로컬 호스트 CN에 대한 자체 서명 SSL 인증서를 생성했습니다. Firefox는 예상대로 처음에 불만을 제기한 후 이 인증서를 수락합니다. 그러나 Chrome과 IE는 인증서를 Trusted Roots의 시스템 인증서 저장소에 추가했음에도 불구하고 이를 수락하지 않습니다. "를 클릭하면 인증서가 올바르게 설치된 것으로 표시되지만Chrome's HTTPS 팝업에서 인증서 정보 보기"는 여전히 인증서를 신뢰할 수 없다고 주장합니다.
크롬이 인증서를 수락하고 이에 대한 불평을 멈추려면 어떻게 해야 하나요?
이 협력했습니다 가져다줄래요:
이제 좋은 블루시죠 페이지에 대한 잠급니다 내려받습니다 합니다.
크롬 58 만 사용하는 호스트에서는 코먼나미 식별할 수 있다 ',' [제거한] (https://www.chromestatus.com/feature/4981025180483584). 이제는 그들의 호스트입니다 인증서를 사용할 식별됩니다 서브제크탈트나미 '' (s). [토론 여기서요] (자세한 https://groups.google.com/a/chromium.org/forum/m/ #! topic/security-dev/IGT2fLJrAeo) 및 [버그 트래커 여기서요] (https://bugs.chromium.org/p/chromium/issues/detail? id = 308330). 과거 사용된 인증서 표시 ',' 서브제크탈트나미 대해서만 일부 내부 CA 툴과도 don& 그러하매 호스트 # 39, t 포함시킵니다.
그래서 어떤 방법을 사용하고 직접 서명한 생성하려면 cert (또는 cert 서명됩니다 직접 서명한 CA), 'a' s # 39 server& 확인합니다, cert map_layer 서브제크탈트나미 및 / 또는 / IP, DNS '적절한' 와 ',' s just it& 경우에도 엔트리여야 엔트리입니다 # 39 의 단일 호스트입니다 .
즉, openssl 의 [너회의 OpenSSL 구성용] (https://www.phildev.net/ssl/opensslconf.html) ('/etc/ssl/openssl.cnf' 에 Ubuntu) 는 다음과 같은 단일 호스트입니다 뭔가를해야합니다 합니다.
[v3_ca] # and/or [v3_req], if you are generating a CSR
subjectAltName = DNS:example.com
또는 멀티 호스트에서는:
[v3_ca] # and/or [v3_req], if you are generating a CSR
subjectAltName = DNS:example.com, DNS:host1.example.com, DNS:*.host2.example.com, IP:10.1.2.3
Mac에서는 키체인 액세스 유틸리티를 사용하여 자체 서명된 인증서를 시스템 키체인에 추가할 수 있으며 크롬이 이를 수락합니다. 여기서 단계별 지침을 찾았습니다.
Google Chrome, Mac OS X 및 자체 서명 SSL 인증서
기본적으로:
페이지에 입력하면 BYPASS_SEQUENCE 어디든요 클릭합니다.
',' 티시순자페 " ". 대한 (65) 는 bypass_sequence 크롬 버전
',' 나쁜 생각 " ". 크롬 버전 62 - 64.
'위험' " "; 이전 버전의 크롬 작업하십시오 데 사용할 수 있습니다.
Mac 의 Sierra) 이 높은 찾았다.
[소스코드] 연산뿐 수 있는지 다시 변경했다고 gnu. orghttp://www. 최신값 크롬 (https://chromium.googlesource.com/chromium/src/ +/refs/heads/master/components/security_interstitials/core/browser/resources/interstitial_large.js)
순간, BYPASS_SEQUENCE 찾을 수 있는 것 같습니다.
var BYPASS_SEQUENCE = window.atob('dGhpc2lzdW5zYWZl');
이제는 할꺼이나 위장된 볼 수 있지만, 실제 BYPASS_SEQUENCE 실행할 수 있으며 다음과 같은 줄을 있지만브라우저에 콘솔이군요.
console.log(window.atob('dGhpc2lzdW5zYWZl'));
>. 업데이트 11/2017: 아마도 won& # 39 이 질문에 대한 가장 최신 버전은 Chrome. 빗나갔다.
