为域和子域创建自签名证书-NET :: ERR_CERT_COMMON_NAME_INVALID

我按照本教程在Windows上为开发目的创建了签名SSL证书，它对我的​​一个域都非常有效（我正在使用hosts文件来模拟dns）。然后我发现我有很多子域，而为每个子域创建证书都会很麻烦。因此，我尝试Common按照serverfault的某些答案中的建议在字段中使用通配符创建证书。像这样：

Common Name: *.myserver.net/CN=myserver.net

但是，在将此证书导入到受信任的根证书颁发机构之后，NET::ERR_CERT_COMMON_NAME_INVALIDChrome在主域及其所有子域中出现了错误，例如：https://sub1.myserver.net和https://myserver.net。

该服务器无法证明它是myserver.net。其安全证书来自* .myserver.net / CN = myserver.net。

这可能是由于配置错误或攻击者拦截了您的连接引起的。

通用名称字段中有什么错误导致此错误？

正如Rahul所说，这是常见的Chrome和OSX错误。我过去也遇到过类似的问题。实际上，当我在测试本地站点上的工作时，我终于厌倦了两次点击（是的，我知道这并不多）。

对于此问题的可能解决方法（使用Windows），我将使用许多可用的自签名证书实用程序之一。

推荐步骤：

1. 创建一个自签名证书
2. 将证书导入Windows证书管理器
3. 在Chrome证书管理器中导入证书
   注意：一旦Google解决了该错误，第3步将解决遇到的问题...考虑到时间过长，在可预见的将来没有ETA。**
   
   尽管我更喜欢将Chrome用于开发中，我最近发现自己是Firefox Developer Edition。没有这个问题。
   
   希望这可以帮助 ：）

Chrome 58放弃了对不带使用者备用名称的证书的支持。

展望未来，这可能是您遇到此错误的另一个原因。

解决方法是添加用作“ subjectAltName”（X509v3使用者备用名称）的域名。这可以通过更改您的OpenSSL配置（/etc/ssl/openssl.cnf在Linux上）并修改该v3_req部分使其如下所示来完成：

[ v3_req ]

# Extensions to add to a certificate request

basicConstraints = CA:FALSE
keyUsage = nonRepudiation, digitalSignature, keyEncipherment
subjectAltName = @alt_names

[alt_names]
DNS.1 = myserver.net
DNS.2 = sub1.myserver.net

有了这个，-extensions v3_req在生成新证书时不要忘记使用该开关。（另请参见如何使用OpenSSL使用SubjectAltName生成自签名证书？）

创建openssl.conf文件：

[req]
default_bits = 2048
default_keyfile = oats.key
encrypt_key = no
utf8 = yes
distinguished_name = req_distinguished_name
x509_extensions = v3_req
prompt = no

[req_distinguished_name]
C = US
ST = Cary
L = Cary
O  = BigCompany
CN = *.myserver.net

[v3_req]
keyUsage = critical, digitalSignature, keyAgreement
extendedKeyUsage = serverAuth
subjectAltName = @alt_names

[alt_names]
DNS.1 = myserver.net
DNS.2 = *.myserver.net

运行此命令：

openssl req -x509 -sha256 -nodes -days 3650 -newkey rsa:2048 -keyout app.key -out app.crt  -config openssl.conf

输出文件app.crt并app.key为我工作。

您的通配符*.example.com并没有覆盖根域example.com，但将覆盖在任何变种子-domain如www.example.com或test.example.com

首选方法是像Fabian的“答案”中那样建立主题替代名称，但请记住，Chrome当前要求将“通用名称”另外列为主题替代名称之一（如其答案中已正确说明）。我最近发现了这个问题，因为我的example.comSANwww.example.com和具有通用名称test.example.com，但是NET::ERR_CERT_COMMON_NAME_INVALID从Chrome收到了警告。我必须生成一个新的证书签名请求，example.com同时使用通用名称和其中一个SAN。然后Chrome完全信任该证书。而且，不要忘记将根证书作为用于识别网站的可信机构导入到Chrome中。

我认为这可能是Chrome中的错误。很久以前就有一个类似的问题： 看这个。

在其他浏览器中尝试。我认为应该可以。

对于遇到此问题并想接受测试风险的每个人，都有一个解决方案：在Chrome中进入隐身模式，您将可以打开“高级”，然后单击“继续至some.url”。

如果您需要检查自己维护的某些网站并只是作为开发人员进行测试（并且尚未配置适当的开发证书），则这将很有帮助。

当然，这不适用于在生产环境中使用网站的人，该错误指示网站安全存在问题。

如果您对此错误感到厌倦。您可以使Chrome不会表现得像这样。我并不是说这是最好的方法，只是说这是一种方法。

解决方法是，可以创建Windows注册表项，以允许Google Chrome浏览器使用服务器证书的commonName来匹配主机名（如果证书缺少subjectAlternativeName扩展名），只要该证书成功验证并链接到本地​​安装的CA证书。

数据类型：布尔[Windows：REG_DWORD] Windows注册表位置：HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Google \ Chrome Windows / Mac / Linux / Android首选项名称：EnableCommonNameFallbackForLocalAnchors值：0x00000001（Windows），true（Linux），true（Android）， （Mac）要创建Windows注册表项，只需执行以下步骤：

打开记事本将以下内容复制并粘贴到记事本中Windows Registry Editor版本5.00

[HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Google \ Chrome]“ EnableCommonNameFallbackForLocalAnchors” = dword：00000001转到文件>另存为文件名：any_filename.reg保存类型：所有文件

选择文件的首选位置

点击保存

双击保存的文件以运行

在注册表编辑器警告上单击“是”

在Symantec支持页面上找到了以下信息：https : //support.symantec.com/en_US/article.TECH240507.html

为本地开发和测试创建PWA时，提供的答案不适用于我（Chrome或Firefox）。请勿用于生产！我能够使用以下内容：

1. 具有以下选项的在线证书工具站点：
   • 通用名称：添加系统的“ localhost”和IP，例如192.168.1.12
   • 主题备用名称：添加“ DNS” =“ localhost”和“ IP” = <your ip here, e.g. 192.168.1.12>
   • “ CRS”下拉选项设置为“ Self Sign”
   • 所有其他选项均为默认设置
2. 下载所有链接
3. 通过双击将.p7b证书导入Windows，然后选择“安装” / OSX？/ Linux？
4. 使用Google的PWA示例将证书添加到节点应用...
   • 添加const https = require('https'); const fs = require('fs');到server.js文件的顶部
   • return app.listen(PORT, () => { ... });在server.js文件底部注释掉
   • 在下面添加 https.createServer({ key: fs.readFileSync('./cert.key','utf8'), cert: fs.readFileSync('./cert.crt','utf8'), requestCert: false, rejectUnauthorized: false }, app).listen(PORT)

我在Chrome或Firefox中没有更多错误