您的連接不安全 - 如何將 CA 證書添加到瀏覽器

我剛剛在我的 LAN 中添加了一個 NAS（網路附加儲存），我想通過HTTPS. 一切正常，除了當我瀏覽它時，chrome 在地址欄中以“不安全”響應，並且 URL 的“https”協議部分中有一條刪除線。我在使用 Mozilla Firefox 時遇到了類似的問題。

腳步

1. 在執行 Linux Mint 17.3 的 PC 上，我通過執行sudo /usr/lib/ssl/misc/CA.sh -newca.
2. 我使用 http 登錄 NAS 並創建了一個 CSR（證書籤名請求），然後我將其下載到我的 PC 上。該文件具有 .csr 副檔名。
3. 然後我使用命令對 .csr 文件進行了簽名sudo openssl ca -out myCert.pem -infiles myCert.csr。
4. 我使用它的 Web 界面將證書 myCert.pem 導入 NAS。
5. 我將 PC 上的 CA 證書 myCaCert.pem 添加到其證書儲存區，方法是將其移動到/usr/share/ca-certificates/extra/myCaCert.crt然後執行sudo dpkg-reconfigure ca-certificates.
6. 然後，我通過執行檢查了最終證書 myCert.pem 文件是否正常工作openssl verify myCert.pem。輸出為“myCert.pem：OK”。
7. 然後我將根證書 myCaCert.pem 文件導入到 Mozilla Firefox 和 chrome 中。

完成這些步驟後，Firefox 和 chrome 都顯示通過 https 訪問 NAS 的 url 不安全。是否需要在具有 myCaCert.pem 文件的 PC 上設置服務才能提供該文件？不知道此時該做什麼…

編輯

根據 dave_thompson_085 的建議，我在開發人員工具中檢查了 Chrome 中的安全錯誤。顯示以下兩個錯誤：

(1) 主題備用名稱缺失：此站點的證書不包含包含域名或 IP 地址的主題備用名稱擴展。

(2) 證書錯誤：站點的證書鏈（net::ERR_CERT_COMMON_NAME_INVALID）存在問題。

我認為主題替代名稱是可選的……我將嘗試使用 SAN 生成另一個 CSR……

date_thompson_085 和 tonioc 發布的評論有助於追踪問題。不幸的是，我使用的 NAS 創建的 CSR（即 Synology DS916+）沒有在請求中包含 SAN（主題備用名稱）的選項。結果，我過去openssl在我的 PC 上創建了一個證書請求，然後我使用與openssl ca ...原始問題中發布的相同方法 () 對其進行了簽名。我需要使用帶有 openssl 命令的自定義 .cnf 配置文件，一個用於發出請求，一個用於對其進行簽名，以使 SAN 顯示在最終證書中。但是，將該證書導入 NAS 後，chrome 和 firefox 出現的問題就停止了。

引用自：https://serverfault.com/questions/877879