LocalHost

Question

我正在尝试在我的本地PC上设置开发环境。由于生产网站支持HTTPS（这些日子不支持？），我想在localhost上也有这个。我认为这很容易，但没有。

我有一个XAMP安装，并设置所有，所以我可以访问该网站。但是，每当我在本地访问网站上的任何页面时，都会收到chrome警告：

NET :: ERR_CERT_AUTHORITY_INVALID

我确实按照以下主题尝试解决它：

Getting Chrome to accept self-signed localhost certificate

我还使用正确的主题备用名称（SAN）部分创建了证书，基于此：

https://deliciousbrains.com/https-locally-without-browser-privacy-errors/

之后，我生成了CER或P7B文件并将其导入Chrome。我重新启动了Apache和Chrome。

我将证书放在受信任的根证书颁发机构中。不知何故，Chrome决定将其置于中级根证书颁发机构......

我使用的是Chrome 61，我在60年代也是如此。

所以不知怎的，我无法安装自签名证书，并且不断收到此警告，这基本上使得无法在localhost上进行开发......

我知道这种自我签名并不完全值得信赖，但必须有一种离线开发方式吗？从现在开始我们必须在线建立网站是没有意义的吗？...

有什么想法吗？

Answer 1

我们可以简单地允许无效的证书用于chrome中的开发目的。

这仅对Localhost有效

将此内容粘贴到您的Chrome地址栏中：

chrome：// flags /＃allow-insecure-localhost

然后启用突出显示的文本：允许从本地主机加载的资源无效证书

Answer 2

以下是使用KeyStore Explorer工具的说明。

我在创建证书时遇到的两件事情是：

• AKID（授权密钥标识符） - 选择相同的＆＃34; CN =＆＃34;你在创建它时使用过。
• 添加＆＃34;基本约束＆＃34;选项（不要选择＆＃34;是CA＆＃34;）

如果没有这两件事，即使您已将自签名证书安装到MS-CAPI PKI信任存储区（作为＆＃34;受信任的根权限），Chrome也会发出警告/错误。

以下是我使用的步骤。

1. 使用KSE（KeyStore Explorer）的说明
2. 创建JKS
3. 创建自签名证书
4. 打开KeyStore Explorer
5. 文件|新的| JKS |行
6. 为您的JKS文件创建密码
7. 文件|另存为... |输入密码
8. 输入文件名|行
9. 工具|生成密钥对
10. 选择算法和密钥大小（即2048）|行
11. 选择有效期（即5年）
12. 选择名称（书本图标）|在名称字段中输入|行
13. 即。 “CN =本地主机...”
14. 添加扩展（非常重要），这决定了它将是什么类型的证书以及如何使用它。此示例适用于带SSL的标准服务器证书。
15. 添加密钥用法项
16. 添加数字签名和密钥加密选项复选框
17. 添加EKU（扩展密钥用法）选项
18. 选择以下两个选项：
19. TLS Web客户端身份验证
20. TLS Web服务器身份验证
21. 添加SAN（主题备用名称）
22. 添加将使用此服务器的所有必需DNS名称和IP地址（如果适用）。 （重复所有所需的值）（例如127.0.0.1和localhost（或）
23. 完成后会看起来像这样
24. 完成后，您将看到列出了OID（对象标识符）的所有字段好的行
25. 添加AKID（授权密钥标识符）
26. 添加扩展程序＆＃34; +＆＃34;
27. 添加扩展类型|授权密钥标识符
28. 选择您在上面创建的CN的授权证书颁发者（.e.g＆＃34; CN = localhost ...＆＃34;）|行
29. 添加＆＃34;基本约束＆＃34; （不要检查＆＃34;主题是CA＆＃34;）
30. 当你完成后，你会看到列出的内容：点击＆＃34; OK＆＃34;
31. 注意：Chrome浏览器需要基本约束和AKID（授权密钥标识符）才能将自签名证书验证为可信证书。
32. 否则，即使您明确地将此证书添加到MS-CAPI受信任的根证书，您也会看到警告或错误消息。
33. 输入您要使用的密钥对名称的别名
34. 输入私人密码对
35. *注意：此密码必须与JKS文件密钥库密码相同，否则Java在尝试使用此证书时可能会无声地失败。
36. 您应该看到一条表示成功的消息。 |好的
37. 然后，保存文件|保存

Answer 3

我在this之后解决了完全相同的问题。

问题似乎与证书的创建方式有关。

以下代码来自上述网站。

#!/usr/bin/env bash
mkdir ~/ssl/
openssl genrsa -des3 -out ~/ssl/rootCA.key 2048
openssl req -x509 -new -nodes -key ~/ssl/rootCA.key -sha256 -days 1024 -out ~/ssl/rootCA.pem


#!/usr/bin/env bash
sudo openssl req -new -sha256 -nodes -out server.csr -newkey rsa:2048 -keyout server.key -config <( cat server.csr.cnf )

sudo openssl x509 -req -in server.csr -CA ~/ssl/rootCA.pem -CAkey ~/ssl/rootCA.key -CAcreateserial -out server.crt -days 500 -sha256 -extfile v3.ext

server.csr.cnf文件

[req]
default_bits = 2048
prompt = no
default_md = sha256
distinguished_name = dn

[dn]
C=US
ST=New York
L=Rochester
O=End Point
OU=Testing Domain
emailAddress=your-administrative-address@your-awesome-existing-domain.com
CN = localhost

v3.ext文件

authorityKeyIdentifier=keyid,issuer
basicConstraints=CA:FALSE
keyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment
subjectAltName = @alt_names

[alt_names]
DNS.1 = localhost

Answer 4

有一个很好的基于GUI的java实用程序，我用它来创建和操作所有PKI称为KeyStore Explorer的东西。比所有命令行选项容易得多：

http://keystore-explorer.org/

Answer 5

我是偶然发现的：如果您安装了Fiddler并使其在后台运行，则您的应用第一次运行时会打开一个弹出窗口，显示证书问题；如果您单击“是”，它将允许您的请求通过。请参见此https://www.telerik.com/forums/fiddler-certificate-error-bypass-question。

Answer 6

1. 打开 Chrome 浏览器

2. 将以下链接放入浏览器地址栏中，然后按 Enter。

   chrome://flags/#allow-insecure-localhost

3. 选择“允许从本地主机加载的资源的无效证书”。禁用到启用。

希望您的问题会得到解决。谢谢