关于ssl：让Chrome接受自签名的localhost证书

Getting Chrome to accept self-signed localhost certificate

我已经为localhost cn创建了一个自签名的SSL证书。如预期的那样，firefox在最初抱怨这个证书之后接受它。然而，Chrome和IE拒绝接受它，即使在将证书添加到受信任根目录下的系统证书存储之后也是如此。尽管当我在chrome的https弹出窗口中单击"查看证书信息"时，证书被列为正确安装，但它仍然坚持证书不能被信任。

我该怎么做才能让Chrome接受证书并停止抱怨？

相关讨论

当你说firefox最初抱怨它时，你的意思是它要求你添加一个证书例外吗？如果证书安装正确，则不会发生这种情况。我觉得这三个浏览器都在抱怨，但火狐允许你取消它的抱怨。我将此作为评论发布，因为我没有具体的答案，但我已经做了这一点，它在所有三个浏览器中都可以正常工作。我建议你先试着让它在IE上工作，然后再让它快乐地为另外两个担心。对不起，我不能再帮你了！
好吧，我在将证书添加到Windows系统存储库之前添加了firefox例外，所以我不知道如果我用其他方法做的话，firefox是否会抱怨，抱歉。
您必须创建一个格式良好的证书，包括DNS名称的显示方式。openssl不会以一种开箱即用的方式呈现它们。了解如何使用OpenSSL创建自签名证书吗？.
火狐不使用系统证书存储。
如果您的证书签名使用了sha-1，即使您成功地添加了自定义证书，最新版本的chrome(大约57)也会显示警告。无论如何，开发工具的"安全"面板将更具体地说明问题所在，例如：net::ERR_CERT_WEAK_SIGNATURE_ALGORITHM。
thisisunsafe型铬合金。这个已经改变了
你可能会发现我的答案很有趣。
关于让Chrome或火狐接受本地证书的问题，我增加了一大笔赏金：stackoverflow.com/q/48969083/470749
我只是停止使用Chrome进行开发，因为它不适合开发人员。通常情况下，在这种情况下结束的人知道他们在做什么。谢谢，但不是谢谢。我对Chrome的失望已经够多了！
在远程服务器上，Chrome71也有同样的问题。可能正确的解决方案是找到网站管理员并告诉他/她修复。问题是提供的证书的cn为.subdomain.domain.tld，但我要转到的站点是server.subsubsubdomain.subdomain.domain.tld。subdomain.domain.tld是一个自签名证书。我*认为将CA添加到可信CA列表中可能会以安全的方式解决问题，但我不知道如何做到这一点。忠告？

仅适用于localhost：

只需将其粘贴到Chrome中：

1	chrome://flags/#allow-insecure-localhost

您应该看到突出显示的文本说：允许从本地主机加载的资源使用无效证书

单击Enable。

相关讨论

这对我很有用：

使用chrome，通过https点击服务器上的一个页面，然后继续浏览红色警告页面(假设您还没有这样做)。

打开Chrome Settings > Show advanced settings > HTTPS/SSL > Manage Certificates。

单击Authorities选项卡并向下滚动以在您提供给证书的组织名称下找到您的证书。

选择它，单击编辑(注意：在最新版本的Chrome中，按钮现在是"高级"而不是"编辑")，选中所有框并单击确定。您可能需要重新启动chrome。

你现在应该在你的页面上找到绿色的锁了。

编辑：我在一台新计算机上再次尝试了此操作，但证书没有显示在"管理证书"窗口中，只是从红色的不受信任的证书页继续。我必须做以下工作：

在具有不可信证书的页面(https://以红色划掉)，单击锁定>证书信息。注意：在较新版本的Chrome上，必须打开Developer Tools > Security，然后选择View certificate。

单击Details tab > Export。选择PKCS #7, single certificate作为文件格式。

然后按照原始说明进入管理证书页面。单击Authorities tab > Import并选择导出证书的文件，并确保选择PKCS #7, single certificate作为文件类型。

