He creado un certificado SSL autofirmado para el CN ​​localhost. Firefox acepta este certificado después de quejarse inicialmente, como se esperaba. Chrome e IE, sin embargo, se niegan a aceptarlo, incluso después de agregar el certificado al almacén de certificados del sistema en Trusted Roots. Aunque el certificado aparece como instalado correctamente cuando hago clic en "Ver información del certificado" en la ventana emergente HTTPS de Chrome, todavía insiste en que no se puede confiar en el certificado.

¿Qué se supone que debo hacer para que Chrome acepte el certificado y deje de quejarse?

2020-05-22 : con solo 6 comandos de shell , puede lograr esto.

Por favor, no cambie la configuración de seguridad del navegador.

Con el siguiente código, puede (1) convertirse en su propia CA, (2) y luego firmar su certificado SSL como CA. (3) Luego importe el certificado de CA (no el certificado SSL, que va a su servidor) en Chrome / Chromium. (Sí, esto funciona incluso en Linux).

######################
# Become a Certificate Authority
######################

# Generate private key
openssl genrsa -des3 -out myCA.key 2048
# Generate root certificate
openssl req -x509 -new -nodes -key myCA.key -sha256 -days 825 -out myCA.pem

######################
# Create CA-signed certs
######################

NAME=mydomain.com # Use your own domain name
# Generate a private key
openssl genrsa -out $NAME.key 2048
# Create a certificate-signing request
openssl req -new -key $NAME.key -out $NAME.csr
# Create a config file for the extensions
>$NAME.ext cat <<-EOF
authorityKeyIdentifier=keyid,issuer
basicConstraints=CA:FALSE
keyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment
subjectAltName = @alt_names
[alt_names]
DNS.1 = $NAME # Be sure to include the domain name here because Common Name is not so commonly honoured by itself
DNS.2 = bar.$NAME # Optionally, add additional domains (I've added a subdomain here)
IP.1 = 192.168.0.13 # Optionally, add an IP address (if the connection which you have planned requires it)
EOF
# Create the signed certificate
openssl x509 -req -in $NAME.csr -CA myCA.pem -CAkey myCA.key -CAcreateserial \
-out $NAME.crt -days 825 -sha256 -extfile $NAME.ext

Recordar:

1. Conviértete en CA
2. Firme su certificado con su clave CA
3. Importar myCA.pem como una autoridad en la configuración de Chrome (Configuración> Administrar certificados> Autoridades> Importar)
4. Utilizar el .crt archivo en tu servidor

Pasos adicionales (para Mac, al menos):

1. Importe el certificado de CA en "Archivo> Importar archivo", luego también encuéntrelo en la lista, haga clic con el botón derecho, expanda "> Confiar" y seleccione "Siempre"
2. Agregue a extendedKeyUsage=serverAuth,clientAuthcontinuación basicConstraints=CA:FALSEy asegúrese de establecer "CommonName" igual que $NAMEcuando solicita la configuración

Puedes revisar tu trabajo

openssl verify -CAfile myCA.pem -verify_hostname bar.mydomain.com mydomain.com.crt

Por localhostsolo:

Simplemente pegue esto en su Chrome:

chrome://flags/#allow-insecure-localhost

Debería ver texto resaltado que dice: Permitir certificados no válidos para recursos cargados desde localhost

Haga clic Enable.

Esto funcionó para mí:

1. Con Chrome, acceda a una página en su servidor a través de HTTPS y continúe pasando la página de advertencia roja (suponiendo que no lo haya hecho ya).
2. Abrir Chrome Settings > Show advanced settings > HTTPS/SSL > Manage Certificates.
3. Haga clic en la Authoritiespestaña y desplácese hacia abajo para encontrar su certificado debajo del Nombre de la organización que le dio al certificado.
4. Selecciónelo, haga clic en Editar ( NOTA : en versiones recientes de Chrome, el botón ahora es "Avanzado" en lugar de "Editar"), marque todas las casillas y haga clic en Aceptar. Es posible que deba reiniciar Chrome.

Debería obtener el bonito candado verde en sus páginas ahora.

EDITAR: Intenté esto nuevamente en una nueva máquina y el certificado no apareció en la ventana Administrar certificados simplemente al continuar desde la página roja del certificado no confiable. Tuve que hacer lo siguiente:

1. En la página con el certificado no confiable ( https://está tachado en rojo), haga clic en el candado> Información del certificado. NOTA: en las versiones más nuevas de Chrome, debe abrir Developer Tools > Securityy seleccionar View certificate.
2. Haz clic en el Details tab > Export. Elija PKCS #7, single certificatecomo formato de archivo.
3. Luego, siga mis instrucciones originales para llegar a la página Administrar certificados. Haga clic en Authorities tab > Importy elija el archivo al que exportó el certificado, y asegúrese de elegir PKCS #7, single certificate el tipo de archivo .
4. Si se le solicita la tienda de certificación, elija Autoridades de certificados raíz de confianza
5. Marque todas las casillas y haga clic en Aceptar. Reinicia Chrome.

