无效的自签名SSL证书-“缺少主题备用名称”

最近，Chrome浏览器已停止使用我的自签名SSL证书，并认为它们不安全。当我查看DevTools | Security选项卡中的证书时，我可以看到它说

缺少主题备用名称此站点的证书不包含主题备用名称扩展名，该扩展名包含域名或IP地址。

证书错误站点的证书链（net :: ERR_CERT_COMMON_NAME_INVALID）出现问题。

我怎样才能解决这个问题？

要解决此问题openssl，基本上，您在创建证书时需要提供一个额外的参数

-sha256 -extfile v3.ext

v3.ext像这样的文件在哪里，用%%DOMAIN%%与您使用的相同名称替换Common Name。更多信息在这里和在这里。请注意，通常您会将Common Nameand 设置为%%DOMAIN%%您要为其生成证书的域。因此，如果是www.mysupersite.com，则将两者同时使用。

v3.ext

authorityKeyIdentifier=keyid,issuer
basicConstraints=CA:FALSE
keyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment
subjectAltName = @alt_names

[alt_names]
DNS.1 = %%DOMAIN%%

注意：可在此处找到解决此问题并创建完全受信任的ssl证书以在Chrome，Safari和Java客户端中使用的脚本。

另一个注意事项：如果您要做的只是在查看自签名证书时阻止chrome抛出错误，则可以通过使用特殊的命令行选项启动Chrome来告诉Chrome忽略所有网站的所有SSL错误，如此处所述在超级用户上

以下解决方案适用于chrome 65（ref）-

创建一个OpenSSL配置文件（例如：req.cnf）

[req]
distinguished_name = req_distinguished_name
x509_extensions = v3_req
prompt = no
[req_distinguished_name]
C = US
ST = VA
L = SomeCity
O = MyCompany
OU = MyDivision
CN = www.company.com
[v3_req]
keyUsage = critical, digitalSignature, keyAgreement
extendedKeyUsage = serverAuth
subjectAltName = @alt_names
[alt_names]
DNS.1 = www.company.com
DNS.2 = company.com
DNS.3 = company.net

创建引用此配置文件的证书

openssl req -x509 -nodes -days 730 -newkey rsa:2048 \
 -keyout cert.key -out cert.pem -config req.cnf -sha256

Bash脚本

我创建了一个bash脚本，以使其更易于生成在Chrome中有效的自签名TLS证书。

• 自签名-tls bash脚本

经过测试Chrome 65.x，它仍然可以正常工作。安装新证书后，请确保重新启动Chrome。

chrome://restart

其他资源

另一个值得一试的（更强大）的工具是CloudFlare的cfssl工具包：

• cfssl

我只是使用-subj添加机器IP地址的参数。因此仅用一个命令即可解决。

sudo openssl req -x509 -nodes -days 3650 -newkey rsa:2048 -sha256 -subj '/CN=my-domain.com/subjectAltName=DNS.1=192.168.0.222/' -keyout my-domain.key -out my-domain.crt

您可以添加其他属性（例如C，ST，L，O，OU，emailAddress）来生成证书，而无需提示。

在MacOS / Chrome上使用自签名证书时，我遇到了很多问题。最终，我找到了Mkcert，“一个简单的零配置工具，可以使用您想要的任何名称制作本地信任的开发证书。” https://github.com/FiloSottile/mkcert

• 在您的主目录中复制您的OpenSSL配置：

  cp /System/Library/OpenSSL/openssl.cnf ~/openssl-temp.cnf
  

  或在Linux上：

  cp /etc/ssl/openssl.cnf ~/openssl-temp.cnf
  

• openssl-temp.cnf在下的，添加主题备用名称[v3_ca]：

  [ v3_ca ]
  subjectAltName = DNS:localhost
  

  替换localhost为要为其生成证书的域。

• 生成证书：

  sudo openssl req -x509 -nodes -days 365 -newkey rsa:2048 \
      -config ~/openssl-temp.cnf
      -keyout /path/to/your.key -out /path/to/your.crt
  

然后可以删除 openssl-temp.cnf

通过更改v3.ext文件的DNS.1值，我能够摆脱（net :: ERR_CERT_AUTHORITY_INVALID）

[alt_names] DNS.1 = domainname.com

用您自己的域更改domainname.com。

在 从Chrome版本67.0.3396.99开始的MAC上，我的自签名证书停止工作。

用这里写的所有内容都无法重新生成。

更新

有机会确认我的方法今天有效：)。如果对您不起作用，请确保您正在使用此方法

v3.ext
authorityKeyIdentifier=keyid,issuer
basicConstraints=CA:FALSE
keyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment
subjectAltName = @alt_names

[alt_names]
DNS.1 = <specify-the-same-common-name-that-you-used-while-generating-csr-in-the-last-step>
$

从此处复制 https://ksearch.wordpress.com/2017/08/22/generate-and-import-a-self-signed-ssl-certificate-on-mac-osx-sierra/

结束更新

最终只有从系统中删除我的证书并将其添加到本地钥匙串后，才能看到绿色的安全。（如果有，请先删除）。不知道它是否有效，但就我而言，我是通过chrome下载证书的，并确认创建日期是今天-因此它是我刚创建的日期。

希望这对像一天这样的人有用。

永远不要更新Chrome！

这是创建Chrome将信任的IP证书的非常简单的方法。

ssl.conf文件...

[ req ]
default_bits       = 4096
distinguished_name = req_distinguished_name
req_extensions     = req_ext
prompt             = no

[ req_distinguished_name ]
commonName                  = 192.168.1.10

[ req_ext ]
subjectAltName = IP:192.168.1.10

当然，192.168.1.10是我们希望Chrome信任的本地网络IP。

创建证书：

openssl genrsa -out key1.pem
openssl req -new -key key1.pem -out csr1.pem -config ssl.conf
openssl x509 -req -days 9999 -in csr1.pem -signkey key1.pem -out cert1.pem -extensions req_ext -extfile ssl.conf
rm csr1.pem

在Windows上，将证书导入所有客户端计算机上的“受信任的根证书存储”。在Android手机或平板电脑上，下载证书以进行安装。现在，Chrome将信任Windows和Android上的证书。

在Windows dev框上，获取openssl.exe的最佳位置是从“ c：\ Program Files \ Git \ usr \ bin \ openssl.exe”

如果要运行服务器本地主机，则需要设置CN = localhost和DNS.1 = localhost。

[req]
default_bits = 2048
default_md = sha256
distinguished_name = req_distinguished_name
prompt = no
prompt = no
x509_extensions = v3_req

[req_distinguished_name]
C = BR
CN = localhost
emailAddress=contact@example.com
L = Sao Paulo
O = example.com
OU = example.com
ST = Sao Paulo

[v3_req]
authorityKeyIdentifier = keyid, issuer
basicConstraints = CA:FALSE
extendedKeyUsage = serverAuth
keyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment
subjectAltName = @alt_names

[alt_names]
DNS.1 = localhost