chrome 是不是不支持内网 ip 的 ssl 证书了?

2017-07-20 23:07:32 +08:00
 gamexg

如题, 用自签的 CA 签了一个内网 ip 的证书,chrome 打开还是提示:

您的连接不是私密连接

攻击者可能会试图从 192.168.x.x 窃取您的信息(例如:密码、通讯内容或信用卡信息)。NET::ERR_CERT_COMMON_NAME_INVALID

CA 已经导入到了可信任根证书机构,打开 ip 证书显示证书是有效的。

证书信息: E = admin@xxx CN = 192.168.x.x O = c L = b S = a C = US

9677 次点击
所在节点    SSL
11 条回复
yexm0
2017-07-20 23:29:00 +08:00
chrome://flags/#allow-insecure-localhost
Halry
2017-07-21 08:47:38 +08:00
需要 sub alt name,要不是就会 common name invalid
yyfearth
2017-07-21 08:48:27 +08:00
这个和内网或者 localhost 没关系

是 Chrome 不再匹配证书的 CN

而只匹配证书的 SAN 扩展了

你到 DevTools 的 Security 里面可以看到警告说明原因
gamexg
2017-07-21 17:34:31 +08:00
@yyfearth
@Halry

非常感谢,老系统无法签 SAN,升级后重新签发了带 SAN 的证书。
现在 chrome 不在报证书错误了。
Rezark
2017-07-21 18:23:30 +08:00
这样算不算成功,
https://www.trustauth.cn/wp-content/uploads/2017/07/selfsigncert.png
gamexg
2017-07-21 18:33:40 +08:00
@Rezark 我的现在也是这样,chrome 下不报证书错误了。
DylanWong
2019-01-14 10:51:38 +08:00
@gamexg 请问怎么详细操作?
DylanWong
2019-01-14 16:02:47 +08:00
@Rezark 请问怎么出来这个?
gamexg
2019-01-14 17:02:59 +08:00
@DylanWong #8 使用什么签发的证书?
需要将 ip 填到使用者可选名称字段(DNS Name=*.v2ex.com 或 IP Address=1.2.3.4),单独只填写到使用者 (CN = *.v2ex.com )字段就会在新版本 chrome 下出现问题。

具体你是用的什么证书签发工具不清楚,我不确定应该怎么操作。
但是只用注意一点,使用者字段只允许单个域名,但是可选名称允许多个域名,只要查询下单个证书签发多个域名用哪个参数就能确定怎么操作了,这个支持多个域名的就是可选名称。
DylanWong
2019-01-15 09:38:04 +08:00
@gamexg 感谢回复,我用的是 OpenSSL 生成的证书,目前在 Chrome 下面会报警告信息,我想请问您是用什么工具生成的?
gamexg
2019-01-15 11:01:31 +08:00
@DylanWong #10 freenas 签发的内网证书。

搜索了下,OpenSSL 的操作步骤:

https://zhuanlan.zhihu.com/p/26646377

“原有的简单自签名证书在 chrome 里面不好使了,提示 missing_subjectAltName ”

https://blog.csdn.net/u013066244/article/details/78725842

“[alt_names]”

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/376834

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX