自己署名証明書の下でChromeが無効プロンプトの質問です
。Chromeは、サブジェクトの別名を持つ必要があり、非常に厳格な検証証明書を発見した
CSRを発行するときは、openssl.cnfを修正する(windowsディレクトリを:\ OpenSSLのbinに\ \ CNF \ openssl.cnfを)
における[REQ]セクションの追加
v3_req req_extetionsを=
CSRファイルを生成v3_reqの名前読み取り時に 構成セクションを、
証明書要求に追加するには、[v3_req]#拡張
basicConstraintsの= CA:FALSE
のkeyUsage =否認防止、デジタル署名、KeyEncipherment
のsubjectAltName = @alt_names
にalt_namesは、ドメインを追加
DNS.1 = localhostをDNS.2 = your.doman.com
生成CSR
のopenssl reqを-sha256 -newkey RSA:2048 -nodes -keyout ssl.key -x509 -days 3650 -out ssl.crt -config ./cnf/openssl.cnf -extensions v3_req
情報を記入した後、および対応するキーSRTファイルを生成します。
nginxの対応のSSLキー設定ディレクトリ上のファイル
次の、重要なステップ:現在のシステムに証明書
「検索」ボックス内の「スタート」ボタン、クリックし、[開く]、Enterキーを押すことによりタイプcertmgr.msc「証明書マネージャを。」あなたは管理者のパスワードまたは確認を求められたら、パスワードを入力するか、確認情報を提供する必要があります。
証明書を開くには>「インポート」 - >「すべてのタスク」 -初の「証明書」の下にチェックし、「信頼されたルート証明機関」の左欄に立ち上げ、その後、「操作」のメニューバーをクリックしてくださいインポートウィザード。その後、図の「証明書のインポートウィザード」の写真(前述することができ、高速ジャンプ)の操作を下に開始します。
また、中に表示証明書の詳細 [詳細タブページを開いた場合、ステップは、ファイルへのCA証明書を保存するには、このボタンをクリックし、ファイルをコピーするためのボタンを見ることができます。
その後、ブラウザを再起動してください。
参考ます。https://blog.zencoffee.org/2013/04/creating-and-signing-an-ssl-cert-with-alternative-names/
http://blog.chinaunix.net/uid-192452-id-5772724.html
https://cnzhx.net/blog/self-signed-certificate-as-trusted-root-ca-in-windows/
信頼されたルート証明書から発行されたSSL証明書を追加します。
信頼されたルート証明書から発行されたSSL証明書を追加します。
サイトにアクセスするには、SSL暗号化されたHTTPS接続することで、あなたは、信頼できるCAインストールして設定する必要があり 、ルート証明書(信頼されたCAルート証明書を)。システムまたはブラウザが先にインストール機関によって発行された信頼できる証明書のいくつかのすでにあるため、通常、いくつかのサイトを訪問する理由は、暗号化証明書をインストールする必要はありません。しかし、いくつかの時間は、自分自身の証明書を発行する組織や個人のサイトのいくつかを訪問すると、彼らは、ブラウザから送られた警告が表示されます。この時点では、「信頼されたルート証明機関」ストアに証明書を追加することができ、あなたは、セキュリティプロンプトを受信しません。
1.はじめに¶
なぜ必要があり、独自のセキュリティ証明書を発行する(CA自己署名ください)?代理店の年会費によって発行された信頼できる証明書のいくつかは、通常はたくさんのお金ですが、その後、社内または不信任問題の組織小規模な使用、その後、あなたはセキュリティ証明書自体を発行することができます時間がありますので。
この安全証明書の場合、訓練された目を識別することをユーザに要求するために信頼することができます。例えば、私が発行された証明書は、私の友人はおそらく信頼することができると思い、他の人が私を知らない、あなたはおそらく信頼していません。
