OpenSSL创建的自签名证书在chrome端无法信任

最新推荐文章于 2025-07-18 16:18:31 发布
最新推荐文章于 2025-07-18 16:18:31 发布
阅读量2.1w 收藏 16
点赞数 4
CC 4.0 BY-SA版权
分类专栏: ArcGIS Enterprise 自签名证书
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/zssai2015/article/details/85049905
本文解决在ArcGIS Enterprise环境中使用自签名证书时,Chrome浏览器显示证书无效的问题。通过修改openssl配置文件,添加SubjectAlternativeNames参数,确保证书兼容性,并提供Tomcat8.5的证书配置示例。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

文章目录

问题描述

ArcGIS Enterprise环境下往往需要创建自签名证书。小编之前提供的利用OpenSSL创建自签名证书的方法在chrome上再次遇到了证书无效的错误:
证书无效

原因概述

Chrome浏览器要求证书中必须包含“Subject Alternative Names”这一参数。

解决方案

修改待用的openssl配置文件

1 拷贝openssl配置文件以备修改

cp /etc/pki/tls/openssl.cnf /home/tomcat8/ssl/

2 修改这一openssl.cnf文件
(1) 找到[ req ] 段落,添加如下配置:

 req_extentions = v3_req

修改req

(2) 添加v3_req配置信息

[ v3_req ]
# Extensions to add to a certificate request
# basicConstraints = CA:FALSE
# keyUsage = nonRepudiation, digitalSignature, keyEncipherment
subjectAltName = @alt_names

(3) 添加alt_names配置信息

[ alt_names ]
DNS.1 = linux111.esrichina.com

注:这里填入的即为Subject Alternative Names的域名名称

创建证书

1 创建crt格式的自签名证书

openssl req -sha256 -newkey rsa:2048 -nodes -keyout  agsenterprise.key -x509 -days 3650 -out  agsenterprise.crt -config /home/tomcat8/ssl/openssl.cnf -extensions v3_req

创建crt格式的自签名证书

2 转换为pfx格式的自签名证书

openssl pkcs12 -inkey  agsenterprise.key -in  agsenterprise.crt -export -out  agsenterprise.pfx

对tomcat配置证书(适用于Tomcat 8.5)

 <Connector port="443" protocol="org.apache.coyote.http11.Http11NioProtocol"
               maxThreads="150" SSLEnabled="true">
        <SSLHostConfig>
            <Certificate certificateKeystoreFile="/home/tomcat8/ssl/agsenterprise.pfx"
                         certificateKeystoreType="PKCS12" certificateKeystorePassword="xxxxxx" />
        </SSLHostConfig>
 </Connector>

对tomcat配置自签名证书

参考:
https://blog.zencoffee.org/2013/04/creating-and-signing-an-ssl-cert-with-alternative-names/

