@bellerofonte

Как заставить chrome доверять сертификату?

Добрый день!
Хочу защитить вебсокетный трафик между мной и моим прилоением, работающей на AWS EC2.

Сделал себе самоподписной сертификат по этой инструкции:
openssl req -x509 -newkey rsa:4096 -keyout key.pem -out cert.pem -days 3650 -nodes
# настройки сертификата
Country Name (2 letter code) [AU]:RU
State or Province Name (full name) [Some-State]:Moscow
Locality Name (eg, city) []:Moscow
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Test LLC
Organizational Unit Name (eg, section) []:Test
Common Name (e.g. server FQDN or YOUR name) []:
Email Address []:a@b.c


Добавил его в Keychain (у меня macOS) и заставил систему доверять ему:
60fabf72181a4452239827.png

Перезапустил хром и обратился с приложению. Хром по-прежнему не доверяет моему сертификату.
60fac06faf0d6522923302.png
60fac04336bba773168260.png
хотя если ткнуть в хроме на сертификат, откроется Keychain, в которой сертификат указан как доверенный (см. рис.1).

Пробовал также следующее:
  • при создании сертификата в CN указывать *
  • при создании сертификата в CN указывать IP-адрес 10.10.1.91
  • при создании сертификата в CN указывать домен test.local и прописывать в /etc/hosts 10.10.1.91 test.local


Нажимать "дополнительно - бла-бла-бла" не вариант, т.к. весь трафик от моего приложения идет по веб-сокету, а попытка подключиться к wss:// всегда завершается ошибкой, если хром не принимает сертификат как достоверный.
Ничего из вышеперечисленного не помогает. Как же все-таки заставить хром доверять моему сертификату, если я этого хочу?
  • Вопрос задан
  • 133 просмотра
Решения вопроса 1
@dronmaxman
VoIP Administrator
Необходимо
- сгенерировать сертификат
- указать справильный CN,
- добавить IP и domainname(CN) в hosts
- добавить сертификат в доверенный (macOS - keychain, windows - certmgr.msc)
- зайти на сайт по domainname

openssl req -x509 -newkey rsa:4096 -sha256 -days 3650 -nodes \
  -keyout example.key -out example.crt -subj "/CN=myawsdomain.com" \
  -addext "subjectAltName=DNS:www.myawsdomain.com,DNS:myawsdomain.com,IP:10.11.10.11"
Ответ написан
Пригласить эксперта
Ответы на вопрос 1
ky0
@ky0
Миллиардер, филантроп, патологический лгун
Сертификат может быть доверенным, но не валидным из-за того, что он отдаётся не по тому имени.

Имхо, сейчас стало настолько просто выпустить нормальный сертификат через Let`s Encrypt, что геморроиться с самоподписанными могут только очень упёртые люди :)
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы