localhost CN の自己署名 SSL 証明書を作成しました。Firefox は、予想どおり、最初に不平を言った後、この証明書を受け入れます。ただし、信頼されたルートの下のシステム証明書ストアに証明書を追加した後でも、Chrome と IE はそれを受け入れることを拒否します。Chrome の HTTPS ポップアップで [証明書情報の表示] をクリックすると、証明書が正しくインストールされていると表示されますが、それでも証明書は信頼できないと主張します。
Chrome に証明書を受け入れてもらい、それについて不平を言わないようにするにはどうすればよいですか?
localhostのみ_これをクロムに貼り付けるだけです:
chrome://flags/#allow-insecure-localhost
強調表示されたテキストが表示されるはずです: localhost からロードされたリソースに対して無効な証明書を許可する
をクリックしEnableます。
-また-
入力してみてください:これはウィンドウのどこでも 安全 ではなく、ブラウザはページにアクセスできるはずです。[リンク]
-また-
難解なコマンド、専門知識、および手動の手順を回避するローカルの自己署名証明書については、 mkcertを試してください。
これは私のために働いた:
Chrome Settings > Show advanced settings > HTTPS/SSL > Manage Certificates。Authorities下にスクロールし、証明書に付けた組織名の下にある証明書を見つけます。これで、ページに素敵な緑色のロックが表示されるはずです。
編集:新しいマシンでこれを再試行しましたが、赤い信頼できない証明書ページから続行するだけで、証明書の管理ウィンドウに証明書が表示されませんでした。私は次のことをしなければなりませんでした:
https://赤で取り消し線が引かれている) が表示されているページで、ロック > [証明書情報] をクリックします。注: Chrome の新しいバージョンでは、 を開いてDeveloper Tools > Securityを選択する必要がありますView certificate。Details tab > Exportます。PKCS #7, single certificateファイル形式として選択します。Authorities tab > Import、証明書をエクスポートしたファイルを選択 PKCS #7, single certificate し、ファイル タイプとしてを選択してください。Mac では、Keychain Access ユーティリティを使用して自己署名証明書をシステム キーチェーンに追加すると、Chrome がそれを受け入れます。ここでステップバイステップの手順を見つけました:
Google Chrome、Mac OS X、および自己署名 SSL 証明書
基本的:
Linux を使用している場合は、次の公式 wiki ページをフォローすることもできます。
基本的:
ここで、次のコマンドは証明書を追加します (YOUR_FILE はエクスポートされたファイルです)。
certutil -d sql:$HOME/.pki/nssdb -A -t "P,," -n YOUR_FILE -i YOUR_FILE
すべての証明書を一覧表示するには、次のコマンドを実行します。
certutil -d sql:$HOME/.pki/nssdb -L
それでも機能しない場合は、次のバグの影響を受ける可能性があります: 問題 55050: Ubuntu SSL エラー 8179
libnss3-toolsPS上記のコマンドを使用する前に、 があることも確認してください。
お持ちでない場合は、次の方法でインストールしてください。
sudo apt-get install libnss3-tools # on Ubuntu
sudo yum install nss-tools # on Fedora, Red Hat, etc.
おまけとして、次の便利なスクリプトを使用できます。
$ cat add_cert.sh
certutil -d sql:$HOME/.pki/nssdb -A -t "P,," -n $1 -i $1
$ cat list_cert.sh
certutil -d sql:$HOME/.pki/nssdb -L # add '-h all' to see all built-in certs
$ cat download_cert.sh
echo QUIT | openssl s_client -connect $1:443 | sed -ne '/BEGIN CERT/,/END CERT/p'
使用法:
add_cert.sh [FILE]
list_cert.sh
download_cert.sh [DOMAIN]
--auto-ssl-client-authパラメータを指定して Chrome を実行する
google-chrome --auto-ssl-client-auth
テスト環境の場合
chrome を起動するときにコマンド ライン パラメーターとして使用できます--ignore-certificate-errors(Ubuntu のバージョン 28.0.1500.52 で作業中)。
これにより、エラーが無視され、警告なしで接続されます。既に Chrome のバージョンを実行している場合は、コマンド ラインから再起動する前にこれを閉じる必要があります。そうしないと、新しいウィンドウが開きますが、パラメーターは無視されます。
テストサーバーには有効な証明書がないため、デバッグを行うときにこの方法でクロムを起動するように Intellij を構成します。
ただし、証明書のチェックは重要なセキュリティ機能であるため、このような通常のブラウジングはお勧めしませんが、これが役立つ場合もあります。
誰かが指摘したように、ブラウザ ウィンドウだけでなく、Chrome をすべて再起動する必要があります。これを行う最も簡単な方法は、タブを開いて...
