Linux

您的連接不安全 - 如何將 CA 證書添加到瀏覽器

  • October 12, 2017

我剛剛在我的 LAN 中添加了一個 NAS(網路附加儲存),我想通過HTTPS. 一切正常,除了當我瀏覽它時,chrome 在地址欄中以“不安全”響應,並且 URL 的“https”協議部分中有一條刪除線。我在使用 Mozilla Firefox 時遇到了類似的問題。

腳步

  1. 在執行 Linux Mint 17.3 的 PC 上,我通過執行sudo /usr/lib/ssl/misc/CA.sh -newca.
  2. 我使用 http 登錄 NAS 並創建了一個 CSR(證書籤名請求),然後我將其下載到我的 PC 上。該文件具有 .csr 副檔名。
  3. 然後我使用命令對 .csr 文件進行了簽名sudo openssl ca -out myCert.pem -infiles myCert.csr
  4. 我使用它的 Web 界面將證書 myCert.pem 導入 NAS。
  5. 我將 PC 上的 CA 證書 myCaCert.pem 添加到其證書儲存區,方法是將其移動到/usr/share/ca-certificates/extra/myCaCert.crt然後執行sudo dpkg-reconfigure ca-certificates.
  6. 然後,我通過執行檢查了最終證書 myCert.pem 文件是否正常工作openssl verify myCert.pem。輸出為“myCert.pem:OK”。
  7. 然後我將根證書 myCaCert.pem 文件導入到 Mozilla Firefox 和 chrome 中。

完成這些步驟後,Firefox 和 chrome 都顯示通過 https 訪問 NAS 的 url 不安全。是否需要在具有 myCaCert.pem 文件的 PC 上設置服務才能提供該文件?不知道此時該做什麼…

編輯

根據 dave_thompson_085 的建議,我在開發人員工具中檢查了 Chrome 中的安全錯誤。顯示以下兩個錯誤:

(1) 主題備用名稱缺失:此站點的證書不包含包含域名或 IP 地址的主題備用名稱擴展。

(2) 證書錯誤:站點的證書鏈(net::ERR_CERT_COMMON_NAME_INVALID)存在問題。

我認為主題替代名稱是可選的……我將嘗試使用 SAN 生成另一個 CSR……

date_thompson_085 和 tonioc 發布的評論有助於追踪問題。不幸的是,我使用的 NAS 創建的 CSR(即 Synology DS916+)沒有在請求中包含 SAN(主題備用名稱)的選項。結果,我過去openssl在我的 PC 上創建了一個證書請求,然後我使用與openssl ca ...原始問題中發布的相同方法 () 對其進行了簽名。我需要使用帶有 openssl 命令的自定義 .cnf 配置文件,一個用於發出請求,一個用於對其進行簽名,以使 SAN 顯示在最終證書中。但是,將該證書導入 NAS 後,chrome 和 firefox 出現的問題就停止了。

引用自:https://serverfault.com/questions/877879