如果提示证书存储，请选择受信任的根证书颁发机构

选中所有框并单击"确定"。重新启动Chrome。

相关讨论

它对我有用，但我不知道为什么要花很长时间加载使用https的页面
我在Linux机器上尝试过，但它说导入失败是因为xxx.xxx.com:不是证书颁发机构。
@马特：是的，我有一些证书。尝试在非权限选项卡上导入？否则，我不确定工作区是什么。
谢谢@Kellen..但是，使用Chrome29.0.1547.57测试版，证书信息上的任何地方似乎都没有"导出"选项。也就是说，有一个"细节"部分，但它不是以标签的形式出现的。它显示为可折叠/可扩展块。i.imgur.com/ddmneih.png
@matttagg-您需要转到"设置"，然后转到"高级设置"，并查找https/ssl
"管理证书"对话框似乎可以通过url chrome://settings/certificates访问。
这对我在使用localhost作为CA的Linux上非常有效。在这方面，Chrome远远落后于火狐，这太糟糕了。FF使添加可信证书变得非常简单，只需点击几下鼠标。
在Chrome37中，不再有一个有用的描述性的Export按钮，这似乎已经被奇妙的Copy to file按钮所取代。为什么不保留"出口"，这只会让人难以置信。
在OSX上，我在证书详细信息弹出窗口上看不到"导出"按钮。
@Jakobud，只需将证书符号拖到桌面或其他地方，即可导出。但是，据我所知，其余的答案在OSX(约塞米蒂)上不起作用(Chrome39)。
谢谢，我确实弄明白了。一旦你把它拖到桌面上，你就可以把它导入到OSX的钥匙链中。谢谢
"编辑"解决方案就像一个魅力。我现在在本地有一个很好的绿色锁！
在Windows8.1的ChromeV44.0.2403.107 M上，这似乎对我不起作用。在成功地将证书导出到一个pkcs文件之后，我试图将它导入到"个人"选项卡中，但它从未出现。然后我试着把它导入"可信的出版商"，结果它确实出现了。但即使在重启之后，https仍然会在端口8090上给我一个警告，而wss也会彻底失败。
好吧，我把它添加到"可信根证书颁发机构"选项卡并重新启动chrome之后，它就开始工作了。不知道为什么Chrome这么痛苦。谢谢！
这在mac上对我很有用：robbick.com/2010/10/&hellip；
在ChromeV42和WidowsServer2012上，上面的说明对我有效，但仅当我在执行导出时单击复选框"如果可能，在证书路径中包含所有证书"时才有效。一旦我这样做了，我得到了另一个对话框(除了"导入成功")，确认我真的想要安装它。
对于pkcs 7类型证书，应选择扩展名.p7b
在导入过程中，这里最重要的一步是确保证书转到正确的存储区。如果您将其存储在个人中，Chrome将不会授予证书权限。但是，如果您将它放在受信任根证书颁发机构存储区中，它就会工作。请记住，您需要重新启动chrome才能看到应用的证书。
在Linux+最新的Chrome上，这些说明不起作用。尝试导入时，我收到一条消息"证书颁发机构导入错误：文件包含一个未导入的证书：localhost:不是证书颁发机构"。我尝试了许多证书类型、扩展、重新启动chrome等。
最后一步，确保您已经终止了后台Chrome应用程序，以便正确设置证书。
我正在尝试在Windows7 64位的chrome55中导入fiddler工具的根证书。这不起作用。证书未出现在任何证书存储中。但是，火狐在接收这个证书方面没有问题。
从chrome56开始，要访问Windows中的SSL证书设置，您必须使用开发人员工具(ctrl+shift+i)，转到"安全"选项卡，然后单击"查看证书"按钮。
我放弃了从chrome导出证书的尝试。但是，使用火狐导出证书是有效的。然后我可以使用上面概述的步骤将证书添加到我的钥匙链中。
此步骤在Ubuntu上的Chrome版本57.0.2987.110(64位)中无效。
查看SSL证书详细信息的选项已删除productforums.google.com/forum/！主题/chrome/&hellip；
@马特，你解决了"不是认证机构"的问题了吗？
@Matt我在Linux上也有同样的问题。是关于openssl.cnf的。首先，Chrome默认接受它，但是当我使用v3-req传递替代名称(这是从c58开始需要的)时，我遇到了同样的问题。打开/etc/ssl/openssl.cnf，查找[v3_req]。然后一行接一行，您应该有：basicConstraints=ca:true subjectAltname=dns:example.com，dns:host1.example.com，dns:*.host2.example.com，ip:10.1.2.3有关v3请求的详细信息，请在下面找到答案(更新chrome 58)
管理证书的最快方法是在设置中搜索"ssl"。
这在Chrome 62.0.3202.89中不起作用。已安装证书、已重新启动和cal to localdomain.tld仍显示错误。
在Mac上，我需要采取另外一个步骤：双击keychain access中的新证书，然后改为"始终信任"。将其添加到keychain access中，默认情况下不会使其成为可信证书。
@最后，它起作用了，谢谢！！！！大家：试试他的建议！！！！
"勾选所有的方框"--为什么？哪一个重要？
大家好，这里有一个完整的教程：stackoverflow.com/questions/50788043/&hellip；
工作很棒！！我必须为此创建一个重定向到本地主机的虚拟域！

在Mac上，您可以使用keychain访问实用程序将自签名证书添加到系统keychain，然后chrome将接受它。我在这里找到了分步说明：

Google Chrome、Mac OS X和自签名SSL证书

基本上：

双击带有x的锁定图标，然后将证书图标拖放到桌面上，

打开此文件(以.cer扩展名结尾)；这将打开允许您批准证书的密钥链应用程序。

相关讨论

Chrome 58+更新(2017-04-19发布)

从Chrome58开始，只使用commonName标识主机的操作将被删除。请参阅此处的进一步讨论和此处的bug跟踪器。过去，subjectAltName仅用于多主机证书，因此某些内部CA工具可能不包括它们。

如果您的自签名证书在过去工作得很好，但突然开始在Chrome58中产生错误，这就是为什么。

因此，无论您使用什么方法来生成自签名证书(或由自签名CA签名的证书)，都要确保服务器的证书包含一个带有正确的DNS和/或IP条目/条目的subjectAltName，即使它只针对一个主机。

对于openssl，这意味着您的openssl配置(Ubuntu上的/etc/ssl/openssl.cnf)对于单个主机应该具有类似于以下内容的内容：

1 2	[v3_ca] # and/or [v3_req], if you are generating a CSR subjectAltName = DNS:example.com

或者对于多个主机：

1 2	[v3_ca] # and/or [v3_req], if you are generating a CSR subjectAltName = DNS:example.com, DNS:host1.example.com, DNS:*.host2.example.com, IP:10.1.2.3

在chrome的cert-viewer中(在f12下已移动到"security"选项卡)，您应该看到它在Extensions下作为Certificate Subject Alternative Name列出：

Chrome cert viewer

相关讨论

感谢您发布Chrome 58+更新！对于希望在Windows中创建包含SAN的自签名证书的人来说，一种简单的方法是使用新的自签名证书PowerShell commandlet。New-SelfSignedCertificate -DnsName localhost -CertStoreLocation cert:\LocalMachine\My
@多诺，谢谢！其他的解决方法在Win10上都不适合我。很高兴知道PowerShell至少会生成有效的证书！
在Reddit上为Chrome58+找到了一个解决方案，它可以工作！在管理命令提示中：reg add hklmsoftwarepoliciesgooglechrome/v enableCommonameFallbackForLocalAnchors/t reg_dword/d 1
谢谢@meengla，我会更新答案以包含该信息。
@托比J，不客气。我几乎已经放弃了这个问题，直到这个红色的答案起了作用。
MacOS用户的解决方法：defaults write com.google.Chrome EnableCommonNameFallbackForLocalAnchors -bool true。
@Bugsbunny谢谢，在回答中加了这个。
要在Linux上创建策略，您需要创建一个策略文件，比如/etc/opt/chrome/policies/managed/EnableCommonNameFallbackFor‌LocalAnchors.json，其中包含以下内容：{"EnableCommonNameFallbackForLocalAnchors": true }。
@谢谢，我也加一个。
此外，这里还提供了有关如何在ms certsrv-support.microsoft.com/en-us/help/931351/&hellip；tl；dr:add san:dns=dns.name[&dns=dns.name]中添加subjectAltname的信息。
我发现@dano的评论建议的命令行不够。但它使用了github.com/webpack/webpack dev server/issues/&hellip；脚本中列出的其他命令。
不要忘记在[v3_req]下设置basicConstraints=ca:true，否则chrome不允许您添加证书(至少在Linux上)
我目前正在Windows10上使用Chrome59.0.3071.115(64位)(很不幸，是预发布版本)。回退黑客并没有帮我做这件事。：(
如果我添加subjectAltname=dns:127.0.0.1，这是否适用于本地主机颁发的证书？
@Gerleim我认为在这种情况下，您将使用IP:127.0.0.1，但是是的，只要URL是127.0.0.1，您就可以以这种方式使用cert。
@多比J谢谢，是的，它确实有效，我会出版我的样品。o它仍然不适用于Firefox；)
"在Chrome的cert-viewer中(在f12下已移动到"security"选项卡)，您应该看到它在Extensions下作为Certificate Subject Alternative Name列出。"当我打开F12开发工具(Chrome62)中的安全选项卡时，我没有看到任何"扩展"部分。它已经搬到别的地方了吗？
@Thunderforge我指的是证书查看器，因此您需要单击"安全"选项卡页上的"查看证书"。但是，看起来cert-viewer本身是平台特定的，因此显示SAN的位置可能略有不同。
仍然可以在chrome 64 serverfault.com/a/845788/59123上工作
不使用Chrome Ubuntu

UPDATE 11/2017: This answer probably won't work for most newer versions of Chrome.

UPDATE 02/2016: Better Instructions for Mac Users Can be Found Here.

在要添加的站点上，右键单击地址栏中的红色锁定图标： enter image description here 。

单击标记为"连接"的选项卡，然后单击"证书信息"

单击"详细信息"选项卡，单击"复制到文件…"按钮。这将打开证书导出向导，单击下一步进入导出文件格式屏幕。

选择der编码二进制x.509(.cer)，单击下一步

单击浏览…并将文件保存到您的计算机。把它命名为描述性的。单击下一步，然后单击完成。

打开Chrome设置，滚动到底部，然后单击显示高级设置…

在https/ssl下，单击管理证书…

单击可信根证书颁发机构选项卡，然后单击导入…按钮。这将打开证书导入向导。单击"下一步"进入"要导入的文件"屏幕。

单击浏览…并选择先前保存的证书文件，然后单击下一步。

选择将所有证书放置在以下存储中。所选存储应该是受信任的根证书颁发机构。如果不是，请单击浏览…然后选择它。单击"下一步"并完成

单击"安全警告"上的"是"。

重新启动Chrome。

相关讨论

Linux

如果您使用的是Linux，您还可以按照以下官方wiki页面操作：

在Linux上配置SSL证书。
NSS共享数据库和Linux
NSS共享数据库howto

基本上：

单击带有X的锁定图标，
选择证书信息
转到"详细信息"选项卡
单击导出…(另存为文件)

现在，下面的命令将添加证书(其中您的_文件是导出的文件)：

1	certutil -d sql:$HOME/.pki/nssdb -A -t"P,," -n YOUR_FILE -i YOUR_FILE

要列出所有证书，请运行以下命令：

1	certutil -d sql:$HOME/.pki/nssdb -L

如果仍然不起作用，您可能会受到此错误的影响：问题55050:Ubuntu SSL错误8179

另外，在使用上述命令之前，请确保您有libnss3-tools。

如果没有，请通过以下方式安装：

1 2	sudo apt-get install libnss3-tools # on Ubuntu sudo yum install nss-tools # on Fedora, Red Hat, etc.

另外，您还可以使用以下方便的脚本：

1
2
3
4
5
6

$ cat add_cert.sh
certutil -d sql:$HOME/.pki/nssdb -A -t"P,," -n $1 -i $1
$ cat list_cert.sh
certutil -d sql:$HOME/.pki/nssdb -L # add '-h all' to see all built-in certs
$ cat download_cert.sh
echo QUIT | openssl s_client -connect $1:443 | sed -ne '/BEGIN CERT/,/END CERT/p'

用途：

1
2
3

add_cert.sh [FILE]
list_cert.sh
download_cert.sh [DOMAIN]

故障排除

用--auto-ssl-client-auth参数运行chrome
google-chrome --auto-ssl-client-auth

相关讨论

单击页面上的任意位置并键入旁路序列

"thisisunsafe是Chrome 65版的旁路序列。

"badidea"Chrome版本62-64。

"danger用于早期版本的chrome

您不需要查找输入字段，只需键入即可。感觉很奇怪，但它起作用了。

我在麦克·西拉上试过。

要再次检查是否更改，请转到最新的铬源代码。

要查找旁路序列，目前看起来如下：

1	var BYPASS_SEQUENCE = window.atob('dGhpc2lzdW5zYWZl');

现在他们已经把它伪装了，但是要想看到真正的旁路序列，你可以在浏览器控制台中运行以下行。

1	console.log(window.atob('dGhpc2lzdW5zYWZl'));

相关讨论

在Mac上，您可以通过执行以下操作创建一个完全受Chrome和Safari在系统级别信任的证书：

1
2
3
4
5
6
7
8

# create a root authority cert
./create_root_cert_and_key.sh

# create a wildcard cert for mysite.com
./create_certificate_for_domain.sh mysite.com

# or create a cert for www.mysite.com, no wildcards
./create_certificate_for_domain.sh www.mysite.com www.mysite.com

以上使用以下脚本和支持文件v3.ext避免主题替换名丢失错误。

如果要使用自己的根权限创建完全受信任的新自签名证书，可以使用这些脚本来创建。

创建根目录cert和key.sh

1
2
3

#!/usr/bin/env bash
openssl genrsa -out rootCA.key 2048
openssl req -x509 -new -nodes -key rootCA.key -sha256 -days 1024 -out rootCA.pem

为domain.sh创建u证书

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49

#!/usr/bin/env bash

if [ -z"$1" ]
then
echo"Please supply a subdomain to create a certificate for";
echo"e.g. www.mysite.com"
exit;
fi

if [ ! -f rootCA.pem ]; then
echo 'Please run"create_root_cert_and_key.sh" first, and try again!'
exit;
fi
if [ ! -f v3.ext ]; then
echo 'Please download the"v3.ext" file and try again!'
exit;
fi

