Chrome 59 net :: ERR_CERT_COMMON_NAME_INVALID

Question

我在Chrome上遇到此错误（v 59.0.3071.109），我尝试了几个没有运气的答案。

这是安全性标签中显示的内容：

The certificate for this site does not contain a Subject Alternative Name extension containing a domain name or IP address
There are issues with the site's certificate chain (net::ERR_CERT_COMMON_NAME_INVALID).

我按照this tutorial创建了包含以下值的证书：

CN = localhost
OU = ort
O = ort
L = montevideo
S = MVD
C = UY

这是我的主人https://localhost:8181/Gateway-war/

到目前为止，我已经尝试过：

• 启用此标记chrome://flags/#allow-insecure-localhost
• 将此--ignore-certificate-errors添加到Chrome快捷方式，会显示一条消息，指出此命令不允许，因为它会影响安全性和稳定性
• 使用this workaround：reg add HKLM\Software\Policies\Google\Chrome /v EnableCommonNameFallbackForLocalAnchors /t REG_DWORD /d 1

在所有情况下，我都会在尝试之前重新启动Chrome。

也许我的CN应该比localhost更多？ 欢迎任何想法

Answer 1

如果您已正确配置证书，则无需执行所有这些变通办法即可使其正常运行。您所要做的就是在证书中添加SubjectAltName扩展名，以使浏览器满意。

我认为您必须使用自签名证书。如果是这样，您的证书对于＆＃39; SubjectAltName＆＃39;延期。您可以使用keystore-explorer（keytool的开源GUI）生成如下证书：

如果是CA签名，则需要确保在CSR中发送这些扩展属性。

Answer 2

您需要使用“主题备用名称”创建证书。如果使用Windows，则可以使用PowerShell。证书将存储在Windows寄存器中。您可以通过certml.msc访问证书，然后可以将其导出到certmgr.msc中的驱动器。通过使用New-SelfSignedCertificate上的TextExtension参数，可以看到带有“主题备用名称”的证书的示例。

New-SelfSignedCertificate -CertStoreLocation cert:\LocalMachine\My -NotAfter (Get-Date).AddYears(10) -FriendlyName "My Network Name" -KeyExportPolicy Exportable -Provider "Microsoft Enhanced RSA and AES Cryptographic Provider" -TextExtension @("2.5.29.17={text}dns=*.example.com&ipaddress=192.168.1.1")