>. 업데이트 02/2016: [Here] [1] Mac 사용자가 더 나은 방법을 찾을 수 있습니다.
사이트의 주소 표시줄의 아이콘을 마우스 오른쪽 버튼으로 클릭하여 추가할 빨강입니다 잠급니다 enter 이미지 여기에 설명을.
일부 모든 인증서를 다음 작성하든지 . 신뢰할 수 있는 루트 인증 기관 선택한 저장 합니다. # 39 를 선택하고, t Browse. isn& 경우 it. 및 스크립트종료 다음을 클릭합니다.
예 시 보안에 경고야 sub-type)
재시작해야 크롬.
[1]: http://www.robpeck.com/2010/10/google-chrome-mac-os-x-and-self-signed-ssl-certificates/ # .V3ItbVcQl3m
Linux를 사용하는 경우 다음과 같은 공식 Wiki 페이지를 따를 수도 있습니다.
기본적으로:
다음 명령은 인증서를 추가합니다(여기서 YOUR_).FILE은 내보낸 파일):
certutil -d sql:$HOME/.pki/nssdb -A -t "P,," -n YOUR_FILE -i YOUR_FILE
모든 인증서를 나열하려면 다음 명령을 실행합니다.
certutil -d sql:$HOME/.pki/nssdb -L
그래도 작동하지 않으면 다음 버그의 영향을 받을 수 있습니다. 제550호: Ubuntu SSL 오류 8179
추신: 위의 명령을 사용하려면 먼저 libnss3-tools
가 있는지 확인하십시오.
없는 경우 다음을 통해 설치하십시오.
sudo apt-get install libnss3-tools # on Ubuntu
sudo yum install nss-tools # on Fedora, Red Hat, etc.
추가로 다음과 같은 유용한 스크립트를 사용할 수 있습니다.
$ cat add_cert.sh
certutil -d sql:$HOME/.pki/nssdb -A -t "P,," -n $1 -i $1
$ cat list_cert.sh
certutil -d sql:$HOME/.pki/nssdb -L # add '-h all' to see all built-in certs
$ cat download_cert.sh
echo QUIT | openssl s_client -connect $1:443 | sed -ne '/BEGIN CERT/,/END CERT/p'
사용법:
add_cert.sh [FILE]
list_cert.sh
download_cert.sh [DOMAIN]
--auto-ssl-client-auth
매개 변수를 사용하여 Chrome 실행
google-sl-client-auth
Mac 에서, 크롬, 사파리 의해 완전히 신뢰할 수 있는 that& 인증서 만들 수 있습니다 # 39 의 시스템 수준에서 수행여 다음과 같습니다.
<! - 모든 언어: > 랑 배시 -; "'
./create_root_cert_and_key.sh
./create_certificate_for_domain.sh mysite.com
./create_certificate_for_domain.sh www.mysite.com www.mysite.com "'
"'
openssl 루트카스키 아웃해야 헨리사 - 2048년
"'
만약 [- z $1" "; ] 그럼 에코 " 제공하십시오 하위 도메인 인증서를 만들 for";; 에코 ". (예: www.mysite.com ". 종료하십시오. fi
만약 [! f 루트카.펨]; 그럼 에코 & # 39 " 실행하십시오 create_root_cert_and_key.sh";; 첫째, & # 39, 재시도하십시오! 종료하십시오. fi 만약 [! f v3.ext]; 그럼 에코 & # 39 " 다운로드하십시오 v3.ext";; & # 39, 파일 및 재시도하십시오! 종료하십시오. fi
만약 [- f 데비체스키]; 그럼 KEY_OPT = " key" -; 다른 KEY_OPT = " keyout" -; fi
도메인 = $1 = $. $1} {2:-* common_name 제목 = " / / / L / C = O = = = $ COMMON_NAME" None/CN NB CA ST = 없음. 825 num_of_days = 2048년 - - - - - $ key_opt 데비체스키 rsa openssl 필요 새로운 뉴키 뿐만 아니라 sha256 흔들림 감지, $ subject" 노드입니다 ". - 아웃해야 데비 체이치로 sed s/%%domain%%/" $ cat v3.ext common_name", / g >; /tmp/_v3.ext
mv 데비 체이치로 " $ DOMAIN.csr"; cp 데비 체이스트 " $ DOMAIN.crt";
rm - f 데비 체이스트.