# Create a new private key if one doesnt exist, or use the xeisting one if it does
if [ -f device.key ]; then
KEY_OPT="-key"
else
KEY_OPT="-keyout"
fi

DOMAIN=$1
COMMON_NAME=${2:-*.$1}
SUBJECT="/C=CA/ST=None/L=NB/O=None/CN=$COMMON_NAME"
NUM_OF_DAYS=999
openssl req -new -newkey rsa:2048 -sha256 -nodes $KEY_OPT device.key -subj"$SUBJECT" -out device.csr
cat v3.ext | sed s/%%DOMAIN%%/"$COMMON_NAME"/g > /tmp/__v3.ext
openssl x509 -req -in device.csr -CA rootCA.pem -CAkey rootCA.key -CAcreateserial -out device.crt -days $NUM_OF_DAYS -sha256 -extfile /tmp/__v3.ext

# move output files to final filenames
mv device.csr"$DOMAIN.csr"
cp device.crt"$DOMAIN.crt"

# remove temp file
rm -f device.crt;

echo
echo"###########################################################################"
echo Done!
echo"###########################################################################"
echo"To use these files on your server, simply copy both $DOMAIN.csr and"
echo"device.key to your webserver, and use like so (if Apache, for example)"
echo
echo" SSLCertificateFile /path_to_your_files/$DOMAIN.crt"
echo" SSLCertificateKeyFile /path_to_your_files/device.key"

V3.EXT

1
2
3
4
5
6
7

authorityKeyIdentifier=keyid,issuer
basicConstraints=CA:FALSE
keyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment
subjectAltName = @alt_names

[alt_names]
DNS.1 = %%DOMAIN%%

还有一个步骤-如何在chrome/safari中完全信任自签名证书

要允许在Chrome和Safari中完全信任自签名证书，需要将新的证书颁发机构导入Mac。要执行此操作，请遵循以下说明，或Mitmproxy网站上有关此常规流程的更详细说明：

在命令行中，您可以使用提示您输入密码的命令执行以下两种操作之一：

1	$ sudo security add-trusted-cert -d -r trustRoot -k /Library/Keychains/System.keychain rootCA.pem

或者使用Keychain Access应用程序：

打开钥匙链访问

在"钥匙链"列表中选择"系统"

在"类别"列表中选择"证书"

选择"文件导入项目…"

浏览到上面创建的文件"rootca.pem"，选择它，然后单击"打开"

在"证书"列表中选择新导入的证书。

单击"i"按钮，或右键单击证书，然后选择"获取信息"

扩展"信任"选项

将"使用此证书时"更改为"始终信任"

关闭对话框，系统会提示您输入密码。

关闭并重新打开使用目标域的所有选项卡，它将被安全加载！

作为奖励，如果您需要Java客户端信任证书，您可以通过将证书导入到Java密钥存储库中。注意：如果证书已经存在，它将从密钥库中删除证书，因为它需要在情况发生变化时更新它。当然，它只对导入的证书执行此操作。

将"当前"文件夹中的"证书"导入到"java"keystore.sh中

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28

KEYSTORE="$(/usr/libexec/java_home)/jre/lib/security/cacerts";

function running_as_root()
{
if ["$EUID" -ne 0 ]
then echo"NO"
exit
fi

echo"YES"
}

function import_certs_to_java_keystore
{
for crt in *.crt; do
echo prepping $crt
keytool -delete -storepass changeit -alias alias__${crt} -keystore $KEYSTORE;
keytool -import -file $crt -storepass changeit -noprompt --alias alias__${crt} -keystore $KEYSTORE
echo
done
}

if ["$(running_as_root)" =="YES" ]
then
import_certs_to_java_keystore
else
echo"This script needs to be run as root!"
fi

相关讨论

运行$ ./create_root_cert_and_key.sh时得到"错误打开私钥rootca.key"。MacOS 10.12.4和OpenSSL 0.9.8ZH 2016年1月14日。
在$ ./create_root_cert_and_key.sh之前运行$ openssl genrsa -out rootCA.key 2048修复了我遇到的"打开私钥rootca.key时出错"。
@甜甜圈-谢谢你指出这一点-我把那一行复制了，所以我确信这引起了你看到的问题…
openssl req -new -newkey rsa:2048 -sha256 -nodes -key device.key -subj"$SUBJECT" -out device.csr给了我一个错误"打开私钥设备时出错。key"，我以为这个命令应该创建device.key，但它似乎是出于某种原因试图读取它。
找到了解决办法(如果有人打这个)是把-key改成-keyout。openssl req -new -newkey rsa:2048 -sha256 -nodes -keyout device.key -subj"$SUBJECT" -out device.csr
如何使用win32openssl在Windows10上执行相同的操作？
对于firefox用户，可以将该脚本中创建的rootCA.pem文件导入到ff preferences-quick link here-about:preferences#advanced中"证书"选项卡下的"权限"选项卡。创建.pem文件时，常用名称是控制被视为安全的URL的名称。示例：Common Name (e.g. server FQDN or YOUR name) []:127.0.0.1您可以再次运行脚本(重命名原始文件，这样您就不会重写第一个.pem文件)，并将localhost再次用作通用名称。将这两个.pem文件导入FF，您将享受绿色锁。
为localhost执行此操作时，我的计算机上的chrome仍有错误：证书错误站点的证书链存在问题(net:：erru certu commonu nameu invalid)。
@GregBlass-您试图将其用于哪些域，以及您在浏览器中加载的URL？https://localhost/...或类似的东西？我刚刚为https://localhost重新构建了我的证书，它似乎仍然对我有用，因为它的价值……
这些台阶对我不起作用。在一个新文件夹中重新开始，我遵循了以下步骤：ram.k0a1.net/self-signed_https_cert_after_Chrome_58，除了OSX钥匙链访问技巧，这个绿色点亮了Chrome中的一切。
当我尝试生成一个不带通配符的证书时，我会得到一个错误，.crt文件不会生成device.csr: No such file or directory。
@你是不是先运行了create_certificate_for_domain.sh命令？我刚试过它，它在Mac上很管用，包括通配符和非通配符方法。
易于使用，真正的工作！