ACTUALIZACIÓN PARA CHROME 58+ (LANZADO 2017-04-19)

A partir de Chrome 58, commonName se eliminó la capacidad de identificar el host utilizando únicamente . Los certificados ahora deben usarse subjectAltNamepara identificar sus hosts. Vea más discusión aquí y rastreador de errores aquí . En el pasado, subjectAltNamese usaba solo para certificados de host múltiple, por lo que algunas herramientas de CA internas no los incluyen.

Si sus certificados autofirmados funcionaron bien en el pasado pero de repente comenzaron a generar errores en Chrome 58, esta es la razón.

Por lo tanto, sea cual sea el método que esté utilizando para generar su certificado autofirmado (o certificado firmado por una CA autofirmada), asegúrese de que el certificado del servidor contenga un subjectAltNamecon la entrada DNSy / o IPentrada correcta , incluso si es solo para un único host .

Para openssl, esto significa que su configuración OpenSSL ( /etc/ssl/openssl.cnfen Ubuntu) debe tener algo similar a lo siguiente para un solo host:

[v3_ca]   # and/or [v3_req], if you are generating a CSR
subjectAltName = DNS:example.com

o para múltiples hosts:

[v3_ca]   # and/or [v3_req], if you are generating a CSR
subjectAltName = DNS:example.com, DNS:host1.example.com, DNS:*.host2.example.com, IP:10.1.2.3

En espectador cert de Chrome (que ha trasladado a la pestaña "Seguridad" bajo F12) debería ver que aparece bajo Extensionscomo Certificate Subject Alternative Name:

En Mac, puede usar la utilidad Acceso a llavero para agregar el certificado autofirmado al llavero del sistema, y ​​Chrome lo aceptará. Encontré las instrucciones paso a paso aquí:

Google Chrome, Mac OS X y certificados SSL autofirmados

Básicamente:

1. haga doble clic en el icono de candado con una X y arrastre y suelte el icono del certificado en el escritorio,
2. abra este archivo (que termina con una extensión .cer); esto abre la aplicación de llavero que le permite aprobar el certificado.

Haga clic en cualquier lugar de la página y escriba un BYPASS_SEQUENCE

" thisisunsafe" es un BYPASS_SEQUENCE para Chrome versión 65

" badidea" Chrome versión 62-64.

" danger" solía funcionar en versiones anteriores de Chrome

No necesita buscar el campo de entrada, simplemente escríbalo. Se siente extraño pero está funcionando.

Lo probé en Mac High Sierra.

Para verificar si lo cambiaron nuevamente, vaya al Último código fuente de cromo

Para buscar BYPASS_SEQUENCE, en este momento se ve así:

var BYPASS_SEQUENCE = window.atob('dGhpc2lzdW5zYWZl');

Ahora lo tienen camuflado, pero para ver el BYPASS_SEQUENCE real puede ejecutar la siguiente línea en una consola del navegador.

console.log(window.atob('dGhpc2lzdW5zYWZl'));

Linux

Si está utilizando Linux, también puede seguir estas páginas wiki oficiales:

• Configuración de certificados SSL en Linux.
• NSS Shared DB y LINUX
• NSS Shared DB Howto

Básicamente:

• haz clic en el ícono de candado con una X,
• elija Información del certificado
• ir a la pestaña Detalles
• Haga clic en Exportar ... (guardar como archivo)

Ahora, el siguiente comando agregará el certificado (donde YOUR_FILE es su archivo exportado):

certutil -d sql:$HOME/.pki/nssdb -A -t "P,," -n YOUR_FILE -i YOUR_FILE

Para enumerar todos sus certificados, ejecute el siguiente comando:

certutil -d sql:$HOME/.pki/nssdb -L

Si aún no funciona, podría verse afectado por este error: Problema 55050: error SSL de Ubuntu 8179

PD: también asegúrate de que tienes libnss3-tools antes de poder utilizar los comandos anteriores.

Si no tiene, instálelo de la siguiente manera:

sudo apt-get install libnss3-tools # on Ubuntu
sudo yum install nss-tools # on Fedora, Red Hat, etc.