使用OPENSSL自签名的证书使用时存在的问题
zxm8513优快云博客
03-21 934
HTTPS如果使用自签名的秘钥系统,浏览器在浏览的时候会出现如下状况: 点击高级进入如下界面 点击“继续前往WWW.SEIPER.NET(不安全)” 仍然可以继续访问:数据。 因此看来如果需要非常还需要厂商提供的签名好一点。 ...
使用openssl生成自签名证书(多域名)用于https的ssl验证
liaomingwu的专栏
10-27 1343
有时在项目的开发环境和测试环境,并不能获得正式的证书,但是项目的开发和测试又需要证书来模拟生产环境下的安全配置,此时就可以采用自签名证书。而且我们希望我们的证书能够在开发环境和测试环境中完全正常的使用,不会出现各种证书无效的提示和警告。此时就可以参考这里的步骤进行配置。
利用Openssl制作自签名证书
Geoffrey's Blog
11-12 5941
利用Openssl制作自签名证书在apache或者nginx启用HTTPS后,需要加密证书才能正常工作。我们现在可以利用OpenSSL工具简单快速的创建一个自签名证书
【经验篇】自签名TLS证书生成
cuiwin的专栏
06-12 1026
自签名证书是一种由组织或个人自行颁发的数字证书,无需通过第三方证书颁发机构(CA)。虽然自签名证书在生产环境中通常不被浏览器信任,但在开发、测试、内部系统或特定场景下非常有用。下面介绍几种常见的生成自签名证书的方法。
Chrome 自签证书 ERR_CERT_INVALID
foreverhot1019的博客
02-21 1582
Chrome 自签证书 ERR_CERT_INVALID
自签证书让Chrome信任的方式
weixin_43479599的博客
08-18 4968
我要在windows的chrome中访问,在Linux机器上自签了一个证书,准备让windows中的chrome信任。,然后点进去以后选导入,然后选这个证书导入进来,选择将所有证书放入下列存储的时候有个浏览,受信任的发布者和受信任的根证书颁发机构我都导入了一遍,然后不安全就消失了,websocket也能用了。然后把myssl.crt下载下来,打开chrome://settings,也就是设置,搜索证书,在。然后配置nginx,这里主要看证书部分,就是server往下的5~6行,其他我也懒得删了。
网站SSL证书自签名及谷歌浏览器报错提醒处理
mekave的博客
03-20 1930
3、.crt文件:本文件包含S证书的公共密钥、签名信息和不同类型的认证信息。通常,各种签名和签名证书都在这类文件中,如IP;2、.csr文件:文件包括证书的公共密钥和公司内部的一些重要秘密信息,用户只有在请求签名后才能直接生成证书;4、.pem文件:与其他后缀文件相比,该文件更为罕见,其中包含了证书的私密钥和其他部分证书的重要信息。1、.key文件:SSL证书私钥文件,包括SSL证书私钥,是信息内容的中心;又能白嫖了,每年都省出几千几万的成本,老板的嘴角都笑裂开了。下载生成的证书文件,双击运行。
openssl生成证书,并解决浏览器不信任问题
Walle的博客
06-03 3万+
目录 1. 前言 2. 生成证书 3. 证书网站生成新证书 4. 配置 nginx 5. 访问 HTTPS 地址 6. 一些可能问题处理 1. 前言 关于SSL的理论知识就不细说了,也了解得不是很深入。 这里主要是记录一下 SSL 证书的生成以及证书配置后发现chrome浏览器访问网站会提示网站不安全的问题。 大致流程如下,如果有两个域名,应该只需要生成自签名证书就可以了...
10、通过 OpenSSL 生成自签名证书并配置 Nginx 通过 HTTPS 访问
最新发布
xuebo1129927648的博客
07-18 466
通过以上步骤,你可以快速搭建基于自签名证书的 HTTPS 服务,适合开发测试或内部系统使用。如何验证通过OpenSSL生成的自签名证书是否有效?除了OpenSSL,还有哪些工具可以生成自签名证书?生成自签名证书时,常见的错误及解决方法有哪些?
浏览器https受信任证书生成——openssl颁发受信任证书
zw
03-26 1660
解决https访问浏览器提示不安全
<QNAP 453D QTS-5.x> 日志记录:在 Docker 中运行的 Flask 应用安装 自签名 SSL 证书 解决 Chrome 等浏览器证书安全
davenian的博客
11-17 1750
详细描述 在 flask 使用 自签名证书 与 certbot 解决 Chrome 没有证书问题
SSL基础:24:Chrome浏览器HTTPS证书问题排查方法
知行合一 止于至善
12-16 2692
这篇文章介绍一下在自签名证书使用在nginx中时Chrome浏览器碰到问题的排查方法。
使用自签名SSL证书配置HTTPS,解决浏览器提示不安全警告
热门推荐
Coding_Zhu的博客
04-20 9万+
项目测试过程中需要将应用从HTTP升级到HTTPS,浏览了网上一些帖子,参考《WebLogic11g-单双向SSL配置(以Springside3为例)》一文使用openssl工具来自建CA,并对秘钥进行自签名,配置到服务器后,可以通过HTTPS正常访问应用,但是浏览器会提示安全警告: 继续浏览则URL栏会变红,警告有证书错误: 这么鲜艳的红框框,一看就不让人放心呐!下面来说说怎