如果您在Mac电脑上，没有看到导出选项卡或如何获取证书，这对我很有用：

单击https://前面的锁/

转到"连接"选项卡

点击"证书信息"

现在您应该看到： Different information of course and yours should be marked as trusted yet (otherwise you probably wouldn't be here)

拖动那个小证书图标做你的桌面(或任何地方)。

双击下载的.cer文件，将其导入到您的keychain中，并打开keychain访问您的证书列表。

在某些情况下，这就足够了，现在您可以刷新页面。

否则：

双击新添加的证书。

在"信任"下拉列表下，将"使用此证书时"选项更改为"始终信任"

现在重新加载有问题的页面，问题应该解决了！希望这有帮助。

沃尔夫编辑

要使其更简单，可以使用以下脚本(源代码)：

将以下脚本另存为whitelist_ssl_certificate.ssh：

1
2
3
4
5
6
7
8
9
10
11
12
13

#!/usr/bin/env bash -e

SERVERNAME=$(echo"$1" | sed -E -e 's/https?:\/\///' -e 's/\/.*//')
echo"$SERVERNAME"

if [["$SERVERNAME" =~ .*\..* ]]; then
echo"Adding certificate for $SERVERNAME"
echo -n | openssl s_client -connect $SERVERNAME:443 | sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p' | tee /tmp/$SERVERNAME.cert
sudo security add-trusted-cert -d -r trustRoot -k"/Library/Keychains/System.keychain" /tmp/$SERVERNAME.cert
else
echo"Usage: $0 www.site.name"
echo"http:// and such will be stripped automatically"
fi

使脚本可执行(从shell)：

1	chmod +x whitelist_ssl_certificate.ssh

为所需域运行脚本(只需复制/粘贴完整的URL即可)：

1	./whitelist_ssl_certificate.ssh https://your_website/whatever

相关讨论

更新日期：2018年4月3日

铬组推荐

https://www.chromium.org/home/chromium security/deprecating powerfull features on unsecure origins toc测试强大功能

快速超简单解决方案

有一个秘密的旁路短语，可以输入错误页面，让chrome继续运行，尽管有安全错误：thisisunsafe(在chrome的早期版本中，输入baddidea，甚至更早的版本是danger)。除非你完全理解你为什么需要它，否则不要使用它！

来源：

https://chromium.googlesource.com/chromium/src/+/d8fc089b62cd4f8d907acf6fb3f5ff58f168697%5e%21/

(注意，window.atob('dGhpc2lzdW5zYWZl')决议为thisisunsafe)

最新版本的源代码是@https://chromium.googlesource.com/chromium/src/+/refs/heads/master/components/security_interitials/core/browser/resources/intermediate_large.js，可以在JS控制台中执行window.atob功能。

有关chrome团队更改旁路短语(第一次)的背景：

https://bugs.chromium.org/p/chromium/issues/detail？ID＝581189

如果其他都失败了

对于快速一次性，如果"无论如何继续"选项不可用，或者旁路短语工作正常，则此黑客程序工作良好：

通过启用此标志，允许来自localhost的证书错误(注意chrome需要在更改标志值后重新启动)：

chrome://flags/#allow-insecure-localhost

(并由@chris投票选出答案https://stackoverflow.com/a/31900210/430128)

如果你想连接的站点是localhost，你就完成了。否则，设置一个TCP隧道本地监听端口8090，并连接到端口443上的broken-remote-site.com，确保已安装socat，并在终端窗口中运行类似的程序：

socat tcp-listen:8090,reuseaddr,fork tcp:broken-remote-site.com:443

在浏览器中转到https://localhost:8090。

相关讨论

对于测试环境

启动chrome时，可以使用--ignore-certificate-errors作为命令行参数(在Ubuntu上使用版本28.0.1500.52)。

这将导致它忽略错误并在没有警告的情况下连接。如果已经在运行Chrome版本，则需要在从命令行重新启动之前关闭它，否则它将打开一个新窗口，但忽略参数。

我将Intellij配置为在调试时以这种方式启动chrome，因为测试服务器从来没有有效的证书。

不过，我不建议像这样进行正常浏览，因为证书检查是一项重要的安全功能，但这可能对某些人有所帮助。

相关讨论

它在Windows8中为我工作！我刚刚右键单击了chrome快捷方式>属性>已更改的"目标"字段，如下所示(请注意，引号后应添加"--忽略证书错误"，并加上空格)："C:Program Files(x86)Googlechromeapplicationchrome.exe"--忽略证书错误
这不能回答这个问题，而且很危险。问题是如何让chrome信任自签名服务器证书，而不是如何忽略警告和错误。
@JWW请不要仅仅因为答案是错误的或你不同意就将其标记为NAA。请看：如何正确使用"不回答"标志？以及如何处理危险的答案。
@艾托马斯-它没有回答问题，句号。这与我对它的看法无关。它应该变成一个评论或删除，就像任何其他不回答。不要误导(声称我不喜欢答案)，你应该解释它是如何回答问题的(因此，我的旗子不对)。
@JWW"如果一篇文章明确地试图诚实地回答，即使它没有这样做，那么NAA也不适用。"如果你仍然不满意，我建议在meta上提出这个问题。
@托马斯航空-很好，方向更偏了。请解释这个答案是如何回答这个问题的。我不认为这是一个诚实的回答问题的尝试。但这不是这个问题。
@我不是想误导你。把你引向权威人士似乎更有用。这个答案解决了操作人员想要让chrome"停止抱怨"证书的愿望，并且它有+14/-0作为最迟的答案。没有迹象表明这会损害网站的质量，对我来说。
@托马斯："…让Chrome接受证书并停止抱怨它"。Chrome从未接受证书。铬拒绝了。--ignore-certificate-errors没有让Chrome接受它。它仍然被拒绝。唯一改变的是错误被掩盖了。因此，答案适用于其他一些问题，但不适用于这个问题。
@我认为你对这个问题的解释太狭隘了。根据Op希望"Chrome接受证书并停止抱怨"的原因，这可能是一个合适的答案。也有可能OP使用"接受"的目的是包括"不拒绝"。这个特别的答案为我提供了一个与我的情况相一致的合理的职位解释的相关解决方案。
@汉斯-是的，我在调查这个问题时，尽量集中精力处理手头的问题。这是我和栈交换网络的一个问题，因为有些读者的阅读理解能力很低。他们因懒惰的头脑和缺乏批判性思维而得到奖励…但我很高兴你能回答一个相关的问题。
@JWW同意，部分阅读理解涉及直觉作者的意图。在这种情况下，有多种方法可以读取IMO，尽管OP为证书添加一个firefox例外的操作可能会导致人们合理地接受这样一种可能性：他们的最终目标是阻止浏览器抱怨更多，而不是让浏览器本身接受证书。但是，这是我理解这个问题的一种方式。你的解释比较狭隘，没关系。只是说我不同意你的NAA评估。
这是我在Chrome(63.0.3239.108)和Windows7(64位)上工作的唯一解决方案。关于安全性，我在桌面上创建了一个特殊的图标，只有在本地虚拟机上开发时才启动这个图标。导入自签名本地证书，调优chrome://flags&hsts域没有帮助。Chrome绝对应该保留这个老的好按钮"添加安全例外"——这样可以节省我2个小时的时间来处理无用的设置。