에코
에코 완료!
에코 ", 이러한 파일을 모두 사용할 수 있는 서버의 앨리어스가 복제본에 $ 도메인스치르 and". 에코 " 데이터베이스에구성원을 웹 서버 및 사용, so (Apache 경우, 예를 들어) 같은 데비체스키 ". 에코 에코 ". 세르스트리피카트피레 /path_to_your_files/ $ DOMAIN.crt". 에코 ". 세르스트리피카테키피레 /path_to_your_files/device.key". "'
"' 오토리티케이덴티피어 = 케이드, 발급자 ca 거짓값 브라이스컨스트레인츠 = 케이제이지 = 디지털시냐튀르 키렌시퍼먼트 다테렌시퍼먼트 부인 방지,, @alt_names 서브제크탈트나미 =
[alt_names] %%Domain%% dns.1 = "'
크롬, 사파리, 신뢰할 수 있는 완전히 이루어질 수 있도록 자체 서명됨 인증서 인증 기관) 를 위해 필요한 새로운 임포트하려면 승인하십시오 이 지침에 따라 이에 대한 자세한 내용은 Mac. [http://cowcast. creativecow. 미스 프로스리 웹 사이트], 또는 일반적인 프로세스 (http://docs.mitmproxy.org/en/stable/certinstall.html):
2 가지 방법 중 하나를 할 수 있는 http://support. 명령줄이, 이 명령을 사용하여 암호를 묻습니다.
$ sudo security add-trusted-cert -d -r trustRoot -k /Library/Keychains/System.keychain rootCA.pem
사용하여 액세스 '또는' 키홀더 app:
그리고 보너스로 jave 클라이언트 인증서가 신뢰 할 경우, 해당 인증서 표시 가져오기하여 꽂으십시오 jave keystore 그렇게 할 수 있습니다. 이렇게 하면 cert 에서 분리하십시오 keystore 이미 존재하는 경우, 이 때문에 업데이트하려면 셨으며 변했다니까 하는 경우 물론 이와 같이 있을 뿐 이 가져오는 인증서 표시.
KEYSTORE="$(/usr/libexec/java_home)/jre/lib/security/cacerts";
function running_as_root()
{
if [ "$EUID" -ne 0 ]
then echo "NO"
exit
fi
echo "YES"
}
function import_certs_to_java_keystore
{
for crt in *.crt; do
echo prepping $crt
keytool -delete -storepass changeit -alias alias__${crt} -keystore $KEYSTORE;
keytool -import -file $crt -storepass changeit -noprompt --alias alias__${crt} -keystore $KEYSTORE
echo
done
}
if [ "$(running_as_root)" == "YES" ]
then
import_certs_to_java_keystore
else
echo "This script needs to be run as root!"
fi
Re , 와 # 39 의 경우 you& 내보내기의 탭이나 how to get a mac 인증 보이지 않는 이 협력했습니다 가져다줄래요:
이제 이 슬라이드에서는: ! 다른 정보는 물론 여러분과 표시되어야 합니다 아직 트러스트됨으로 (그렇지 않으면 당신은 아마 wouldn& # 39, t be here)
그렇지 않으면. 7. 새로 추가된 두 번 누르면 제공한다. 8. 아래의 경우, 이를 통해 " 변경하십시오 의탁하도록 드롭다운하십시오 certificate". 옵션을 항상 Trust" ";
지금 해야 할 문제가 있는 페이지를 다시 로드하십시오 및 문제 해결! ᄋ "이번 도움이 됩니다.