使用openssl工具生成自己的证书中报错的处理
u010433190的博客
06-11 2041
自己创建SSL证书的步骤1 输入openssl命令,进入openssl(1)开始生成CA证书 执行完成之后会生成ca-cert.pem文件(2)生成server证书 执行完成生成server-cert.pem文件(3)生成client证书,与服务器生成证书差不多 到此CA证书、server证书、client证书全部生成完成,导入对应的服务器或客户则可以正常使用了在创建证书的时候,可能会报告错误: 解决方法: 修改 /etc/ssl/openssl.cnf 把包含 的行都注释掉,即可。...
使用 Openssl 验证自签名证书
kmyhy的专栏
06-15 1万+
 iOS的 security framework 框架前面已经介绍。这个框架提供有限的功能,使用它能做到的,比你想象的要少。笔者一直想找一个iOS 下比较好的功能全面的安全算法库,结果却一无所获。不知道谁能介绍下这方面。最终还是只有求助于闻名已久的 Openssl library。Openssl 确实十分强大,然而其糟糕文档仍让人难以满意。当然,网络上使用Opens
使用mkcert生成nginx SSL证书
NewTWG的专栏
02-24 2717
https本地自签名证书添加到信任证书访问 1、背景 本文适用于基于https(http+ssl)的网站通信、本地调试等,上线是请寻找免费 ssl证书申请。 本地调试过程中,一些特殊的场景需要我使用http+ssl通信,比如在Chrome中使用客户麦克风。 笔者起初使用以下一些命令,在linux、windows进行自签名,但是没能得到Chrome信任,本地Chrome版本76.0 1...
解决自签名证书Chrome上的“不是私密连接问题”
脉脉情缘的博客
02-03 2714
一、生成证书 1、创建根证书 新建MyCompanyCA.cnf文件并输入以下内容: [ req ] distinguished_name = req_distinguished_name x509_extensions = root_ca [ req_distinguished_name ] # 以下内容可随意填写 countryName = CN (2 letter code) countryName_min = 2 countryName_max
OpenSSL生成自签名证书
weixin_52582672的博客
11-09 1697
新建个cert.ext扩展(不做此步会导致客户安装证书之后一直提示net::ERR_CERT_COMMON_NAME_INVALID,不知道是否因为自签IP证书的原因,域名不知道是否可以,有知道的小伙伴可以评论下)带CA的自签名证书:在这种情况下,用户不仅生成自己的证书,还创建了自己的CA,然后使用该CA签名其证书。不带CA的自签名证书:在这种情况下,用户只是为自己创建和签名一个证书,而没有创建CA。自签名证书是指由用户自己生成和签名的证书,而不是由公认的证书颁发机构(如VeriSign或Let’s。
openssl在windows系统中生成CA证书报错解决
yxyhack's blog
07-30 4549
利用openssl生成证书的时候,很多朋友都在网上问怎么应对 "/usr/local/ssl/openssl.cnf"的报错?!假如你在linux系统中,那么直接到openssl安装目录的apps目录下,把openssl.conf拷贝到/usr/local/ssl/目录下就可以了。但是你如果在windows系统中可就不行了,因为windows系统中没有/usr/local/ssl/ 这样的
openssl 签名
04-30
<think>嗯,用户想了解如何使用OpenSSL进行签名或者解决相关的签名问题。首先,我需要回顾一下OpenSSL的基本签名流程。用户可能想生成自签名证书,或者遇到了常见的错误,比如自签名证书不被信任,或者证书链不完整。 根据引用[4],生成自签名证书需要先创建私钥,然后生成CSR,最后用CA证书签名。可能用户需要详细的步骤说明。比如,第一步生成私钥,使用openssl genrsa命令,然后创建CSR,这里可能需要配置文件,特别是如果用户需要指定Subject Alternative Name(SAN),比如引用[3]提到的DNS或IP地址。如果用户没有正确配置SAN,可能会导致证书在浏览器中出现错误。 另外,用户提到的错误,比如error 18自签名证书,这可能是因为没有正确安装CA证书到受信任的根证书库中。根据引用[1]和[4],需要将CA证书导入系统或浏览器的信任库。例如,在Windows中,可以通过证书管理器来安装,而在Linux可能需要更新ca-certificates包。 还有,用户可能在使用自签名证书配置HTTPS服务器时遇到问题,比如Nginx配置不正确。引用[1]中提到了Nginx配置HTTPS的示例,需要指定ssl_certificate和ssl_certificate_key的路径。如果路径错误或权限问题,Nginx可能无法加载证书,导致服务启动失败。 此外,引用[2]提到证书格式转换的问题。用户可能需要将PEM格式转换为PFX,以便在Windows或其他系统中使用。