無効な自己署名SSL証明書-「Subject Alternative Name Missing」

最近、Chromeは私の自己署名SSL証明書の使用を停止し、それらは安全ではないと考えています。DevTools | Securityタブで証明書を見ると、それが言うことがわかります

サブジェクトの別名がありませんこのサイトの証明書には、ドメイン名またはIPアドレスを含むサブジェクトの別名拡張が含まれていません。

証明書エラーサイトの証明書チェーン（net :: ERR_CERT_COMMON_NAME_INVALID）に問題があります。

どうすれば修正できますか？

これを修正opensslするには、証明書を作成するときに、基本的に追加のパラメーターを指定する必要があります。

-sha256 -extfile v3.ext

どこv3.extで、そのようなファイルである%%DOMAIN%%、あなたのように使用と同じ名前に置き換えCommon Name。詳細はこちらとこちらをご覧ください。とを、証明書を生成しようCommon Nameと%%DOMAIN%%しているドメインに設定することに注意してください。つまり、の場合はwww.mysupersite.com、両方に使用します。

v3.ext

authorityKeyIdentifier=keyid,issuer
basicConstraints=CA:FALSE
keyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment
subjectAltName = @alt_names

[alt_names]
DNS.1 = %%DOMAIN%%

注：この問題に対処し、Chrome、Safari、およびJavaクライアントで使用するための完全に信頼されたssl証明書を作成するスクリプトは、こちらで確認できます

別のメモ：自己署名証明書を表示するときにChromeがエラーをスローしないようにする場合は、特別なコマンドラインオプションを使用してChromeを起動し、すべてのサイトのすべてのSSLエラーを無視することができます。スーパーユーザー

以下の解決策は私のためにChrome 65で動作しました（参照）-

OpenSSL構成ファイルを作成します（例：req.cnf）

[req]
distinguished_name = req_distinguished_name
x509_extensions = v3_req
prompt = no
[req_distinguished_name]
C = US
ST = VA
L = SomeCity
O = MyCompany
OU = MyDivision
CN = www.company.com
[v3_req]
keyUsage = critical, digitalSignature, keyAgreement
extendedKeyUsage = serverAuth
subjectAltName = @alt_names
[alt_names]
DNS.1 = www.company.com
DNS.2 = company.com
DNS.3 = company.net

この構成ファイルを参照する証明書を作成します

openssl req -x509 -nodes -days 730 -newkey rsa:2048 \
 -keyout cert.key -out cert.pem -config req.cnf -sha256

バッシュスクリプト

Chromeで有効な自己署名TLS証明書を簡単に生成できるようにbashスクリプトを作成しました。

• 自己署名tls bashスクリプト

テスト済みでChrome 65.x、まだ機能しています。新しい証明書をインストールしたら、必ずChromeを再起動してください。

chrome://restart

その他のリソース

チェックアウトする価値のあるもう1つの（はるかに堅牢な）ツールはCloudFlareのcfsslツールキットです。

• cfssl

私は単に-subjマシンのIPアドレスを追加するパラメーターを使用します。したがって、1つのコマンドのみで解決されます。

sudo openssl req -x509 -nodes -days 3650 -newkey rsa:2048 -sha256 -subj '/CN=my-domain.com/subjectAltName=DNS.1=192.168.0.222/' -keyout my-domain.key -out my-domain.crt

C、ST、L、O、OU、emailAddressなどの他の属性を追加して、プロンプトが表示されずに証明書を生成できます。

macos / Chromeで自己署名証明書を機能させるには、非常に多くの問題がありました。最後にMkcertを見つけました。「ローカルで信頼された開発証明書を好きな名前で作成できるシンプルなゼロ構成ツールです。」https://github.com/FiloSottile/mkcert

