我有一个已经运行很久的网站,由自己生成的客户端证书保护。它已经使用了多年,没有任何问题,如IE,Firefox和Chrome浏览器。
自上次Chrome更新(61.0.3163.100)以来,客户端证书被拒绝,并显示以下错误消息:
This site can’t provide a secure connection
my.domain.com didn’t accept your login certificate, or one may not have been provided.
Try contacting the system admin.
ERR_BAD_SSL_CLIENT_AUTH_CERT
该网站继续与任何其他浏览器一起正常工作! 而且我找不到任何相关信息。
我认为chrome只是提高了客户端证书的最低要求,就像几个月前的服务器证书一样。但我没有胶水如何解决它。
任何暗示我的证书有什么问题?
非常感谢我仍然遇到问题,但没有找到任何答案。
过了一会儿,我发现Chrome不喜欢openssl ca生成的客户端证书。
我正在生成证书:
openssl ca -config openssl.cnf -extensions client -batch -in test.req -out test.cer
我尝试了所有内容,但我无法使其与Chrome一起使用,但同样,它也适用于所有其他浏览器。
现在我正在生成证书:
openssl x509 -req -in test.req -CA ca.cer -CAkey ca.key -extensions client -extfile openssl.cnf -CAserial ca.srl -out test.cer -sha256
它有效,如果我比较openssl x509 -in test.cer -noout -text之外,有 NO 差异!!所以我想知道Chrome不喜欢openssl ca。
我更倾向于使用openssl ca而不是openssl x509因为我无法使用CRL而且我更喜欢startdate/enddate而不是days。
有什么想法吗?
答案 0 :(得分:1)
我正在生成证书,所以:
openssl ca -config openssl.cnf -extensions client -batch -in test.req -out test.cer
我尝试了所有操作,但无法使其与Chrome一起使用,但再次与所有其他浏览器一起使用。
现在我正在生成证书,所以:
openssl x509 -req -in test.req -CA ca.cer -CAkey ca.key -extensions client -extfile openssl.cnf -CAserial ca.srl -out test.cer -sha256
它有效!
如果我比较openssl x509 -in test.cer -noout -text中的结果,则有否的区别!所以我想知道Chrome对openssl ca不满意。
答案 1 :(得分:0)
我在这个网站上发现了这篇文章:https://productforums.google.com/forum/#!topic/chrome/TM0Tg0_YOvg
解决这个问题: 尝试这些步骤; 1)通过清除IE的互联网选项中的所有数据来浏览浏览器。 2)删除与您尝试访问的网站相关的所有证书... Chrome共享IE证书 3)确保您之后可以访问互联网..如果不适用,请检查代理设置 4)尝试再次访问同一站点,如果它提示输入证书插入智能卡或安装证书。 5)如果它不起作用,你可以从个人身上删除所有证书,但要小心删除中间证书和其他地方的证书。
此错误是证书在您使用的本地计算机上出现问题。 对于DOD用户,如果有更多问题,请查看https://militarycac.com/dodcerts.htm。我可以使用我发布的步骤访问DOD网站..确保您还安装了installroot3a exe