V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
gamexg
V2EX  ›  SSL

chrome 是不是不支持内网 ip 的 ssl 证书了?

  •  
  •   gamexg · 2017-07-20 23:07:32 +08:00 · 9859 次点击
    这是一个创建于 2680 天前的主题,其中的信息可能已经有所发展或是发生改变。

    如题, 用自签的 CA 签了一个内网 ip 的证书,chrome 打开还是提示:

    您的连接不是私密连接

    攻击者可能会试图从 192.168.x.x 窃取您的信息(例如:密码、通讯内容或信用卡信息)。NET::ERR_CERT_COMMON_NAME_INVALID

    CA 已经导入到了可信任根证书机构,打开 ip 证书显示证书是有效的。

    证书信息: E = admin@xxx CN = 192.168.x.x O = c L = b S = a C = US

    11 条回复    2019-01-15 11:01:31 +08:00
    yexm0
        1
    yexm0  
       2017-07-20 23:29:00 +08:00   ❤️ 2
    chrome://flags/#allow-insecure-localhost
    Halry
        2
    Halry  
       2017-07-21 08:47:38 +08:00 via iPhone   ❤️ 1
    需要 sub alt name,要不是就会 common name invalid
    yyfearth
        3
    yyfearth  
       2017-07-21 08:48:27 +08:00 via iPhone   ❤️ 1
    这个和内网或者 localhost 没关系

    是 Chrome 不再匹配证书的 CN

    而只匹配证书的 SAN 扩展了

    你到 DevTools 的 Security 里面可以看到警告说明原因
    gamexg
        4
    gamexg  
    OP
       2017-07-21 17:34:31 +08:00
    @yyfearth
    @Halry

    非常感谢,老系统无法签 SAN,升级后重新签发了带 SAN 的证书。
    现在 chrome 不在报证书错误了。
    Rezark
        5
    Rezark  
       2017-07-21 18:23:30 +08:00
    gamexg
        6
    gamexg  
    OP
       2017-07-21 18:33:40 +08:00
    @Rezark 我的现在也是这样,chrome 下不报证书错误了。
    DylanWong
        7
    DylanWong  
       2019-01-14 10:51:38 +08:00
    @gamexg 请问怎么详细操作?
    DylanWong
        8
    DylanWong  
       2019-01-14 16:02:47 +08:00
    @Rezark 请问怎么出来这个?
    gamexg
        9
    gamexg  
    OP
       2019-01-14 17:02:59 +08:00   ❤️ 1
    @DylanWong #8 使用什么签发的证书?
    需要将 ip 填到使用者可选名称字段(DNS Name=*.v2ex.com 或 IP Address=1.2.3.4),单独只填写到使用者 (CN = *.v2ex.com )字段就会在新版本 chrome 下出现问题。

    具体你是用的什么证书签发工具不清楚,我不确定应该怎么操作。
    但是只用注意一点,使用者字段只允许单个域名,但是可选名称允许多个域名,只要查询下单个证书签发多个域名用哪个参数就能确定怎么操作了,这个支持多个域名的就是可选名称。
    DylanWong
        10
    DylanWong  
       2019-01-15 09:38:04 +08:00
    @gamexg 感谢回复,我用的是 OpenSSL 生成的证书,目前在 Chrome 下面会报警告信息,我想请问您是用什么工具生成的?
    gamexg
        11
    gamexg  
    OP
       2019-01-15 11:01:31 +08:00   ❤️ 1
    @DylanWong #10 freenas 签发的内网证书。

    搜索了下,OpenSSL 的操作步骤:

    https://zhuanlan.zhihu.com/p/26646377

    “原有的简单自签名证书在 chrome 里面不好使了,提示 missing_subjectAltName ”

    https://blog.csdn.net/u013066244/article/details/78725842

    “[alt_names]”
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2936 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 14:23 · PVG 22:23 · LAX 06:23 · JFK 09:23
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.