Como beneficio adicional, puede usar los siguientes scripts útiles:

$ cat add_cert.sh
certutil -d sql:$HOME/.pki/nssdb -A -t "P,," -n $1 -i $1
$ cat list_cert.sh
certutil -d sql:$HOME/.pki/nssdb -L # add '-h all' to see all built-in certs
$ cat download_cert.sh
echo QUIT | openssl s_client -connect $1:443 | sed -ne '/BEGIN CERT/,/END CERT/p'

Uso:

add_cert.sh [FILE]
list_cert.sh
download_cert.sh [DOMAIN]

Solución de problemas

• Ejecuta Chrome con --auto-ssl-client-authparámetro

  google-chrome --auto-ssl-client-auth

En Mac, puede crear un certificado en el que Chrome y Safari confíen plenamente a nivel de sistema haciendo lo siguiente:

    # create a root authority cert
    ./create_root_cert_and_key.sh

    # create a wildcard cert for mysite.com
    ./create_certificate_for_domain.sh mysite.com

    # or create a cert for www.mysite.com, no wildcards
    ./create_certificate_for_domain.sh www.mysite.com www.mysite.com

Lo anterior utiliza los siguientes scripts y un archivo de soporte v3.extpara evitar errores de nombre alternativo del sujeto

Si desea crear un nuevo certificado autofirmado de plena confianza utilizando su propia autoridad raíz, puede hacerlo utilizando estos scripts.

create_root_cert_and_key.sh

    #!/usr/bin/env bash
    openssl genrsa -out rootCA.key 2048
    openssl req -x509 -new -nodes -key rootCA.key -sha256 -days 1024 -out rootCA.pem

create_certificate_for_domain.sh

    #!/usr/bin/env bash

    if [ -z "$1" ]
    then
      echo "Please supply a subdomain to create a certificate for";
      echo "e.g. www.mysite.com"
      exit;
    fi

    if [ ! -f rootCA.pem ]; then
      echo 'Please run "create_root_cert_and_key.sh" first, and try again!'
      exit;
    fi
    if [ ! -f v3.ext ]; then
      echo 'Please download the "v3.ext" file and try again!'
      exit;
    fi

    # Create a new private key if one doesnt exist, or use the xeisting one if it does
    if [ -f device.key ]; then
      KEY_OPT="-key"
    else
      KEY_OPT="-keyout"
    fi

    DOMAIN=$1
    COMMON_NAME=${2:-*.$1}
    SUBJECT="/C=CA/ST=None/L=NB/O=None/CN=$COMMON_NAME"
    NUM_OF_DAYS=825
    openssl req -new -newkey rsa:2048 -sha256 -nodes $KEY_OPT device.key -subj "$SUBJECT" -out device.csr
    cat v3.ext | sed s/%%DOMAIN%%/"$COMMON_NAME"/g > /tmp/__v3.ext
    openssl x509 -req -in device.csr -CA rootCA.pem -CAkey rootCA.key -CAcreateserial -out device.crt -days $NUM_OF_DAYS -sha256 -extfile /tmp/__v3.ext 

    # move output files to final filenames
    mv device.csr "$DOMAIN.csr"
    cp device.crt "$DOMAIN.crt"

    # remove temp file
    rm -f device.crt;

    echo 
    echo "###########################################################################"
    echo Done! 
    echo "###########################################################################"
    echo "To use these files on your server, simply copy both $DOMAIN.csr and"
    echo "device.key to your webserver, and use like so (if Apache, for example)"
    echo 
    echo "    SSLCertificateFile    /path_to_your_files/$DOMAIN.crt"
    echo "    SSLCertificateKeyFile /path_to_your_files/device.key"

v3.ext

    authorityKeyIdentifier=keyid,issuer
    basicConstraints=CA:FALSE
    keyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment
    subjectAltName = @alt_names

    [alt_names]
    DNS.1 = %%DOMAIN%%

Un paso más: cómo hacer que los certificados autofirmados sean totalmente confiables en Chrome / Safari

Para permitir que los certificados autofirmados sean TOTALMENTE confiables en Chrome y Safari, debe importar una nueva autoridad de certificación en su Mac. Para hacerlo, siga estas instrucciones o las instrucciones más detalladas sobre este proceso general en el sitio web de mitmproxy :

Puede hacer esto de 2 maneras, en la línea de comando, usando este comando que le pedirá su contraseña:

$ sudo security add-trusted-cert -d -r trustRoot -k /Library/Keychains/System.keychain rootCA.pem

o usando la Keychain Accessaplicación:

1. Acceso a llavero abierto
2. Elija "Sistema" en la lista "Llaveros"
3. Elija "Certificados" en la lista "Categoría"
4. Elija "Archivo | Importar elementos ..."
5. Busque el archivo creado anteriormente, "rootCA.pem", selecciónelo y haga clic en "Abrir"
6. Seleccione su certificado recién importado en la lista "Certificados".
7. Haga clic en el botón "i" o haga clic con el botón derecho en su certificado y elija "Obtener información"
8. Expanda la opción "Confianza"
9. Cambie "Al usar este certificado" a "Confiar siempre"
10. Cierre el cuadro de diálogo y se le pedirá su contraseña.
11. ¡Cierre y vuelva a abrir las pestañas que usan su dominio de destino, y se cargará de forma segura!