正如有人指出的，您需要重新启动所有的Chrome，而不仅仅是浏览器窗口。最快的方法是打开一个标签…

chrome://restart

相关讨论

(P)Windows Jun/2017 Windows Server 2012(p)(P)我跟着Brad Parks AnswerOn windows you should import rootca.pem in trusted root certificates authorities store.(p)(P)I did the following steps：(p)字母名称(P)Where V3.EXT is：(p)字母名称(P)Then，in my case I have a self hosted web app，so I need to bind certificate with IP address and port，certificate should be on my store with private key in format i on，so I exported to PFX format.(p)字母名称(P)With MMC console(file/Add or remove snap-INS/certificates/Add/computert account/localcompaputer/OK)I imported PFX file in personal store.(p)(P)Later I used this command to bind certificate(you could also use httconfig tool)：(p)字母名称(P)Certhash=Certificate Thumpint(p)(P)Appid=guid(Your choice)(p)(P)第一次尝试进口认证"Device.crt"on trusted root certificates authorities in different ways but I'm still get same mistake：(p)(P)字母名称(p)(P)但我确实认为，我应该进口Root Authority的证书，而不是农村地区的证书。So I used MMC console(file/Add or remove snap-INS/certificates/Add/computer account/localcompaputer/OK)i imported rootca.pem in trusted root certificates authorities store.(p)(P)字母名称(p)(P)Restat chrome and et voilàit works.(p)(P)With localhost:(p)(P)MGXY1音标2(p)(P)Or with IP address：(p)(P)MGXY1音标3(p)(P)The only thing I could not achieve is that，it has过时(Red Square on Picture).Help is appreciated on this point.(p)(P)With maker cert it is not possible add San Information.With new-selfsignedcertificate(PowerShell)you could add San Information，it also works.(p)

相关讨论

您确定站点的地址与证书地址相同吗？我对Chrome和自签名证书也有同样的问题，但最终我发现它对证书上的域名验证(应该是这样)非常挑剔。

Chrome没有自己的证书存储，使用window自己的。然而，Chrome没有提供将证书导入存储的方法，因此您应该通过IE添加它们。

在Google Chrome中安装证书

在Internet Explorer中安装证书

另外，请看一下创建自签名证书的几种不同方法(我假设您使用的是IIS，正如您没有提到的那样)。

如何在IIS 7中创建自签名证书

相关讨论

当单击URL旁边的小交叉锁图标时，您会看到一个如下所示的框：

enter image description here

单击证书信息链接后，您将看到以下对话框：

enter image description here

它告诉您哪个证书存储是正确的，它是受信任的根证书颁发机构存储。

您可以使用其他答案中概述的方法之一将证书添加到该存储，也可以使用：

1	certutil -addstore -user"ROOT" cert.pem

ROOT是前面提到的证书存储的内部名称。
cert.pem是您的自签名证书的名称。

相关讨论

我按照比约诺德的建议去做，这是：Google Chrome、Mac OS X和自签名SSL证书

博客中显示的内容不起作用。

然而，博客上的一条评论是黄金：

sudo security add-trusted-cert -d -r trustRoot -k /Library/Keychains/System.keychain site.crt

你需要在博客上关注如何获取证书文件，然后你可以使用上面的命令，并且应该可以很好地使用。

(P)This post is already flooded with responses，but I created a bash script based on some of the other answers to make it easier to generate a self-signed TLS certificate valid in chrome(tested in EDOCX1 silios).希望对其他人有用。(p)布尔奇1(P)在你安装(和信任)证书后，不必再减去(EDOCX1)英字体。(p)(P)Another tool worth checking out is cloudflare's EDOCX1(p)布尔奇1

在Linux上管理chromium上的ssl证书的gui不适合我。然而，他们的医生给出了正确的答案。诀窍是运行下面导入自签名SSL证书的命令。只需更新和certificate-filename.cer的名称，然后重新启动chromium/chrome。

来自文档：

On Linux, Chromium uses the NSS Shared DB. If the built-in manager does not work for you then you can configure certificates with the NSS command line tools.

Get the tools

Debian/Ubuntu: sudo apt-get install libnss3-tools

Fedora: su -c"yum install nss-tools"

Gentoo: su -c"echo 'dev-libs/nss utils' >> /etc/portage/package.use && emerge dev-libs/nss" (You need to launch all commands below with the nss prefix, e.g., nsscertutil.)
Opensuse: sudo zypper install mozilla-nss-tools

To trust a self-signed server certificate, we should use

certutil -d sql:$HOME/.pki/nssdb -A -t"P,," -n -i certificate-filename.cer

List all certificates

certutil -d sql:$HOME/.pki/nssdb -L

The TRUSTARGS are three strings of zero or more alphabetic characters, separated by commas. They define how the certificate should be trusted for SSL, email, and object signing, and are explained in the certutil docs or Meena's blog post on trust flags.

