我使用的是由我们内部 CA 生成的签名 SSL 证书。我添加了主题备用名称,以便myserver.example.net和myserver都对网站有效。这在 Firefox 和 IE 中都可以正常工作,但在 Chrome 中,用户在使用短名称时仍会收到警告消息myserver。
我的问题是,有没有什么方法可以让用户myserver在使用 Chrome 时不会收到 SSL 警告?
答案1
如果您使用的是内部(或非自定义)CA,您也有责任将您的 CA 证书分发给组织中的应用程序。
某些应用程序从系统范围的配置中选择证书(例如/etc/ssl/certs在 ubuntu 下)。其他应用程序(如 Firefox、Chromium)使用自己的(每个应用程序)配置。
如果它适用于 IE 和 Firefox,那么这项任务似乎已经为某些应用程序完成了。
对于 chromium(Linux 以下),您可以使用以下(bash)代码片段执行此操作:
certificateFile="/etc/MY_CA.cert.pem"
certificateName="Snakeoil Ltd."
if test -d ~/.pki
then
echo "install '${certificateName}' in for chromium in ~/.pki"
certutil -A \
-n "${certificateName}" \
-t "TCu,Cuw,Tuw" \
-i ${certificateFile} \
-d sql:${HOME}/.pki/nssdb
else
echo "no user configuration for chromium found"
fi
这里介绍了此任务的一些其他有用提示:http://www.computer42.org/xwiki-static/exported/DevNotes/xwiki.DevNotes.OpenSSL.html