chrome 是不是不支持内网 ip 的 ssl 证书了？

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

› Certbot 使用文档

› Dehydrated

› Stay.live 证书有效期监控

› HTTP Strict Transport Security

› OpenSSL 官网

› Qualys SSL Test

› 证书链补全工具

› 在线 CSR 生成工具

› SSL 云监控

› What's My Chain Cert?

› Certificate Search by Comodo

这是一个创建于 2674 天前的主题，其中的信息可能已经有所发展或是发生改变。

如题，用自签的 CA 签了一个内网 ip 的证书，chrome 打开还是提示：

您的连接不是私密连接

攻击者可能会试图从 192.168.x.x 窃取您的信息（例如：密码、通讯内容或信用卡信息）。NET::ERR_CERT_COMMON_NAME_INVALID

CA 已经导入到了可信任根证书机构，打开 ip 证书显示证书是有效的。

证书信息： E = admin@xxx CN = 192.168.x.x O = c L = b S = a C = US

证书

内网

Chrome

攻击者

11 条回复 • 2019-01-15 11:01:31 +08:00

yexm0

2017-07-20 23:29:00 +08:00

chrome://flags/#allow-insecure-localhost

Halry

2017-07-21 08:47:38 +08:00 via iPhone

需要 sub alt name，要不是就会 common name invalid

yyfearth

2017-07-21 08:48:27 +08:00 via iPhone

这个和内网或者 localhost 没关系

是 Chrome 不再匹配证书的 CN

而只匹配证书的 SAN 扩展了

你到 DevTools 的 Security 里面可以看到警告说明原因

gamexg

2017-07-21 17:34:31 +08:00

@yyfearth
@Halry

非常感谢，老系统无法签 SAN，升级后重新签发了带 SAN 的证书。
现在 chrome 不在报证书错误了。

Rezark

2017-07-21 18:23:30 +08:00

这样算不算成功，
https://www.trustauth.cn/wp-content/uploads/2017/07/selfsigncert.png

gamexg

2017-07-21 18:33:40 +08:00

@Rezark 我的现在也是这样，chrome 下不报证书错误了。

DylanWong

2019-01-14 10:51:38 +08:00

@gamexg 请问怎么详细操作？

DylanWong

2019-01-14 16:02:47 +08:00

@Rezark 请问怎么出来这个？

gamexg

2019-01-14 17:02:59 +08:00

@DylanWong #8 使用什么签发的证书？
需要将 ip 填到使用者可选名称字段(DNS Name=*.v2ex.com 或 IP Address=1.2.3.4)，单独只填写到使用者 (CN = *.v2ex.com )字段就会在新版本 chrome 下出现问题。

具体你是用的什么证书签发工具不清楚，我不确定应该怎么操作。
但是只用注意一点，使用者字段只允许单个域名，但是可选名称允许多个域名，只要查询下单个证书签发多个域名用哪个参数就能确定怎么操作了，这个支持多个域名的就是可选名称。

DylanWong

2019-01-15 09:38:04 +08:00

@gamexg 感谢回复，我用的是 OpenSSL 生成的证书，目前在 Chrome 下面会报警告信息，我想请问您是用什么工具生成的？

gamexg

2019-01-15 11:01:31 +08:00

@DylanWong #10 freenas 签发的内网证书。

搜索了下，OpenSSL 的操作步骤：

https://zhuanlan.zhihu.com/p/26646377

“原有的简单自签名证书在 chrome 里面不好使了，提示 missing_subjectAltName ”

https://blog.csdn.net/u013066244/article/details/78725842

“[alt_names]”