Add a personal certificate and private key for SSL client authentication
Use the command:

pk12util -d sql:$HOME/.pki/nssdb -i PKCS12_file.p12

to import a personal certificate and private key stored in a PKCS #12 file. The TRUSTARGS of the personal certificate will be set to"u,u,u".

Delete a certificate
certutil -d sql:$HOME/.pki/nssdb -D -n

摘录自：https://chromium.googlesource.com/chromium/src/+/head/docs/linux_cert_management.md

(P)As of chrome 58+I started getting certificate on macos due missing San.这里是如何得到绿色的锁在解决酒吧的再次。(p)

(P)Generatite a new certificate with the following command：(p)字母名称

(P)Import the EDOCX1 pensional 0 into your keychain，they double click in the certificate，expand the trust，and select always trust(p)

(P)Refresh the page https：//domain.dev in google chrome，so the green lock is back.(p)

相关讨论

我尝试了所有方法和使其生效的方法：导入时，选择正确的类别，即受信任的根证书颁发机构：

(不好意思，这是德语，但请按照图片操作)

enter image description here

允许不安全的本地主机通过chrome://flags/允许不安全的本地主机正常工作

只需将开发主机名创建到xxx.localhost。

这是一个不断出现的东西——尤其是对于Mac OS X Yosemite上的Google Chrome！

谢天谢地，我们的一个开发团队今天给我发了这个链接，这个方法工作可靠，同时还允许您控制接受证书的站点。

Comment from discussion memcgee's comment from discussion "Why Do Vegans On Youtube Think that Animal Products Cause Obesity?".

杰斯利邮报：

If you don't want to bother with internal certificates...

Type chrome://flags/ in the address bar.

Scroll to or search for Remember decisions to proceed through SSL errors for a specified length of time.

Select Remember for three months.

相关讨论

当我试图在浏览器中导入证书时，它不起作用…在chrome中打开开发人员工具>安全性，然后选择查看证书。单击"详细信息"选项卡并将其导出。

/Linux

1
2
3

sudo apt-get install libnss3-tools

certutil -d sql:$HOME/.pki/nssdb -A -t"P,," -n [EXPORTED_FILE_PATH] -i [EXPORTED_FILE_PATH]

运行这个命令，如果你看到你刚导入的文件，你就可以走了！

1	certutil -d sql:$HOME/.pki/nssdb -L

//Windows

1	Start => run => certmgr.msc

在左侧选择可信根证书颁发机构=>个人。单击操作选项卡=>所有操作/导入，然后从浏览器中选择之前导出的文件

别忘了重新启动Chrome！！！！

祝你好运！；)

相关讨论

这对我很有效。参见：http://www.robbick.com/2010/10/google-chrome-mac-os-x-and-self-signed-ssl-certificates/.vcy8_znvhbc

在地址栏中，单击带有X的小锁。这将显示一个小信息屏幕。单击"证书信息"按钮。

单击并将图像拖到桌面上。它看起来像一个小证书。

双击它。这将显示keychain访问实用程序。输入密码以解锁。

请确保将证书添加到系统密钥链，而不是登录密钥链。点击"永远信任"，即使这看起来没什么作用。

添加后，双击它。您可能需要再次验证。

展开"信任"部分。

使用此证书时，设置为"始终信任"

(P)2017-06-27 Newest Method:(p)字母名称(P)Then，add yoursite.crt and yoursite.key to your nginx conf.(p)(P)From：https://github.com/webpack/webpack-dev-server/issues/854(p)

相关讨论

我不得不在MacOSX上调整chrome启动程序，并在下面添加了脚本。保存如下：

/Applications/Google\ Chrome.app/Contents/MacOS/Chrome.command

1
2
3
4

#!/bin/sh
RealBin="Google Chrome"
AppDir="$(dirname"$0")"
exec"$AppDir/$RealBin" --ignore-certificate-errors"$@"

当我用这个脚本启动chrome时，自签名证书工作正常。但是不要用这个脚本启动的浏览器浏览网页，你不会收到关于无效证书的警告！

相关讨论

Mac/OSX上的SSL/HTTPS本地主机修复程序：

尝试打开HTTPS本地主机环境时，单击地址栏中带有十字的红色锁。将打开一个窗口，其中包含有关证书的一些信息。

点击"详细信息"信息窗口

Chrome开发人员工具将在"安全"选项卡上打开。单击查看证书。证书图像

将其添加到您的"系统"密钥链(而不是默认选择的"登录"密钥链)。

再次打开钥匙链，找到证书。点击它，确保你"信任"所有人。

重新启动Chrome，它应该可以工作。

修复Windows上的Chrome。

首先，您需要导出证书。

在浏览器中找到URL。URL的"https"段将用红线划掉，左边会有一个锁符号。
右键单击划掉的"https"段。
您将看到一个包含各种信息的信息窗口
单击"详细信息"。
导出证书，按照说明接受默认设置。

进口

转到Chrome设置
单击"高级设置"
在https/ssl下，单击"管理证书"
转到"受信任的根证书颁发机构"
点击"导入"
将出现一个弹出窗口，询问您是否要安装此证书。单击"是"。

相关讨论

为了在Windows上进行开发，可以添加到chrome快捷标志--ignore-certificate-errors

它希望忽略证书错误并允许您访问无效的证书网站。在https://support.opendns.com/entries/66657664中有更详细的说明。

enter image description here

相关讨论

What am I supposed to do to get Chrome to accept the certificate and stop complaining about it?

