关于谷歌浏览器：无效的自签名SSL证书 – “主题备用名称丢失”

Invalid self signed SSL cert - “Subject Alternative Name Missing”

最近，Chrome已停止使用我自己签署的SSL证书，并认为它们不安全。当我在DevTools | Security标签中查看证书时，我可以看到它说

Subject Alternative Name Missing The certificate for this site does
not contain a Subject Alternative Name extension containing a domain
name or IP address.

Certificate Error There are issues with the site's certificate chain
(net::ERR_CERT_COMMON_NAME_INVALID).

我怎样才能解决这个问题？

相关讨论

要解决此问题，您需要在创建证书时为openssl提供额外的参数

-sha256 -extfile v3.ext

其中v3.ext是这样的文件，%%DOMAIN%%替换为您用作Common Name的相同名称。更多信息在这里和这里。请注意，通常您将Common Name和%%DOMAIN%%设置为您尝试为其生成证书的域。所以，如果它是www.mysupersite.com，那么你就可以使用它。

v3.ext

1
2
3
4
5
6
7

authorityKeyIdentifier=keyid,issuer
basicConstraints=CA:FALSE
keyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment
subjectAltName = @alt_names

[alt_names]
DNS.1 = %%DOMAIN%%

注意：可以在此处找到解决此问题的脚本，并创建用于Chrome，Safari和Java客户端的完全受信任的ssl证书

另一个注意事项：如果你想要做的就是在查看自签名证书时阻止chrome抛出错误，你可以通过一个特殊的命令行选项告诉Chrome忽略所有站点的所有SSL错误，详见此处在SuperUser上

相关讨论

如何使用XAMPP C： xampp apache makecert.bat批处理文件？
不确定您正在使用哪个版本的XAMPP，但如果您在该文件中查找包含"openssl x509"的行，则应该能够将上述内容添加到文件中该行的末尾。例如，这个版本的makecert.bat在第9行有它，最终会是：bin\openssl x509 -in server.csr -out server.crt -req -signkey server.key -days 365 -sha256 -extfile v3.ext。当然，您仍需要将v3.ext 保存到同一文件夹中的文件中。
谢谢，它工作!!但是，如下面的答案所示，我仍然得到"NET :: ERR_CERT_AUTHORITY_INVALID"我像往常一样将证书添加为受信任的根证书，但它不起作用。但是"主题替代名称缺失"问题已解决......
@Tarik - 不能肯定，因为我不在Windows上，但尝试使用此处详述的过程导入我认为在xampp/apache文件夹中的文件privkey.pem。这可能会解决你的权威问题。
您认为问题与密钥文件与新证书不匹配有关吗？但makecert.bat在制作证书时使用密钥？请参阅此处：bin openssl req -new -out server.csr bin openssl rsa -in privkey.pem -out server.key bin openssl x509 -in server.csr -out server.crt -req -signkey server.key - 天365 -sha256 -extfile v3.ext
在尝试了所有内容后我放弃了chrome并继续使用其他浏览器。几天后，今天我检查了铬，它的工作原理！ Chrome可能有一个错误，他们修复了它。主题替代名称缺失的方法有效!!!!只需在浏览器中添加受信任的根证书下的认证即可。
我正在unknown option -extfile。我该如何解决？
@NickManning - 也许你在错误的openssl命令中使用extfile指令？它不是在openssl req -new ...中使用，而是在openssl x509 -req ...中使用。至少这就是有人在这里所说的，从我在另一个答案中的例子中我看到了如何完全生成这些证书的类似问题
谢谢@BradParks ......看起来好像是问题所在。但是现在许多其他标志都不起作用，所以我必须弄清楚如何完全重写命令(有点困难，因为我没有经验)。我正在从ishan.co/ssl-vagrant-local做openssl req -new -x509 -key example.com.key -out example.com.cert -days 3650 -subj /CN=example.com
嗯....很难说...如果你在Mac上，你应该能够尝试我的方式来生成证书....我实际上使用的方式与ishan.co完全相同，这有点酷;-)
"为openssl提供额外的参数"具体到哪个命令？涉及多个步骤，这个答案太模糊了：ibm.com/support/knowledgecenter/en/SSWHYP_4.0.0/…
@ user145400 - 您可以使用答案底部链接的示例脚本来详细了解其工作原理。它类似于以下内容，但需要更多细节，这些脚本可以解决这些问题：openssl req -new -newkey rsa:2048 -sha256 -nodes -keyout device.key -subj SUBJECT="/C=CA/ST=None/L=NB/O=None/CN=www.yourdomain.com" -out device.csr
我得到error loading the config file 'v3.ext'我做错了什么？
@ Yajairo87 - 您是否将DNS.1 = %%DOMAIN%%行更改为您尝试为其创建证书的域名？
绝对有效！谢谢！