y como beneficio adicional, si necesita que los clientes de Java confíen en los certificados, puede hacerlo importando sus certificados al almacén de claves de Java. Tenga en cuenta que esto eliminará el certificado del almacén de claves si ya existe, ya que necesita actualizarlo en caso de que las cosas cambien. Por supuesto, solo hace esto para los certificados que se importan.

import_certs_in_current_folder_into_java_keystore.sh

KEYSTORE="$(/usr/libexec/java_home)/jre/lib/security/cacerts";

function running_as_root()
{
  if [ "$EUID" -ne 0 ]
    then echo "NO"
    exit
  fi

  echo "YES"
}

function import_certs_to_java_keystore
{
  for crt in *.crt; do 
    echo prepping $crt 
    keytool -delete -storepass changeit -alias alias__${crt} -keystore $KEYSTORE;
    keytool -import -file $crt -storepass changeit -noprompt --alias alias__${crt} -keystore $KEYSTORE
    echo 
  done
}

if [ "$(running_as_root)" == "YES" ]
then
  import_certs_to_java_keystore
else
  echo "This script needs to be run as root!"
fi

ACTUALIZACIÓN 11/2017: esta respuesta probablemente no funcionará para la mayoría de las versiones más nuevas de Chrome.

ACTUALIZACIÓN 02/2016: Aquí se pueden encontrar mejores instrucciones para usuarios de Mac .

1. En el sitio que desea agregar, haga clic con el botón derecho en el icono de candado rojo en la barra de direcciones:

   2. Haga clic en la pestaña etiquetada Conexión , luego haga clic en Información del certificado

   3. Haga clic en el Detalles ficha, haga clic en el botón Copiar en archivo ... . Esto abrirá el Asistente de exportación de certificados, haga clic en Siguiente para acceder a la pantalla Formato de archivo de exportación .

   4. Elija DER binario codificado X.509 (.CER) , haga clic en Siguiente

   5. Haga clic en Examinar ... y guarde el archivo en su computadora. Nómbrelo algo descriptivo. Haga clic en Siguiente , luego haga clic en Finalizar .

   6. Abra la configuración de Chrome, desplácese hasta la parte inferior y haga clic en Mostrar configuración avanzada ...

   7. En HTTPS / SSL , haga clic en Administrar certificados ...

   8. Haga clic en la certificación raíz de confianza Autoridades ficha, a continuación, haga clic en la importación ... botón. Esto abre el Asistente de importación de certificados. Haga clic en Siguiente para acceder a la pantalla Archivo para importar .

   9. Haga clic en Examinar ... y seleccione el archivo de certificado que guardó anteriormente, luego haga clic en Siguiente .

   10. Seleccione Colocar todos los certificados en la siguiente tienda . La tienda seleccionada debe ser Autoridades de certificación raíz de confianza . Si no es así, haga clic en Examinar ... y selecciónelo. Haga clic en Siguiente y Finalizar

   11. Haga clic en Sí en la advertencia de seguridad.

   12. Reinicia Chrome.

Si estás en una Mac y no ves la pestaña de exportación o cómo obtener el certificado, esto funcionó para mí:

1. Haga clic en el candado antes de https: //
2. Vaya a la pestaña "Conexión"

3. Haga clic en "Información del certificado"

   Ahora deberías ver esto:

4. Arrastre ese pequeño icono de certificado a su escritorio (o en cualquier lugar).

5. Haga doble clic en el archivo .cer que descargó, esto debería importarlo a su llavero y abrir Acceso a Llavero a su lista de certificados.

   En algunos casos, esto es suficiente y ahora puede actualizar la página.

   De otra manera:

6. Haga doble clic en el certificado recién agregado.
7. En el menú desplegable de confianza, cambie la opción "Al usar este certificado" a "Confiar siempre"

¡Ahora vuelva a cargar la página en cuestión y debería resolverse el problema! Espero que esto ayude.

Editar desde Wolph

Para hacer esto un poco más fácil, puede usar el siguiente script ( fuente ):

1. Guarde el siguiente script como whitelist_ssl_certificate.ssh:

   #!/usr/bin/env bash -e
   
   SERVERNAME=$(echo "$1" | sed -E -e 's/https?:\/\///' -e 's/\/.*//')
   echo "$SERVERNAME"
   
   if [[ "$SERVERNAME" =~ .*\..* ]]; then
       echo "Adding certificate for $SERVERNAME"
       echo -n | openssl s_client -connect $SERVERNAME:443 | sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p' | tee /tmp/$SERVERNAME.cert
       sudo security add-trusted-cert -d -r trustRoot -k "/Library/Keychains/System.keychain" /tmp/$SERVERNAME.cert
   else
       echo "Usage: $0 www.site.name"
       echo "http:// and such will be stripped automatically"
   fi