您应该用创建一个pki；

1)自签名根CA。2)次级/中间证书[由根CA签署]。3)普通/最终实体证书[由根CA或子CA签署](CommonName或SubjectAltname(SAN)作为本地主机)(还包括https://localhost/作为SAN中的URI)。4)在您的Windows操作系统中导入/安装根CA(因为您提到过，即Google Chrome在查找证书链时使用相同的资源-https://www.chromium.org/home/chromium-security/root-ca-policy)作为"受信任的根证书颁发机构"。5)安装该最终实体证书作为您的Web服务器证书，它停止抱怨错误消息。

希望这有帮助。

我自己解决了这个问题，没有更改任何具有适当SSL认证的浏览器上的设置。我使用的是Mac，所以它需要对我的SSL认证进行密钥链更新。为了让Chrome接受它，我必须将使用者alt名称添加到SSL认证中。从今天起，这是用于Chrome版本号：62.0.3202.94

我的示例易于使用命令和配置文件：

添加这些文件，这个示例都在一个根目录中

SSL.CONF

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18

[ req ]
default_bits = 4096
distinguished_name = req_distinguished_name
req_extensions = req_ext

[ req_distinguished_name ]
countryName = Country Name (2 letter code)
stateOrProvinceName = State or Province Name (full name)
localityName = Locality Name (eg, city)
organizationName = Organization Name (eg, company)
commonName = Common Name (e.g. server FQDN or YOUR name)
commonName_max = 64

[ req_ext ]
subjectAltName = @alt_names

[alt_names]
DNS.1 = localhost

运行命令以创建证书：

1	openssl req -newkey rsa:4096 -nodes -keyout key.pem -x509 -days 3650 -out certificate.pem -extensions req_ext -config ssl.conf -subj '/CN=localhost/O=Stackflow/C=US/L=Los Angeles/OU=StackflowTech'

对于Mac，仅添加受信任的证书(必需)：

1	sudo security add-trusted-cert -d -r trustRoot -k /Library/Keychains/System.keychain ./certificate.pem

对于Windows，您必须找到如何在本地独立地验证我们的SSL证书。我不用窗户。不好意思，Windows的伙计们。

我使用的是带有express.js的node.js服务器，它只需要我的密钥和以下证书：

App.JS

1
2
3
4
5
6
7
8
9

const https = require('https');
const Express = require('express');
const fs = require('fs');
const app = new Express();
const server = https.createServer({
key: fs.readFileSync('./key.pem'),
cert: fs.readFileSync('./certificate.pem'),
}, app);
server.listen(3000);

我可能在将来为其他后端框架做这个，所以我可以在将来为其他人更新这个示例。但这是我在node.js中针对该问题的修复。清除浏览器缓存并在https://上运行应用程序/

以下是在node.js服务器上为Mac用户运行https://localhost的示例：

https://github.com/laynefaler/stack-overflow-running-https-localhost

快乐编码！

对于MacOS上的Chrome，如果您准备了证书：

退出chrome(cmd+q)。
启动钥匙链访问应用程序并打开"证书"类别。
将证书文件拖到"钥匙链访问"窗口，然后键入证书文件的密码。
双击证书并展开"信任"列表。
- 在"使用此证书时"行中，选择"始终信任"。
- 关闭此文件并键入密码。
启动chrome并清除所有缓存。
检查一切正常。

凯伦的回答和托比J的重要更新使我获得了成功，但我必须进行修订：

创建自签名证书时，需要将新的subjectAltName字段放在v3_ca扩展名下，而不是v3_req。我把/etc/ssl/openssl.conf复制到一个临时文件中，然后在[ v3_ca ]下添加了一行subjectAltName = DNS:*.example.com。然后将该文件传递给cert creation命令，类似于

1
2
3

openssl req -x509 -nodes -newkey rsa:2048 \
-config /tmp/openssl-revised.cfg \
-keyout example.com.key -out example.com.crt

并遵循凯伦的最新步骤。

1
2
3
4
5
6
7
8
9
10
11

mkdir CA
openssl genrsa -aes256 -out CA/rootCA.key 4096
openssl req -x509 -new -nodes -key CA/rootCA.key -sha256 -days 1024 -out CA/rootCA.crt

openssl req -new -nodes -keyout example.com.key -out domain.csr -days 3650 -subj"/C=US/L=Some/O=Acme, Inc./CN=example.com"
openssl x509 -req -days 3650 -sha256 -in domain.csr -CA CA/rootCA.crt -CAkey CA/rootCA.key -CAcreateserial -out example.com.crt -extensions v3_ca -extfile <(
cat <<-EOF
[ v3_ca ]
subjectAltName = DNS:example.com
EOF
)

我也遇到了同样的问题：我将证书安装到了Windows的可信根授权存储中，而Chrome仍然拒绝证书，错误为ERR_CERT_COMMON_NAME_INVALID。注意，如果证书没有正确安装在存储中，则错误为ERR_CERT_AUTHORITY_INVALID。

正如错误名称、此注释和此问题所暗示的那样，问题在于证书中声明的域名。生成证书时，当提示输入"公用名"时，我必须输入我用来访问该站点的域名(在我的例子中是localhost)。我使用chrome://restart重新启动了chrome，它最终对这个新证书感到满意。

对于Fedora和Ubuntu，如果在使用GUI添加新的根权限时遇到example.com Not a Certification authority错误。

使用从chrome导出的证书尝试以下操作，任何格式都有效(base64-chain/singe、pkcs 7、der-binary等)。当所有的GUI方法都不幸失败时，这对我很有效。

1 2	certutil -d sql:$HOME/.pki/nssdb -A -t"P,," -n <certificate nickname> \ -i <certificate filename>

要查看更改，请重新启动chrome，必要时从后台将其杀死。火狐仍然会抱怨。

如果以后需要删除它，请转到chrome->settings->advanced->manage certificates->servers，它最终会显示在那里，在那里可以删除它。

来源，警告，非常零散和部分过时：https://chromium.googlesource.com/chromium/src/+/head/docs/linuxu certu management.md

(P)Here is a solution using only Java 8 keytool.exe instead of openssl:(p)字母名称(P)You could also use pipes instead of files，but with the files，you can check the intermediate results if some goes wrong.SSL tested with IE11，EDGE，FF54，chrome60 on windows and chrome60 on Android.(p)(P)请在使用脚本之前更改密码。(p)

(P)我不知道答案在哪里，在视窗10(p)(P)字母名称4(p)(P)However I found this page，indicating another flag to pass：(p)(P)http://www.chromium.org/blink/servicworker/service-worker-faq(p)布尔奇1(P)That did not get rid of the Red Warning，but it did enable me to use https-only feature like service workers and web push notifications.(p)

相关讨论

假设您在Mac OSX上，您也可以在Safari中打开有问题的URL；比如：https://localhost:8080/css/app.css，允许cert.re-start chrome，它就会工作。

相关讨论