조금 더 쉽게 만들기 위해 이 다음 스크립트를 사용할 수 있습니다 ([출처] (https://w.wol.ph/2015/03/01/easily-whitelistingadding-self-signed-ssl-certificates-chrome-os/):
<! - 모든 언어: > 랑 sh -;
SERVERNAME = $ ($1" 에코 "; e - E & # 39, sed :\/\///& # 39, s / https? # 39, & # 39 - e s/\/.*//&;) echo $ SERVERNAME" ";
만약 [[" $ SERVERNAME"; = ~ ..]]; 그럼 echo $ SERVERNAME" 인증서를 추가 "; 에코 & # 39 - $ servername 443 뻨을 openssl s_client 접속하십시오 시작한다. certificate-/, sed - ne; / / end certificate-/p& # 39. / tmp / $ 세르베르나메이스트 티 sudo 보안 cert 트러스트되지 추가 - d - k " boot-r 트루스트로트 /library/keychains/system.keychain"; $ 세르베르나메이스트 /tmp/ 다른 에코 " 사용. www.site.name " 0 달러. 에코 " http://로 등 스트립될 automatically", 했다. fi
chmod +x whitelist_ssl_certificate.ssh
./whitelist_ssl_certificate.ssh https://your_website/whatever
There is a secret 우회 구입니다 입력할 수 있는 오류 페이지가 불구하고 크롬 진행하십시오 보안 오류가 있다. 티시순자페 (이전 버전에서는 크롬 mm_mail_doc. 위험, 심지어 앞서 나쁜 생각). 정확히 이해할 수 없는 경우가 아니라면 왜 이 일을 필요로 할 때!
출처:
https://chromium.googlesource.com/chromium/src/ +/d8fc089b62cd4f8d907acff6fb3f5ff58f168697%5e% 21/
참고로, '빈다우드라토브 (& # 39, dghpc2lzdw5zywzl& # 39;)' 를 '보정됩니다 티시순자페')
@ (Https://chromium.googlesource.com/chromium/src/) 는 최신 버전의 소스 및 '에서 실행할 수 있는' 기능을 +/refs/heads/master/components/security_interstitials/core/browser/resources/interstitial_large.js 빈다우드라토브 js 콘솔이군요.
배경 이유에 대한 크롬 고객팀에 변경일 바이패스 구입니다 (처음):
581189? id = https://bugs.chromium.org/p/chromium/issues/detail
일회성 빠르게 진행될 경우 Anyway" "; 이 해킹 제대로 작동하고, disk_b_s10database 바이패스 구입니다 옵션을 사용할 수 없습니다.
https://stackoverflow.com/a/31900210/430128 (및 투표 백업하도록 오토메이티드 의해 @chris)
'broken-remote-site.com:443', 포크하지 tcp 루시데르 소크라트 8090 tcp 들어봐,
인증서 오류뿐만 무시 명령줄이 매개변수입니다 사용할 수 있습니다 '으로 시작하면' 크롬 (apc® 28.0.1500.52 unbuntu 의 버전).
이로 인해 이 오류를 무시하려면 연결하고 경고 없이. 크롬 버전을 실행할 경우 이미 합니다 에서 다시 시작하는 전에 닫으십시오 명령줄이나 새 창을 열 것이라고 하지만 무시하시겠습니까 매개변수입니다.
내가 이렇게 시작할 수 있으므로, 테스트 서버가 수행할 때 린텔리 구성하시겠습니까 크롬 디버깅하지 귀의하지않는다고 유효함 인증서.
내가 이렇게 wouldn& # 39, 검색 등 정상적인 t 추천합니까 표시되어도 인증서 점검이 중요한 보안 기능이 있지만, 이는 일부 도움이 될 수 있습니다.
내가 @Brad 오토메이티드 등이 뒤를 이었다. Windows 의 루트 인증서를 당국이 루트카.펨 임포트합니다 신뢰할 수 있는 저장 합니다.