• OpenSSL構成のコピーをホームディレクトリに作成します。

  cp /System/Library/OpenSSL/openssl.cnf ~/openssl-temp.cnf
  

  またはLinuxの場合：

  cp /etc/ssl/openssl.cnf ~/openssl-temp.cnf
  

• にサブジェクトの別名を追加openssl-temp.cnfし[v3_ca]ます。

  [ v3_ca ]
  subjectAltName = DNS:localhost
  

  localhost証明書を生成するドメインに置き換えます。

• 証明書を生成：

  sudo openssl req -x509 -nodes -days 365 -newkey rsa:2048 \
      -config ~/openssl-temp.cnf
      -keyout /path/to/your.key -out /path/to/your.crt
  

次に削除できます openssl-temp.cnf

v3.extファイルのDNS.1値を変更することで（net :: ERR_CERT_AUTHORITY_INVALID）を取り除くことができました

[alt_names] DNS.1 = domainname.com

domainname.comを自分のドメインに変更します。

上のMAC クロームバージョン67.0.3396.99から始まる私の自己署名証明書は、仕事に停止しました。

ここに書かれているすべての再生は機能しませんでした。

更新

私のアプローチが今日機能することを確認する機会がありました:)。それがうまくいかない場合は、このアプローチを使用していることを確認してください

v3.ext
authorityKeyIdentifier=keyid,issuer
basicConstraints=CA:FALSE
keyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment
subjectAltName = @alt_names

[alt_names]
DNS.1 = <specify-the-same-common-name-that-you-used-while-generating-csr-in-the-last-step>
$

ここからコピー https://ksearch.wordpress.com/2017/08/22/generate-and-import-a-self-signed-ssl-certificate-on-mac-osx-sierra/

更新を終了

最終的には場合にのみ、緑のセキュアを見ることができた削除から私の証明書をシステム、および追加にそれをローカルのキーチェーン。（存在する場合-最初にドロップしてください）。それが重要かどうかはわかりませんが、私の場合、Chrome経由で証明書をダウンロードし、作成日が今日であることを確認しました。つまり、作成したものです。

誰かが1日のように過ごすのに役立つことを願っています。

Chromeを更新しないでください。

Chromeが信頼するIP証明書を作成する非常に簡単な方法を次に示します。

ssl.confファイル...

[ req ]
default_bits       = 4096
distinguished_name = req_distinguished_name
req_extensions     = req_ext
prompt             = no

[ req_distinguished_name ]
commonName                  = 192.168.1.10

[ req_ext ]
subjectAltName = IP:192.168.1.10

もちろん、192.168.1.10はChromeが信頼するローカルネットワークIPです。

証明書を作成します。

openssl genrsa -out key1.pem
openssl req -new -key key1.pem -out csr1.pem -config ssl.conf
openssl x509 -req -days 9999 -in csr1.pem -signkey key1.pem -out cert1.pem -extensions req_ext -extfile ssl.conf
rm csr1.pem

Windowsでは、すべてのクライアントマシンの信頼されたルート証明書ストアに証明書をインポートします。Androidフォンまたはタブレットで証明書をダウンロードしてインストールします。これでChromeはWindowsとAndroidの証明書を信頼します。

Windows開発ボックスでopenssl.exeを取得するのに最適な場所は、「c：\ Program Files \ Git \ usr \ bin \ openssl.exe」です。

サーバーlocalhostを実行する場合は、セットアップCN = localhostとが必要DNS.1 = localhostです。

[req]
default_bits = 2048
default_md = sha256
distinguished_name = req_distinguished_name
prompt = no
prompt = no
x509_extensions = v3_req

[req_distinguished_name]
C = BR
CN = localhost
emailAddress=contact@example.com
L = Sao Paulo
O = example.com
OU = example.com
ST = Sao Paulo

[v3_req]
authorityKeyIdentifier = keyid, issuer
basicConstraints = CA:FALSE
extendedKeyUsage = serverAuth
keyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment
subjectAltName = @alt_names

[alt_names]
DNS.1 = localhost