証明書(CA)が証明書を要求するサイトにアクセスするには、時間HTTPS暗号化されたリンクによって自分自身を発行するので、VPS上のSSLサービスをデプロイした後、信頼などされていません。あなたは、もはやセキュリティプロンプトを受信しませんあなたのウェブサイトにアクセスするには、暗号化HTTPSた後、Windowsの証明書マネージャ「信頼されたルート証明書」ディレクトリに証明書を追加することができます。
警告:あなたはあなたがセキュリティ証明書をインストールする場合は、インストールするために、信頼できる場合にのみ、それは深刻なセキュリティ上の問題、さらには物的損害を引き起こす可能性があります。以下は、許可されていない組織の信頼されたルート証明書によって発行されたセキュリティ証明書をインストールする方法について説明します。
異なるセキュリティ証明書の管理なので、ここに関与しています:
- Internet Explorer 9の - マイクロソフトのシステムは、以下IEと呼ばれる、似ています。
- クロム - 例えば、頻繁に21.0.1180.60バージョンに以下のChromeのバージョンの変更、およびWindowsシステムクロムはそうクロームIEを取得します取得するには、証明書、ない別の証明書格納部に使用されているため。Chromeからメソッドを開き、証明書マネージャが設定されている(設定) - > [詳細設定(詳細設定) - > HTTPS / SSL - >証明書管理(...証明書の管理)。
- Firefoxは-変更のFirefoxのバージョン今すぐアップグレードし、幸いなインターフェース、機能、操作が大きすぎではない、それは、Firefox 15で、次の例を使用します。Firefoxのセキュリティ証明書は、経営から独立して、別の記事を参照してください:Firefoxで信頼されたルート証明書としてインポート自己署名SSL証明書を。
内蔵のブラウザInternet ExplorerでのWindowsから2.インポート¶
サイトを開くHTTPS IEを使用することにより、あなたは、以下に示す安全上の警告を受け取ります。
中国のショー:
このWebサイトのセキュリティ証明書に問題があります。
サイトのセキュリティ証明書は、認証局によって発行されていない発行、信頼できます。セキュリティ証明書の問題は、あなたをだますか、サーバーに送信するすべてのデータを傍受しようとする試みを示す場合があります。私たちは、あなたがこのWebページを閉じて、このサイトの閲覧を続行しないことをお勧めします。
- ページを閉じます。
- このサイトの閲覧を続行する(推奨されません)。
详细信息
如果通过单击链接到达此页面,请检查地址栏中的网站以确保该地址是您希望到达的页面。转到如https://example.com
等网站时,请尝试将 “www” 添加到地址中,变为https://www.example.com
。有关详细信息,请参阅 Internet Explorer 帮助中的“证书错误”。
在出现上图所示的证书错误警告时,如果幸运的话,可以在浏览器地址栏的最右边看到红色背景的文字“证书错误”(Certificate Error),如下图所示。
单击这个错误提示靠下位置的“查看证书(View certificates)”就可以看到该证书的详情,并可以直接安装该证书到 Windows 系统的证书管理器中。如下图所示。
因为是自己签发的安全证书而不是经过认证的机构签发的,所以 Windows 无法自动信任该证书:此 CA 根目录证书不被信任。要启用信任,请将该证书安装到“受信任的根证书颁发机构”存储区。单击“安装证书”按钮即可打开 Windows 证书导入向导,单击“下一步”即可开始安装证书,如下图所示。
然后系统会询问该证书的存储位置。因为是未经认证的组织或个人自己签发的证书,如果选择让 Windows “根据证书类型,自动选择证书存储”的话,一般会给存储到“中级证书颁发机构”中。以后加密访问该网站的时候还是会收到安全警告。
根据我们的需要 —— 以后打开自己的网站时候不会再发出安全警告,也就是本文的目的,而且又是自己签发的证书,信任不成问题,咱就直接给添加到“受信任的根证书颁发机构”存储中。如下图所示。
点选“将所有的证书放入下列存储(P)”,然后单击“浏览(R)”,打开“选择证书存储”窗口来选择。有些时候可能需要选择“显示物理存储区(S)”,然后勾选“受信任的根证书颁发机构”下面的“本地计算机(Local Computer)”来存储。