chrome://restart
Filippo Valsorda は、多くのトラスト ストアmkcertに対してこれを行うためのクロスプラットフォーム ツール を作成しました。この質問に対する答えが非常に多いのと同じ理由で、彼はそれを書いたと思います。信頼されたルート CA によって署名された証明書に対して「正しい」ことをするのは面倒です。SubjectAltName
mkcertWindows、macOS、およびいくつかの Linux フレーバーの主要なパッケージ管理システムに含まれています。これは、強力な機能のテストのステップ 4 の Chromium ドキュメントにも記載されています。
mkcert
mkcertは、ローカルで信頼できる開発証明書を作成するためのシンプルなツールです。構成は必要ありません。$ mkcert -installCreated a new local CA at "/Users/filippo/Library/Application Support/mkcert" The local CA is now installed in the system trust store! ⚡️ The local CA is now installed in the Firefox trust store (requires browser restart)!$ mkcert example.com "*.example.com" example.test localhost 127.0.0.1 ::1Using the local CA at "/Users/filippo/Library/Application Support/mkcert" ✨ Created a new certificate valid for the following names - "example.com" - "*.example.com" - "example.test" - "localhost" - "127.0.0.1" - "::1" The certificate is at "./example.com+5.pem" and the key at "./example.com+5-key.pem" ✅
サイトが提供されているアドレスが証明書と同じであると確信していますか? Chrome と自己署名証明書で同じ問題が発生しましたが、最終的には、証明書のドメイン名の検証について非常にうるさいことがわかりました (そうあるべきです)。
Chrome には独自の証明書ストアがなく、Windows 独自のものを使用します。ただし、Chrome では証明書をストアにインポートする方法がないため、代わりに IE を使用して追加する必要があります。
Internet Explorer への証明書のインストール
また、自己署名証明書を作成するためのいくつかの異なるアプローチについては、これを参照してください (言及していないので、IIS を使用していると想定しています)。
これは私にとってはうまくいきました。参照: http://www.robpeck.com/2010/10/google-chrome-mac-os-x-and-self-signed-ssl-certificates/#.Vcy8_ZNVhBc
アドレスバーで、X が付いた小さな錠前をクリックします。これにより、小さな情報画面が表示されます。「証明書情報」というボタンをクリックします。
画像をクリックしてデスクトップにドラッグします。小さな証明書のように見えます。
それをダブルクリックします。これにより、キーチェーン アクセス ユーティリティが表示されます。パスワードを入力してロックを解除します。
ログインキーチェーンではなく、システムキーチェーンに証明書を追加してください。これは何もしないように見えますが、[常に信頼する] をクリックします。
追加したら、ダブルクリックします。再度認証する必要がある場合があります。
[信頼] セクションを展開します。
「この証明書を使用する場合」を「常に信頼する」に設定
Windows 上の Chrome の修正。
まず、証明書をエクスポートする必要があります。
インポートするには
URL の横にある小さな取り消し線のロック アイコンをクリックすると、次のようなボックスが表示されます。
[証明書情報]リンクをクリックすると、次のダイアログが表示されます。
どの証明書ストアが正しいかを示します。信頼されたルート証明機関ストアです。
他の回答で概説されている方法のいずれかを使用して、証明書をそのストアに追加するか、次を使用できます。
certutil -addstore -user "ROOT" cert.pem
ROOT前述の証明書ストアの内部名です。cert.pem自己署名証明書の名前です。MacOS 上の Chrome の場合、証明書を準備している場合:
Mac / osx での SSL / HTTPS localhost の修正:
https localhost 環境を開こうとしているときに、アドレス バーの十字の付いた赤いロックをクリックします。証明書に関する情報を含むウィンドウが開きます。
「詳細」 情報ウィンドウをクリックします
「システム」キーチェーンに追加します(デフォルトで選択されている「ログイン」キーチェーンではありません)。
キーチェーンを (再度) 開き、証明書を見つけます。それをクリックして、すべて「信頼」していることを確認してください。
クロムを再起動すると、動作するはずです。
同じ問題が発生していました。証明書を Windows の信頼されたルート認証局ストアにインストールしましたが、Chrome は引き続き証明書を拒否し、エラーが発生しましERR_CERT_COMMON_NAME_INVALIDた。証明書がストアに正しくインストールされていない場合、エラーはERR_CERT_AUTHORITY_INVALID.