I did 다음 단계:
openssl genrsa -out rootCA.key 4096
openssl req -x509 -new -nodes -key rootCA.key -newkey rsa:4096 -sha256 -days 1024 -out rootCA.pem
openssl req -new -newkey rsa:4096 -sha256 -nodes -keyout device.key -out device.csr
openssl x509 -req -in device.csr -CA rootCA.pem -CAkey rootCA.key -CAcreateserial -out device.crt -days 2000 -sha256 -extfile v3.ext
여기서 v3.ext 입니다.
authorityKeyIdentifier=keyid,issuer
basicConstraints=CA:FALSE
keyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment
subjectAltName = @alt_names
[alt_names]
DNS.1 = localhost
IP.1 = 192.168.0.2
IP.2 = 127.0.0.1
나는 그때 내 경우 자체 호스팅된 웹 애플리케이션, 그래서 내가 가진 인증서를 바인딩해야 하는 IP 주소와 포트, 인증서 및 민간 주요 정보, 그래서 내 백화점 형식을 파스 내보내집니다 에 있어야 합니다.
openssl pkcs12 -export -out device.pfx -inkey device.key -in device.crt
콘솔 (mmc) 와 (파일 / / / 추가 / 콤프터스 인증서를 추가 / 제거 스냅인을 Account/LocalComputer/OK) I 임포트한 파스 파일을 개인 선보였다.
나중에 나는 이 명령을 사용할 바인딩하도록 인증서 (하테프콘피그 도구를 사용할 수도 있습니다).
netsh http add sslcert ipport=0.0.0.0:12345 certhash=b02de34cfe609bf14efd5c2b9be72a6cb6d6fe54 appid={BAD76723-BF4D-497F-A8FE-F0E28D3052F4}
인증서 트럼프린트 체사시 =
응용 프로그램 id GUID (원하는) =
첫 번째 시도는 해봤는데 임포트하십시오 인증서 " device.crt"; 그러나 당국은 여전히 I& # 39 m, 여러 가지 방법으로 얻을 수 있는 신뢰할 수 있는 루트 인증서를 동일한 오류:
하지만 내가 아니라는 사실을 깨달은 것은 루트 인증서 가져오기 인증서 도메인에 대한 권한. 그래서 사용되는 mmc 콘솔 (파일 / / / 추가 / 콤프터스 인증서를 추가 / 제거 스냅인을 Account/LocalComputer/OK) I 임포트한 루트카.펨 신뢰할 수 있는 루트 인증서를 당국이 선보였다.
함께 로컬호스트:
또는 과 IP 주소:
즉, 내가 할 수 없는 유일한 이 템플릿에는 비활용 암호 (붉은 광장 켜짐이 사진). 이 점에 대해 도움말에서는 보내주시면 감사하겠습니다.
마이크스트 SAN 정보를 추가할 수 있는 것은 아니다. 또한 새로운 셀프시녜드스트리피카테 (powershell) 와 san 정보를 추가할 수 있다 "고 답했다.
사이트에서 제공하는 주소가 증명서와 동일한 것이 확실한가요? 크롬과 자체 서명된 인증서에 대해서도 같은 문제가 있었지만, 결국 인증서에 있는 도메인 이름의 검증에 대해 믿을 수 없을 정도로 까다롭다는 것을 알게 되었습니다.
크롬은 자체 상점을 가지고 있지 않으며 윈도우를 사용하고 있다. 하지만 크롬은 상점으로 인증서를 가져올 수 있는 방법이 없으므로 IE를 통해 인증서를 추가해야 합니다.
또한 자체 서명된 인증서를 생성하기 위한 몇 가지 다른 접근 방식을 살펴봅니다(I'm은 언급한 것처럼 IIS를 사용하고 있다고 가정합니다).
내가 어떤 과정을 통해 비너드 제안됩니다 하는 것은 오히려 줄었다. [구글 크롬, 맥 OS X 과 직접 서명한 SSL 인증서] [1]
그러나 블로그 글 중 sanlight gold:
d - k /Library/Keychains/System.keychain cert 트러스트되지 추가 boot-r 트루스트로트 시테리스트 '보안' sudo
[1]: http://www.robpeck.com/2010/10/google-chrome-mac-os-x-and-self-signed-ssl-certificates/ # .VwV0xxMrJTY
Ssl 인증서 표시 관리를 위한 GUI 에 Linux 에서 크로미엄 가져다줄래요 제대로 작동하지 않았다. 그러나 그 문서 정확한 답을 주었다. 하지만 당시 이 명령을 실행할 수 있는 SSL 인증서 그냥 이름 아래 직접 서명한 임포트합니다 업데이트하십시오 ',', '와' certificate-filename.cer < certificate-nickname> 어졌다면 재시작해야 크롬 / 크롬.