选择后单击“确定”按钮,然后“下一步”。此时可能会收到安全警告(如下图),提示添加的是“根(root)”证书(信任级别最高)。下图中所示证书就是水景一页自己签发的了。
剩下的就是确认几次,任务完成!然后关闭浏览器重新打开,就可以试试效果了。
3. 通过 Windows 证书管理器安装¶
因为 Windows 和 IE 都是微软自家的,管理的是同一个证书管理器。所以不管是从 Windows 系统的证书管理器中导入安装证书,还是直接根据 IE 的提示来安装,效果都是一样的。唯一不同的是,通过 Windows 证书管理器来安装证书的话,需要先将安全证书(.crt 类型的那个文件)保存到本地磁盘。如果不能直接获取该证书,请先看另一篇文章介绍的从 Firefox 证书管理器中导出安全证书一节吧。
在 Windows 7 中(via 微软),要查看或管理证书,必须以管理员身份进行登录,才能执行这些步骤。可以使用“证书管理器”查看有关证书的详细信息,修改、删除这些证书,或者申请新证书。要打开证书管理器:
通过单击“开始”按钮,在“搜索”框中键入 certmgr.msc,然后按 Enter,打开“证书管理器”。 如果系统提示输入管理员密码或进行确认,则需要键入密码或提供确认。
先展开左边栏里的“受信任的根证书颁发机构”,选中其下的“证书”,然后点击菜单栏的“操作”——>“所有任务”——>“导入”,即可打开证书导入向导。然后就可以接着前面的“证书导入向导”那幅图(快速跳转)开始往下操作了。
另外,在查看证书详情那一步,如果打开详细信息标签页,可以看到有个复制到文件的按钮,单击此按钮即可保存该证书为一个 CA 文件。
4. Chrome 中的安全证书错误提示¶
因为 Chrome 使用的就是 Windows 系统里的证书,没有独立的证书存储单元,所以搞定 IE 也就搞定 Chrome 了。从 Chrome 中打开证书管理器的方法是,设置(Settings)——> 高级设置(Advanced Settings)——> HTTPS / SSL ——> 管理证书(Manage Certificates …)。
在 Chrome 中遇到网站证书问题时会收到类似下面的错误提示:
该网站的安全证书不受信任!
您尝试访问的是 cnzhx.net,但服务器出示的证书是由您计算机的操作系统不信任的实体所颁发。这可能表明服务器已自行生成了安全凭据,Google Chrome 浏览器认为其中的身份信息不可靠;也可能表明攻击者正试图拦截您的通信内容。
您不应再继续,尤其是如果您以前从未在此网站看到这一警告信息,则更不应继续操作。
- 仍然继续
- 返回安全连接
- 私が理解するのに役立つ
自分の身元を確認するために使用される接続の安全なウェブサイト、お使いのブラウザには、いわゆる「証明書」を生成するために、そのサイトをホストしているサーバーを、。この証明書は、ウェブサイトのアドレスおよびその他の識別情報が含まれている、お使いのコンピュータは、信頼できる第三者検証されています。証明書は、ウェブサイトのアドレスのアドレスと一致して検証することによって、あなたは安全にアクセスしたいウェブサイトと通信しているのではなく、(ネットワーク上の悪意のあるユーザーなど)第三者と通信していることを確認することができます。この場合、証明書は、あなたのコンピュータを検証する第三者を信頼されていません。誰もがそれが信頼できる第三者によって検証されなければならない理由は、どんなウェブサイトであると主張する証明書を作成することができます。その検証がなければ、証明書のID情報は無意味です。そのため、あなたは自分の通信オブジェクトが本当のcnzhx.netであると確認するか、彼はcnzhx.net攻撃したと主張した証明書を生成することはできません。あなたは動作を停止してはいけません。あなたは、独自の証明書を生成し、組織のために働いて、そしてあなたがそのような証明書を使用して内部サイト組織を接続しようとしている場合は、あなたが安全にこの問題を解決することができます。あなたは内部のWebサイトに次回を接続しようとすると、このエラーが発生しない、信頼される組織や資格証明書の検証によって発行された「ルート証明書」、としてこの組織の証明書をルートすることができます。組織のサポートスタッフに連絡し、彼らはあなたのコンピュータに新しいルート証明書を追加する手助けさせてください。