2. Haga que el script sea ejecutable (desde el shell):

   chmod +x whitelist_ssl_certificate.ssh

3. Ejecute el script para el dominio que desee (simplemente copie / pegue la url completa funciona):

   ./whitelist_ssl_certificate.ssh https://your_website/whatever

ACTUALIZADO 23/04/2020

Recomendado por el equipo de cromo

https://www.chromium.org/Home/chromium-security/deprecating-powerful-features-on-insecure-origins#TOC-Testing-Powerful-Features

Solución rápida súper fácil

Hay una frase de omisión secreta que se puede escribir en la página de error para que Chrome continúe a pesar del error de seguridad: esto no es seguro (en versiones anteriores de Chrome, escriba badidea e incluso antes, peligro ). ¡ NO LO USE A MENOS QUE USTED ENTIENDA EXACTAMENTE POR QUÉ LO NECESITA!

Fuente:

https://chromium.googlesource.com/chromium/src/+/d8fc089b62cd4f8d907acff6fb3f5ff58f168697%5E%21/

(NOTA que window.atob('dGhpc2lzdW5zYWZl')resuelve athisisunsafe )

La última versión de la fuente es @ https://chromium.googlesource.com/chromium/src/+/refs/heads/master/components/security_interstitials/core/browser/resources/interstitial_large.js y elwindow.atob función se puede ejecutar en Una consola JS.

Para obtener información sobre por qué el equipo de Chrome cambió la frase de omisión (la primera vez):

https://bugs.chromium.org/p/chromium/issues/detail?id=581189

Si todo lo demás falla (Solución # 1)

Para las excepciones únicas si la opción "Proceder de todos modos" no está disponible, o si la frase de omisión funciona, este truco funciona bien:

1. Permita los errores del certificado localhostactivando este indicador (tenga en cuenta que Chrome necesita reiniciarse después de cambiar el valor del indicador):

   chrome://flags/#allow-insecure-localhost

   (y la respuesta de voto https://stackoverflow.com/a/31900210/430128 por @Chris)

2. Si el sitio al que desea conectarse es localhost, ya está. De lo contrario, configure un túnel TCP para escuchar localmente en el puerto 8090 y conéctese al broken-remote-site.compuerto 443, asegúrese de haber socatinstalado y ejecutado algo como esto en una ventana de terminal:

   socat tcp-listen:8090,reuseaddr,fork tcp:broken-remote-site.com:443

3. Vaya a https: // localhost: 8090 en su navegador.

Si todo lo demás falla (Solución # 2)

Similar a "Si todo lo demás falla (Solución # 1)", aquí configuramos un proxy para nuestro servicio local usando ngrok . Debido a que puede acceder a los túneles http ngrok a través de TLS (en cuyo caso ngrok lo termina con un certificado válido) o a través de un punto final que no sea TLS, el navegador no se quejará de certificados no válidos.

Descargue e instale ngrok y luego exponga a través de ngrok.io:

ngrok http https://localhost

ngrok se iniciará y le proporcionará un nombre de host al que puede conectarse, y todas las solicitudes se enviarán de nuevo a su máquina local.

Para un entorno de prueba

Puede usarlo --ignore-certificate-errorscomo parámetro de línea de comando al iniciar Chrome (trabajando en la versión 28.0.1500.52 en Ubuntu).

Esto hará que ignore los errores y se conecte sin previo aviso. Si ya tiene una versión de Chrome en ejecución, deberá cerrarla antes de reiniciarla desde la línea de comandos o abrirá una nueva ventana pero ignorará los parámetros.

Configuro Intellij para que inicie Chrome de esta manera al realizar la depuración, ya que los servidores de prueba nunca tienen certificados válidos.

Sin embargo, no recomendaría una navegación normal como esta, ya que las comprobaciones de certificados son una característica de seguridad importante, pero esto puede ser útil para algunos.

Como alguien ha notado, debe reiniciar TODO Chrome, no solo las ventanas del navegador. La forma más rápida de hacerlo es abrir una pestaña para ...

chrome://restart

WINDOWS JUN / 2017 Windows Server 2012

Seguí la respuesta de @Brad Parks. En Windows, debe importar rootCA.pem en la tienda Trusted Root Certificates Authorities.

Hice los siguientes pasos:

openssl genrsa -out rootCA.key 4096
openssl req -x509 -new -nodes -key rootCA.key -newkey rsa:4096 -sha256 -days 1024 -out rootCA.pem
openssl req -new -newkey rsa:4096 -sha256 -nodes -keyout device.key -out device.csr
openssl x509 -req -in device.csr -CA rootCA.pem -CAkey rootCA.key -CAcreateserial -out device.crt -days 2000 -sha256 -extfile v3.ext

Donde v3.ext es:

authorityKeyIdentifier=keyid,issuer
basicConstraints=CA:FALSE
keyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment
subjectAltName = @alt_names

[alt_names]
DNS.1 = localhost
IP.1 = 192.168.0.2
IP.2 = 127.0.0.1

Luego, en mi caso, tengo una aplicación web autohospedada, así que necesito vincular el certificado con la dirección IP y el puerto, el certificado debe estar en MI tienda con información de clave privada, así que exporté a formato pfx.

openssl pkcs12 -export -out device.pfx -inkey device.key -in device.crt

Con la consola mmc (Archivo / Agregar o quitar complementos / Certificados / Agregar / Computert Account / LocalComputer / OK) importé el archivo pfx en la tienda Personal.

