我有一个自生成的 CA 和一个生成的证书。该证书有效:
» openssl verify -verbose -x509_strict -CAfile rootCA.pem mysite.bundle.crt
mysite.bundle.crt: OK
根 CA 已安装在我的系统(Ubuntu 16.04)中,并且 curl 能够验证该证书:
curl https://mysite
这里没有什么抱怨。
我可以验证正在运行的站点中的证书链,并且一切似乎正常,包括 SAN 条目:
» openssl s_client -showcerts -servername mysite -connect mysite:443 </dev/null 2> /dev/null | openssl x509 -noout -text | grep DNS:
DNS:mysite
但 Chrome 仍然抱怨。可能是什么原因?
编辑
添加屏幕截图
答案1
与 curl 或 s_client 相反,Chrome 和 Firefox 都不使用 Ubuntu 上的系统 CA 存储。它们有自己的信任存储,您需要将 CA 证书导入其特定存储才能被视为受信任。要访问 Chrome 的信任存储,请使用chrome://settings/certificates
。