 и tonioc, были играет важную роль в отслеживании проблемы. К сожалению, CSR, созданный используемым мной NAS, которым является Synology DS916 +, не имеет возможности включать SAN (альтернативные имена субъектов) в запрос. В результате я вместо этого использовал openssl для создания запроса сертификата на моем ПК, который я затем подписал, используя тот же метод ( openssl ca ... ), как указано в оригинале. вопрос. Мне нужно было использовать настраиваемый файл конфигурации .cnf с командой openssl, один для выполнения запроса и один для его подписи, чтобы SAN отображались в конечном сертификате. Однако после импорта этого сертификата в NAS проблема, возникающая с Chrome и Firefox, исчезла.