Más tarde usé este comando para vincular el certificado (también podría usar la herramienta HttpConfig):

netsh http add sslcert ipport=0.0.0.0:12345 certhash=b02de34cfe609bf14efd5c2b9be72a6cb6d6fe54 appid={BAD76723-BF4D-497F-A8FE-F0E28D3052F4}

certhash = Certificado Thumprint

appid = GUID (su elección)

Primero intenté importar el certificado "device.crt" en las Autoridades de certificados raíz de confianza de diferentes maneras, pero sigo recibiendo el mismo error:

Pero me di cuenta de que debía importar un certificado de autoridad raíz, no un certificado de dominio. Así que utilicé la consola mmc (Archivo / Agregar o quitar complementos / Certificados / Agregar / Computert Account / LocalComputer / OK) importé rootCA.pem en la tienda Trusted Root Certificates Authorities.

Reinicie Chrome y et voilà funciona.

Con localhost:

O con dirección IP:

Lo único que no pude lograr es que tenga un cifrado obsoleto (cuadro rojo en la imagen). La ayuda es apreciada en este punto.

Con makecert no es posible agregar información SAN. Con New-SelfSignedCertificate (Powershell) puede agregar información SAN, también funciona.

1. Agregue el certificado de CA en el almacén de CA raíz de confianza.

2. ¡Ve a Chrome y habilita esta bandera!

chrome://flags/#allow-insecure-localhost

Por último, simplemente use el dominio * .me o cualquier dominio válido como * .com y * .net y manténgalos en el archivo host. Para mis desarrolladores locales, uso * .me o * .com con un archivo host mantenido de la siguiente manera:

3. Agregar al host. C: / windows / system32 / drivers / etc / hosts

   127.0.0.1 nextwebapp.me

Nota: Si el navegador ya está abierto al hacer esto, el error seguirá apareciendo. Entonces, cierre el navegador y comience nuevamente. Mejor aún, vaya de incógnito o comience una nueva sesión para obtener un efecto inmediato.

¿Está seguro de que la dirección del sitio que se está sirviendo es la misma que la del certificado? Tuve los mismos problemas con Chrome y un certificado autofirmado, pero al final descubrí que era increíblemente exigente con la validación del nombre de dominio en el certificado (como debería ser).

Chrome no tiene su propia tienda de certificados y usa la propia de Windows. Sin embargo, Chrome no proporciona ninguna forma de importar certificados en la tienda, por lo que debe agregarlos a través de IE.

Instalar certificados en Google Chrome

Instalar certificados en Internet Explorer

También eche un vistazo a esto para ver un par de enfoques diferentes para crear certificados autofirmados (supongo que está usando IIS como no lo ha mencionado).

Cómo crear un certificado autofirmado en IIS 7

Seguí el proceso de usar lo que bjnord sugirió: Google Chrome, Mac OS X y certificados SSL autofirmados

Lo que se muestra en el blog no funcionó.

Sin embargo, uno de los comentarios al blog fue oro:

sudo security add-trusted-cert -d -r trustRoot -k /Library/Keychains/System.keychain site.crt

Tendrá que seguir el blog sobre cómo obtener el archivo cert, después de eso puede usar el comando anterior y debería estar listo.

La GUI para administrar certificados SSL en Chromium en Linux NO funcionó correctamente para mí. Sin embargo, sus documentos dieron la respuesta correcta. El truco consistía en ejecutar el siguiente comando que importa el certificado SSL autofirmado. Simplemente actualice el nombre de <certificate-nickname>y certificate-filename.cerluego reinicie chromium / chrome.

De los documentos:

En Linux, Chromium usa la base de datos compartida NSS. Si el administrador incorporado no funciona para usted, puede configurar certificados con las herramientas de línea de comandos de NSS.

Consigue las herramientas

• Debian / Ubuntu: sudo apt-get install libnss3-tools

• Fedora su -c "yum install nss-tools"

• Gentoo: su -c "echo 'dev-libs/nss utils' >> /etc/portage/package.use && emerge dev-libs/nss"( Debe iniciar todos los comandos a continuación con el nssprefijo, por ejemplo nsscertutil,.) Opensuse:sudo zypper install mozilla-nss-tools

Para confiar en un certificado de servidor autofirmado, debemos usar

certutil -d sql:$HOME/.pki/nssdb -A -t "P,," -n <certificate-nickname> -i certificate-filename.cer

Listar todos los certificados

certutil -d sql:$HOME/.pki/nssdb -L

Los TRUSTARGS son tres cadenas de cero o más caracteres alfabéticos, separados por comas. Definen cómo se debe confiar en el certificado para SSL, correo electrónico y firma de objetos, y se explican en los documentos de certutil o en la publicación de blog de Meena sobre indicadores de confianza.

