Как создать свой ssl сертификат и заставить chrome доверять ему?

Question

[Лев К]

Всем привет.
Нужно для тестов на своей машине поднять ssl.
Вроде все получается и nginx съел сгенерированный ssl таким образом:

openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout nginx.key -out nginx.crt

В результате получаю 2 файла, в конфиге nginx прописываю их в соответствующие директивы.
Так заработало: https://mysite.dev
Но nginx.crt не получается добавить в chrome, отвергает мол нет закрытого ключа.
Сгеренировал .p12 ключ для chrome таким образом:

openssl pkcs12 -export -out  nginx.p12 -in nginx.crt -inkey nginx.key

Chrome съел его, спросив пароль, но он помечен как недействительный и когда перехожу на сайт выводится предупреждение о том что сайт не доверенный (я думаю вы поняли о чем я), я бы хотел избавиться от него и начать доверять моему ключу. Не подскажите где я свернул не там?

Comments

[Wexter]

в доверенные центры сертификации добавляли?

[Лев К]

Wexter: Есть только центры сертификации, доверенные ни где не видел вкладку

[Wexter]

Лев К: они и есть

[Лев К]

Wexter: Добавил туда, но все равно https:// отображается красным цветом.
И еще вопрос, я все это делаю для пуш уведомлений, они должны при таком раскладе срабатывать ?

Answer 1

[Андрей Николаев]

Доверять ключу вы можете зайдя на https://mysite.dev и добавив его в доверенные (Если вы открываете сайт по https и хром не выдает предупреждений, значит сертификат доверенный). Однако хром будет помечать его красным цветом - так как вы его сами себе выдали.

Comments

[Лев К]

Перехожу на сайт и не могу найти где я могу добавить сайт в доверенные ? Я могу просто "все равно перейти на него".
Видимо и нужно сделать его очень сильно доверенным, чтобы хром не "подкраснивал" его. Или так совсем нельзя ? Через центр управления сертификатами.

[Андрей Николаев]

Лев К: Так совсем нельзя. Он записывает в "допустимые игнорируемые". А так - у него своя база CA и зеленым его считать никогда не будет

Answer 2

[CityCat4]

Не в то хранилище добавляете. Добавлять нужно в "Доверенные корневые центры" - Вы же сами себе СA.

Comments

[Лев К]

CityCat4 сделал так:
заново сгенерил .key и .crt
прописал в nginx
добавил .crt в настройках браузера в центры сертификации

Теперь у меня не вылазит предупреждение безопасности, но и не работает функционал пушей, ради которого я все это затеял. Почему то не вылазит "выбор" подписки на пуши (только на локальном сервере).

Answer 3

[Виктор Таран]

Все просто самподписаный сертификат никогда не будет доверительным. Вы-ж его сами подписали ;) гыгы
Вот так делать надо
https://habrahabr.ru/post/318952/

Answer 4

[slk]

Хром можно научить игнорировать ошибки в сертификатах, по крайней мере для разработки сервис serviceWorker

https://www.chromium.org/blink/serviceworker/servi...