LocalHost 的自签名证书上的 Chrome NET::ERR_CERT_AUTHORITY_INVALID 错误

Question

我正在尝试在本地 PC 上设置开发环境。由于生产网站支持 HTTPS（这些天谁不支持？），我想在 localhost 上也有这个。我以为这很容易，但没有。

我安装了 XAMP，并进行了所有设置，以便我可以访问该网站。但是，每当我在本地访问网站上的任何页面时，都会收到 chrome 警告：

NET::ERR_CERT_AUTHORITY_INVALID

我确实按照以下线程尝试解决它：

Getting Chrome to accept self-signed localhost certificate

我还基于此创建了具有正确主题备用名称 (SAN) 部分的证书：

https://deliciousbrains.com/https-locally-without-browser-privacy-errors/

之后，我生成了 CER 或 P7B 文件并将其导入 Chrome。我重新启动了 Apache 和 Chrome。

我将证书放在受信任的根证书颁发机构中。然而不知何故，Chrome 决定将它放在中间根证书颁发机构中......

我使用的是 Chrome 61，我在 60 中也使用过。

所以不知何故，我无法安装自签名证书，并不断收到此警告，这基本上使在 localhost 上的开发变得不可能......

我明白了，这个自签名并不完全可信，但总得有办法线下开发吧？从现在开始我们必须在线建立网站没有意义吗？...

有什么想法吗？

Answer 1

我们可以简单地允许无效证书用于 chrome 中的开发目的。

这仅对本地主机有效

将此粘贴​​到您的 chrome 地址栏中：

chrome://flags/#allow-insecure-localhost

然后启用突出显示的文本：允许从本地主机加载的资源无效证书

Answer 2

这是我使用 KeyStore Explorer 工具的说明。

我之前创建证书时缺少的两件事是：

• AKID（授权密钥标识符） - 选择您在创建它时使用的相同“CN=”。
• 在“基本约束”选项中添加（不要选择“是 CA”）

如果没有这两件事，即使您已将自签名证书安装到您的 MS-CAPI PKI 信任存储区（作为“受信任的根授权”），Chrome 也会发出警告/错误。

这是我使用的步骤。

1. 使用 KSE（KeyStore Explorer）的说明
2. 创建 JKS
3. 创建自签名证书
4. 打开 KeyStore 资源管理器
5. 文件 |新 | JKS |好的
6. 为您的 JKS 文件创建密码
7. 文件 |另存为... |输入您的密码
8. 输入文件名 |好的
9. 工具 |生成密钥对
10. 选择算法和密钥大小（即 2048）|好的
11. 选择有效期（即5年）
12. 选择名称（书本图标）|在名称字段中输入 |好的
13. 即“CN=localhost……”
14. 添加扩展（非常重要），这决定了它将是什么类型的证书以及如何使用它。此示例适用于带有 SSL 的标准服务器证书。
15. 添加密钥使用项
16. 添加数字签名和密钥加密选项复选框
17. 添加 EKU（扩展密钥使用）选项
18. 选择这两个选项：
19. TLS Web 客户端身份验证
20. TLS Web 服务器身份验证
21. 添加 SAN（主题备用名称）
22. 添加将使用此服务器的所有必需的 DNS 名称和 IP 地址（如果适用）。 （对所有需要的值重复）（例如 127.0.0.1 和 localhost（或）
23. 完成后会是这个样子
24. 完成后，您将看到列出了 OID（对象标识符）的所有字段 |好的 |好的
25. 添加 AKID（授权密钥标识符）
26. 添加扩展“+”
27. 添加扩展类型 |授权密钥标识符
28. 选择您在上面创建的 CN 的授权证书颁发者（例如“CN=localhost...”）|好的
29. 添加“基本约束”（不要勾选“主题是 CA”）
30. 完成后，您会看到这些列表：点击“确定”
31. 注意：Chrome 浏览器需要基本约束和 AKID（授权密钥标识符）才能将自签名证书验证为可信证书。
32. 否则，即使您已将此证书明确添加到您的 MS-CAPI 受信任的根证书中，您也会看到警告或错误消息。
33. 输入您要使用的密钥对名称的别名
34. 输入私钥对密码
35. *注意：此密码必须与 JKS 文件密钥库密码相同，否则 Java 可能会在尝试使用此证书时静默失败。
36. 您应该会看到一条指示成功的消息。 |好的
37. 然后，保存文件 |保存

Answer 3

我在 this 之后修复了完全相同的问题。

问题似乎在于证书的创建方式。

以下代码来自上述网站。

#!/usr/bin/env bash
mkdir ~/ssl/
openssl genrsa -des3 -out ~/ssl/rootCA.key 2048
openssl req -x509 -new -nodes -key ~/ssl/rootCA.key -sha256 -days 1024 -out ~/ssl/rootCA.pem


#!/usr/bin/env bash
sudo openssl req -new -sha256 -nodes -out server.csr -newkey rsa:2048 -keyout server.key -config <( cat server.csr.cnf )

sudo openssl x509 -req -in server.csr -CA ~/ssl/rootCA.pem -CAkey ~/ssl/rootCA.key -CAcreateserial -out server.crt -days 500 -sha256 -extfile v3.ext

server.csr.cnf 文件

[req]
default_bits = 2048
prompt = no
default_md = sha256
distinguished_name = dn

[dn]
C=US
ST=New York
L=Rochester
O=End Point
OU=Testing Domain
emailAddress=your-administrative-address@your-awesome-existing-domain.com
CN = localhost

v3.ext 文件

authorityKeyIdentifier=keyid,issuer
basicConstraints=CA:FALSE
keyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment
subjectAltName = @alt_names

[alt_names]
DNS.1 = localhost

Answer 4

有一个很棒的基于 Java 的 GUI 实用程序，我使用它来创建和操作 PKI 的所有东西，称为 KeyStore Explorer。比所有的命令行选项都简单：

http://keystore-explorer.org/

Answer 5

1. 打开你的 chrome 浏览器

2. 将下面的链接放在浏览器地址栏中，然后回车。

   chrome://flags/#allow-insecure-localhost

3. 选择“允许从 localhost 加载的资源使用无效证书”。禁用到启用。

希望您的问题能得到解决。谢谢

Answer 6

我偶然发现了这一点：如果您安装了 Fiddler 并让它在后台运行，您的应用程序第一次运行时会打开一个带有证书问题的弹出窗口，如果您单击“是”，它将允许您的请求通过.看到这个https://www.telerik.com/forums/fiddler-certificate-error-bypass-question。

Answer 7

只需更新您的 java（或安装 java 取决于您的系统架构（32 位或 64 位））。

安装后重启chrome浏览器就可以正常使用了。

我已经面对这个问题很长时间了。我刚刚发现了这一点，它对我有用。