Agregue un certificado personal y una clave privada para la autenticación del cliente SSL Utilice el comando:

pk12util -d sql:$HOME/.pki/nssdb -i PKCS12_file.p12

para importar un certificado personal y una clave privada almacenados en un archivo PKCS # 12. Los TRUSTARGS del certificado personal se establecerán en "u, u, u".

Eliminar un certificado certutil -d sql:$HOME/.pki/nssdb -D -n <certificate nickname>

Extracto de: https://chromium.googlesource.com/chromium/src/+/HEAD/docs/linux_cert_management.md

Filippo Valsorda escribió una herramienta multiplataforma mkcertpara hacer esto por lotes tiendas de confianza. Supongo que lo escribió por la misma razón por la que hay tantas respuestas a esta pregunta: es difícil hacer lo "correcto" para los certificados de SubjectAltName firmados por una CA raíz de confianza.

mkcert está incluido en los principales sistemas de administración de paquetes para Windows, macOS y varios tipos de Linux.

mkcert

mkcertes una herramienta simple para hacer certificados de desarrollo de confianza local. No requiere configuración.

$ mkcert -install
Created a new local CA at "/Users/filippo/Library/Application Support/mkcert" 💥
The local CA is now installed in the system trust store! ⚡️
The local CA is now installed in the Firefox trust store (requires browser restart)! 🦊

$ mkcert example.com "*.example.com" example.test localhost 127.0.0.1 ::1
Using the local CA at "/Users/filippo/Library/Application Support/mkcert" ✨

Created a new certificate valid for the following names 📜
 - "example.com"
 - "*.example.com"
 - "example.test"
 - "localhost"
 - "127.0.0.1"
 - "::1"

The certificate is at "./example.com+5.pem" and the key at "./example.com+5-key.pem" ✅

Al hacer clic en el pequeño icono de candado tachado al lado de la URL, obtendrá un cuadro como este:

Después de hacer clic en el enlace Información del certificado , verá el siguiente cuadro de diálogo:

Le indica qué almacén de certificados es el correcto, es el almacén de las Autoridades de certificación raíz de confianza .

Puede usar uno de los métodos descritos en las otras respuestas para agregar el certificado a esa tienda o usar:

certutil -addstore -user "ROOT" cert.pem

• ROOT es el nombre interno del almacén de certificados mencionado anteriormente.
• cert.pem es el nombre de su certificado autofirmado.

Esto funcionó para mí. Ver: http://www.robpeck.com/2010/10/google-chrome-mac-os-x-and-self-signed-ssl-certificates/#.Vcy8_ZNVhBc

En la barra de direcciones, haga clic en el pequeño candado con la X. Aparecerá una pequeña pantalla de información. Haga clic en el botón que dice "Información del certificado".

Haga clic y arrastre la imagen a su escritorio. Parece un pequeño certificado.

Haz doble clic en él. Esto abrirá la utilidad Keychain Access. Ingrese su contraseña para desbloquearla.

Asegúrese de agregar el certificado al llavero del sistema, no al llavero de inicio de sesión. Haga clic en "Confiar siempre", aunque esto no parece hacer nada.

Después de que se haya agregado, haga doble clic en él. Es posible que deba autenticarse nuevamente.

Expanda la sección "Confianza".

"Al usar este certificado", configurado en "Confiar siempre"

Intenté todo y lo que lo hizo funcionar: al importar, seleccione la categoría correcta, a saber, las autoridades de certificados raíz de confianza :

(lo siento es alemán, pero solo sigue la imagen)

mkdir CA
openssl genrsa -aes256 -out CA/rootCA.key 4096
openssl req -x509 -new -nodes -key CA/rootCA.key -sha256 -days 1024 -out CA/rootCA.crt

openssl req -new -nodes -keyout example.com.key -out domain.csr -days 3650 -subj "/C=US/L=Some/O=Acme, Inc./CN=example.com"
openssl x509 -req -days 3650 -sha256 -in domain.csr -CA CA/rootCA.crt -CAkey CA/rootCA.key -CAcreateserial -out example.com.crt -extensions v3_ca -extfile <(
cat <<-EOF
[ v3_ca ]
subjectAltName = DNS:example.com
EOF
)

Esta publicación ya está inundada de respuestas, pero creé un script bash basado en algunas de las otras respuestas para que sea más fácil generar un certificado TLS autofirmado válido en Chrome (Probado en Chrome 65.x). Espero que sea útil para los demás.