以下解决方案为我在chrome 65(ref)上工作 -

创建一个OpenSSL配置文件(例如：req.cnf)

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19

[req]
distinguished_name = req_distinguished_name
x509_extensions = v3_req
prompt = no
[req_distinguished_name]
C = US
ST = VA
L = SomeCity
O = MyCompany
OU = MyDivision
CN = www.company.com
[v3_req]
keyUsage = critical, digitalSignature, keyAgreement
extendedKeyUsage = serverAuth
subjectAltName = @alt_names
[alt_names]
DNS.1 = www.company.com
DNS.2 = company.com
DNS.3 = company.net

创建引用此配置文件的证书

1 2	openssl req -x509 -nodes -days 730 -newkey rsa:2048 \ -keyout cert.key -out cert.pem -config req.cnf -sha256

相关讨论

我创建了一个bash脚本，以便更轻松地生成在Chrome中有效的自签名TLS证书。

self-signed-tls bash script

安装证书后，请确保重新启动chrome(chrome://restart)。在Chrome 65.x上测试它仍然有效。

值得一试的另一个(更强大的)工具是CloudFlare的cfssl工具包：

cfssl

相关讨论

我只是使用-subj参数添加机器的ip地址。所以只用一个命令解决了。

1	sudo openssl req -x509 -nodes -days 3650 -newkey rsa:2048 -sha256 -subj '/CN=my-domain.com/subjectAltName=DNS.1=192.168.0.222/' -keyout my-domain.key -out my-domain.crt

您可以添加其他属性，如C，ST，L，O，OU，emailAddress，以生成证书而不会被提示。

相关讨论

在主目录中制作OpenSSL配置的副本：

1
cp /System/Library/OpenSSL/openssl.cnf ~/openssl-temp.cnf

或者在Linux上：

1
cp /etc/ssl/openssl.cnf ~/openssl-temp.cnf
在[v3_ca]下将主题备用名称添加到openssl-temp.cnf：

1
2
[ v3_ca ]
subjectAltName = DNS:localhost

将localhost替换为要为其生成该证书的域。
生成证书：

1
2
3
sudo openssl req -x509 -nodes -days 365 -newkey rsa:2048 \
-config ~/openssl-temp.cnf
-keyout /path/to/your.key -out /path/to/your.crt

然后，您可以删除openssl-temp.cnf

在MAC上
从chrome版本67.0.3396.99开始，我的自签名证书停止工作。

所有写在这里的东西再生都没有用。

UPDATE

有机会确认我的方法今天有效:)。如果它不起作用，请确保您使用此方法

1
2
3
4
5
6
7
8
9

v3.ext
authorityKeyIdentifier=keyid,issuer
basicConstraints=CA:FALSE
keyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment
subjectAltName = @alt_names

[alt_names]
DNS.1 = <specify-the-same-common-name-that-you-used-while-generating-csr-in-the-last-step>
$

从这里复制
Generate and import a Self-Signed SSL certificate on Mac OS X Sierra

结束更新

最后只有在从系统中删除我的证书时才能看到绿色安全，并将其添加到本地钥匙串。 (如果有的话 - 首先丢弃它)。不确定它是否匹配，但在我的情况下，我通过chrome下载了证书，并确认创建日期是今天 - 所以它是我刚创建的那个。

希望有人花一天时间来帮助它。

永远不会更新铬！

通过更改v3.ext文件的DNS.1值，我能够摆脱(net :: ERR_CERT_AUTHORITY_INVALID)

[alt_names]
DNS.1 = domainname.com

使用您自己的域名更改domainname.com。