>. Linux 에서 크로미엄 soundmixer. NSS 공유됨 DB. 그 후 인증서를 사용할 수 없는 경우 내장현 관리자에서는 당신꺼에요 NSS 명령행을 툴과도 통해 구성할 수 있습니다.
>. 내려받습니다 툴과도
>. - 데비안 / unbuntu: sudo apt 확보하십시오. install libnss3 툴과도 ''
>. - 존재한다. ',' yum install nss-tools" " promi - c.
>. - 젠투: '에코 & # 39 - c # 39 개발 라이브러리 / nss utils& promi ";; > >; /etc/portage/package.use & &; dev-libs/nss" 등장하며, ' (rec.601 시작해야 할 모든 명령 아래', '예' 와 'nss 접미어입니다 산서투틸.) 오픈수세: sudo 지프 nss 툴과도 mizilla '설치'
>. 서버 인증서를 사용할 수 있도록 해야 한다고 의탁하도록 직접 서명한
>. - A - d, P, t '세르투틸 sql: $ HOME/.pki/nssdb " ,". 뻨을 < certificate-nickname>; - i certificate-filename.cer '
>. 모든 인증서를 목록
>. d - L '' 세르투틸 HOME/.pki/nssdb sql: $
>. 이 세 가지 문장열 트루스타리스 알파벳 문자가 전혀 없는 이상, 쉼표로. 그들은 어떻게 정의할 수 있으며, SSL 인증서 /dev/raw/raw200 대해 신뢰할 수 있는, 이메일, 문서 또는 Meena& 사인오프하는 객체에는 설명한 세르투틸 # 39 의 블로그 포스트에 의탁하도록 기.
>. 추가하기에서는 개인 인증서 및 개인 키를 SSL client authentication Command: 사용합니다를
>. i 'd' HOME/.pki/nssdb PKCS12_file.p12 pk12util - sql: $ >. 개인 인증서 및 개인 키 저장됩니까 임포트하려면 PKCS # 12 절실해졌습니다. 이 중 트루스타리스 "u, u,u" 개인 인증서 설정됩니다.
>. 인증서 삭제하시겠습니까 d - D '세르투틸 sql: $ HOME/.pki/nssdb 뻨을 <, 인증서 nickname>.'
[1]: +/head/docs/linux_cert_management.md https://chromium.googlesource.com/chromium/src/
옆에 자물쇠 아이콘을 클릭하면 아웃해야 리틀이에요 초과, ll get a # 39 url 을 you& 기입란 보았으매 다음과 같습니다.
, 링크를 클릭한 후 인증서 정보를 you& # 39, ll see 다음 대화:
또 다른 방법 중 하나를 사용할 수 있습니다 아웃라인된 인증서를 추가 답변을 해당 저장소나 사용:
certutil -addstore -user "ROOT" cert.pem
하지만 내가 만든 이 게시물은 이미 물에 응답을 통해 a 배시 스크립트에 대한 일부 다른 기준으로 쉽게 발령합니다 크롬 (Chrome 65.x 테스트되었습니다 '에서') 에서 직접 서명한 ttls 인증서 유효함. # 39 의 it& 다른 데 있다.
[자체 서명됨 ttls bash 스크립트입니다] (https://github.com/loganstellway/self-signed-ssl)
( 및 의탁하도록 ) 을 설치한 후 인증서, t forget 재시작하려면 don& # 39, 크롬 ('chrome://restart')
[cf슬러] (https://github.com/cloudflare/cfssl)
그리고 어떤 그것으로이라엘 작동합니까 설명하였노라 찾았다. 임포팅 선택할 때 적합한 범주입니다, 즉 신뢰할 수 있는 루트 인증 기관을 :
(미안해 # 39 의 이미지를 준수하십시오 it& 한 것이 아니라, 독일)
<! - 언어: > 랑 배시 -;
openssl 필요\
구글 크롬, 그래서 이 페이지 에서 새로고칩니다 https://domain.dev 블루시죠 좉툑 매력.