エラーの名前、このコメント、およびこの質問で示唆されているように、問題は証明書で宣言されたドメイン名にありました。証明書の生成中に「共通名」の入力を求められたとき、サイトへのアクセスに使用していたドメイン名を入力するlocalhost必要がありました (私の場合)。を使用してChromeを再起動しchrome://restartましたが、最終的にこの新しい証明書に満足しました。
これは、特に Mac OS X Yosemite の Google Chrome で発生し続けている問題です。
ありがたいことに、開発チームの 1 人が今日このリンクを送ってくれました。この方法は確実に機能し、証明書を受け入れるサイトを制御することもできます。
jersully の投稿:
内部証明書に煩わされたくない場合...
chrome://flags/アドレスバーに入力します。- [決定を記憶する] までスクロールするか検索して、指定された期間、SSL エラーを処理します。
- [3 か月間記憶する] を選択します。
Windows 10 でローカルでテストする場合、上記の回答はどれも役に立ちませんでした
https://localhost:<port>.
ただし、このページを見つけて、渡す別のフラグを示しています。
https://www.chromium.org/blink/serviceworker/service-worker-faq
自己署名証明書を使用してhttps://localhostでテストする場合は、次のようにします。
$ ./chrome --allow-insecure-localhost https://localhost
これで赤い警告が消えたわけではありませんが、Service Worker や Web プッシュ通知などの https 専用機能を使用できるようになりました。
openssl の代わりに Java 8 keytool.exe のみを使用するソリューションを次に示します。
@echo off
set PWD=changeit
set DNSNAME=%COMPUTERNAME%
echo create ca key
keytool -genkeypair -alias ca -keystore test.jks -keyalg RSA -validity 3650 -ext bc:critical=ca:true -dname "CN=CA" -storepass:env PWD -keypass:env PWD
echo generate cert request for ca signing
keytool -certreq -keystore test.jks -storepass:env PWD -alias ca -file ca.csr -ext bc:critical=ca:true
echo generate signed cert
keytool -gencert -keystore test.jks -storepass:env PWD -alias ca -infile ca.csr -outfile ca.cer -validity 3650 -ext bc:critical=ca:true
echo CA created. Import ca.cer in windows and firefox' certificate store as "Trusted CA".
pause
echo create server cert key for %DNSNAME%
keytool -genkeypair -alias leaf -keystore test.jks -keyalg RSA -validity 3650 -ext bc=ca:false -ext san=dns:%DNSNAME%,dns:localhost,ip:127.0.0.1 -dname "CN=Leaf" -storepass:env PWD -keypass:env PWD
echo generate cert request
keytool -certreq -keystore test.jks -storepass:env PWD -alias leaf -file leaf.csr -ext bc=ca:false -ext san=dns:%DNSNAME%,dns:localhost,ip:127.0.0.1
echo generate signed cert
keytool -gencert -keystore test.jks -storepass:env PWD -alias ca -infile leaf.csr -outfile leaf.cer -validity 3650 -ext bc=ca:false -ext san=dns:%DNSNAME%,dns:localhost,ip:127.0.0.1
rem see content
rem keytool -printcert -file leaf.cer -storepass:env PWD
echo install in orig keystore
keytool -importcert -keystore test.jks -storepass:env PWD -file leaf.cer -alias leaf
echo content of test.jks:
keytool -list -v -storepass:env PWD -keystore test.jks
pause
ファイルの代わりにパイプを使用することもできますが、ファイルを使用すると、問題が発生した場合に中間結果を確認できます。Windows では IE11、Edge、FF54、Chrome60、Android では Chrome60 で SSL テスト済み。
スクリプトを使用する前に、デフォルトのパスワードを変更してください。