这时候需要使用openssl pkcs12命令,同时要确保输入正确的私钥和证书文件。 关于错误解决,常见的错误如“self signed certificate”通常是因为客户信任自签名的CA。解决办法就是安装CA证书到信任库。而“certificate has expired”则是因为证书过期,需要重新生成,并注意设置合理的有效期,如引用[4]中使用-days参数。 用户可能需要具体的命令行示例,比如生成CA证书、服务器证书,以及处理CSR的步骤。需要确保命令中的参数正确,比如-subj选项用于非交互式生成,或者使用配置文件指定扩展项。 还要考虑不同操作系统和浏览器的差异,比如Chrome对SAN的要求严格,必须包含域名或IP,否则会拒绝证书。这时候需要确保在生成CSR时包含SAN扩展,如引用[3]中的openssl.cnf配置文件。 总结一下,用户的真实需求可能是如何正确生成自签名证书,配置到服务器(如Nginx),并解决浏览器中的信任问题。需要分步骤说明生成CA、服务器证书、配置SAN、转换格式,以及安装CA证书的步骤。同时,针对常见错误提供解决方案,比如检查证书链、有效期、SAN配置等。</think>### OpenSSL 签名操作指南及常见问题解决 #### 一、OpenSSL 签名核心操作 1. **生成自签名 CA 证书** ```bash # 生成 CA 私钥(RSA 2048位) openssl genrsa -out ca.key 2048 # 生成自签名 CA 证书(有效期10年) openssl req -x509 -new -nodes -key ca.key -sha256 -days 3650 -out ca.crt -subj "/C=CN/ST=Beijing/L=Beijing/O=MyOrg/CN=MyRootCA" ``` > 提示:`-subj` 参数用于非交互式填写证书信息[^4]。 2. **生成服务器证书** ```bash # 生成服务器私钥 openssl genrsa -out server.key 2048 # 创建 CSR(证书签名请求) openssl req -new -key server.key -out server.csr -subj "/C=CN/ST=Beijing/O=MyOrg/CN=example.com" # 使用 CA 签名 openssl x509 -req -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out server.crt -days 365 -sha256 -extfile openssl.cnf ``` > 注:`openssl.cnf` 需包含 SAN 扩展(解决 Chrome 浏览器要求): ```ini [ req_ext ] subjectAltName = @alt_names [ alt_names ] DNS.1 = example.com IP.1 = 192.168.1.100 ```[^3] 3. **证书格式转换** ```bash # PEM 转 PKCS#12(用于 IIS 或客户openssl pkcs12 -export -out server.pfx -inkey server.key -in server.crt -certfile ca.crt ``` #### 二、典型错误解决方案 1. **错误:`self signed certificate`** - **原因**:客户信任自签名 CA - **解决**: - Windows:双击 `ca.crt` → 安装证书 → 选择“受信任的根证书颁发机构” - Linux:复制到 `/usr/local/share/ca-certificates/` 后执行 `update-ca-certificates`[^1] 2. **错误:`certificate has expired`** - **检查有效期**: ```bash openssl x509 -in server.crt -noout -dates ``` - **重新生成**:调整 `-days` 参数值(如 `-days 3650`) 3. **错误:`unable to get local issuer certificate`** - **原因**:证书链不完整 - **修复**:合并证书链 ```bash cat server.crt ca.crt > fullchain.crt ``` - Nginx 配置修正: ```nginx ssl_certificate /path/to/fullchain.crt; ssl_certificate_key /path/to/server.key; ```[^1] #### 三、进阶应用示例 **创建支持多域名证书** ```ini # openssl.cnf 中扩展 SAN [ alt_names ] DNS.1 = example.com DNS.2 = www.example.com IP.1 = 192.168.1.100 ``` 生成时需指定 `-extensions req_ext` 参数[^3]。 ***
评论 13
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值