script bash autofirmado

Después de instalar ( y confiar ) el certificado, no olvide reiniciar Chrome ( chrome://restart)

Otra herramienta que vale la pena consultar es el cfsslkit de herramientas de CloudFlare :

cfssl

Para crear un certificado autofirmado en Windows en el que Chrome v58 y versiones posteriores confíen, inicie Powershell con privilegios elevados y escriba:

New-SelfSignedCertificate -CertStoreLocation Cert:\LocalMachine\My -Subject "fruity.local" -DnsName "fruity.local", "*.fruity.local" -FriendlyName "FruityCert" -NotAfter (Get-Date).AddYears(10)
#notes: 
#    -subject "*.fruity.local" = Sets the string subject name to the wildcard *.fruity.local
#    -DnsName "fruity.local", "*.fruity.local"
#         ^ Sets the subject alternative name to fruity.local, *.fruity.local. (Required by Chrome v58 and later)
#    -NotAfter (Get-Date).AddYears(10) = make the certificate last 10 years. Note: only works from Windows Server 2016 / Windows 10 onwards!!

Una vez que haga esto, el certificado se guardará en los certificados de la computadora local en Personal \ Certificados almacén .

Desea copiar este certificado en el almacén Autoridades de certificación raíz de confianza \ Certificados .

Una forma de hacerlo: haga clic en el botón de inicio de Windows y escriba certlm.msc. Luego arrastre y suelte el certificado recién creado en el almacén Autoridades de certificación raíz de confianza \ Certificados según la captura de pantalla siguiente.

Corrección de SSL / HTTPS localhost en mac / osx:

1. Haga clic en el candado rojo con la cruz en su barra de direcciones cuando intente abrir su entorno de host local https. Se abrirá una ventana con información sobre el certificado.

2. Haga clic en la ventana de información "Detalles"

3. Las herramientas para desarrolladores de Chrome se abren en la pestaña 'Seguridad'. Haga clic en Ver certificado . La imagen del certificado

4. Agréguelo a su llavero 'Sistema' (no a su llavero 'inicio de sesión' que está seleccionado por defecto).

5. Abra su llavero (nuevamente) y encuentre el certificado. Haga clic en él y asegúrese de "Confiar" en todos.

6. Reinicie Chrome y debería funcionar.

Estaba experimentando el mismo problema: había instalado el certificado en la tienda de Autoridades raíz de confianza de Windows y Chrome aún rechazó el certificado, con el error ERR_CERT_COMMON_NAME_INVALID. Tenga en cuenta que cuando el certificado no está instalado correctamente en la tienda, el error esERR_CERT_AUTHORITY_INVALID .

Según lo insinuado por el nombre del error, este comentario y esta pregunta , el problema radicaba en el nombre de dominio declarado en el certificado. Cuando se me solicitó el "Nombre común" al generar el certificado, tuve que ingresar el nombre de dominio que estaba usando para acceder al sitio ( localhosten mi caso). Reinicié Chrome usando chrome://restarty finalmente estuve contento con este nuevo certificado.

A partir de Chrome 58+ comencé a recibir un error de certificado en macOS debido a la falta de SAN. Aquí le mostramos cómo volver a obtener el bloqueo verde en la barra de direcciones.

1. Genere un nuevo certificado con el siguiente comando:

   openssl req \
     -newkey rsa:2048 \
     -x509 \
     -nodes \
     -keyout server.key \
     -new \
     -out server.crt \
     -subj /CN=*.domain.dev \
     -reqexts SAN \
     -extensions SAN \
     -config <(cat /System/Library/OpenSSL/openssl.cnf \
         <(printf '[SAN]\nsubjectAltName=DNS:*.domain.dev')) \
     -sha256 \
     -days 720

2. Importe el server.crten su KeyChain, luego haga doble clic en el certificado, expanda la Confianza y seleccione Confiar siempre

Actualice la página https://domain.dev en Google Chrome, para que el bloqueo verde vuelva.

Para Chrome en MacOS, si ha preparado un certificado:

• Salir de Chrome ( cmd+ Q).
• Inicie la aplicación Keychain Access y abra la categoría "Certificados".
• Arrastre su archivo de certificado a la ventana Acceso a llavero y escriba la contraseña para el archivo de certificado.
• Haga doble clic en su certificado y despliegue la lista "Confianza".
  • En la fila "Al usar este certificado", elija "Confiar siempre".
  • Cierra estas cosas y escribe tu contraseña.
• Inicie Chrome y borre todas las cachés.
• Verifica que todo esté bien.

Permitir que el localhost inseguro funcione bien a través de este método chrome: // flags / # allow-insecure-localhost

Solo que necesita crear su nombre de host de desarrollo en xxx.localhost.