अमान्य स्व हस्ताक्षरित SSL प्रमाणपत्र - "विषय वैकल्पिक नाम गुम"

हाल ही में, Chrome ने मेरे स्व-हस्ताक्षरित SSL सेर्ट्स के साथ काम करना बंद कर दिया है, और सोचता है कि वे असुरक्षित हैं। जब मैं DevTools | Securityटैब में प्रमाण पत्र को देखता हूं, तो मैं देख सकता हूं कि यह कहता है

विषय वैकल्पिक नाम गुम इस साइट के लिए प्रमाणपत्र में एक डोमेन नाम या आईपी पते वाला विषय वैकल्पिक नाम एक्सटेंशन नहीं है।

प्रमाणपत्र त्रुटि साइट की प्रमाणपत्र श्रृंखला (नेट :: ERR_CERT_COMMON_NAME_INVALID) के साथ समस्याएँ हैं।

मैं इसे कैसे ठीक करूं?

इसे ठीक करने के लिए, आपको opensslमूल रूप से प्रमाणपत्र बनाते समय एक अतिरिक्त पैरामीटर की आपूर्ति करने की आवश्यकता होती है , मूल रूप से

-sha256 -extfile v3.ext

जहाँ v3.extएक फ़ाइल है, जैसे %%DOMAIN%%कि आपके द्वारा उपयोग किए जाने वाले समान नाम के साथ बदल दी गई है Common Name। अधिक जानकारी यहाँ और यहाँ पर । ध्यान दें कि आम तौर पर आप उस डोमेन के लिए Common Nameऔर उस पर सेट करेंगे, जिसके %%DOMAIN%%लिए आप एक प्रमाण पत्र बनाने की कोशिश कर रहे हैं। तो अगर यह था www.mysupersite.com, तो आप दोनों के लिए उपयोग करेंगे।

v3.ext

authorityKeyIdentifier=keyid,issuer
basicConstraints=CA:FALSE
keyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment
subjectAltName = @alt_names

[alt_names]
DNS.1 = %%DOMAIN%%

नोट: इस समस्या का समाधान करने वाली लिपियाँ, और क्रोम, सफारी और जावा क्लाइंट से उपयोग के लिए पूरी तरह से विश्वसनीय एसएसएल सेर्ट बनाते हैं, जो यहां देखे जा सकते हैं।

एक और नोट : यदि आप जो कुछ भी करने की कोशिश कर रहे हैं, वह स्वयं हस्ताक्षरित प्रमाण पत्र देखते समय त्रुटियों को फेंकने से क्रोम को रोकना है, तो आप क्रोम को एक विशेष कमांड लाइन विकल्प के साथ इसे शुरू करके सभी साइटों के लिए सभी एसएसएल त्रुटियों को अनदेखा करने के लिए कह सकते हैं, जैसा कि यहां विस्तृत है। सुपरयूजर पर

निम्नलिखित समाधान ने मेरे लिए क्रोम 65 ( रेफरी ) पर काम किया -

एक OpenSSL कॉन्फिग फ़ाइल बनाएँ (उदाहरण: req.cnf)

[req]
distinguished_name = req_distinguished_name
x509_extensions = v3_req
prompt = no
[req_distinguished_name]
C = US
ST = VA
L = SomeCity
O = MyCompany
OU = MyDivision
CN = www.company.com
[v3_req]
keyUsage = critical, digitalSignature, keyAgreement
extendedKeyUsage = serverAuth
subjectAltName = @alt_names
[alt_names]
DNS.1 = www.company.com
DNS.2 = company.com
DNS.3 = company.net

इस कॉन्फ़िग फ़ाइल को संदर्भित करने वाला प्रमाणपत्र बनाएं

openssl req -x509 -nodes -days 730 -newkey rsa:2048 \
 -keyout cert.key -out cert.pem -config req.cnf -sha256

बैश स्क्रिप्ट

मैंने क्रोम में स्व-हस्ताक्षरित टीएलएस प्रमाण पत्र बनाने के लिए आसान बनाने के लिए एक बैश स्क्रिप्ट बनाई ।

• स्व-हस्ताक्षरित- tls bash script

पर परीक्षण किया गया Chrome 65.xऔर यह अभी भी काम कर रहा है। नए प्रमाणपत्र स्थापित करने के बाद क्रोम को पुनः आरंभ करना सुनिश्चित करें।

chrome://restart

अन्य संसाधन

एक और (बहुत अधिक मजबूत) टूल की जाँच करने लायक उपकरण है CloudFlare का cfsslटूलकिट:

• cfssl

मैं बस -subjमशीनों के आईपी पते को जोड़ने वाले पैरामीटर का उपयोग करता हूं । तो केवल एक कमांड से हल किया।

sudo openssl req -x509 -nodes -days 3650 -newkey rsa:2048 -sha256 -subj '/CN=my-domain.com/subjectAltName=DNS.1=192.168.0.222/' -keyout my-domain.key -out my-domain.crt

आप सी, एसटी, एल, ओ, ओयू, ईमेलएड्रेस जैसी अन्य विशेषताओं को जोड़ सकते हैं, ताकि बिना संकेत दिए जा सकें।

मेरे पास मैक्रो / क्रोम पर काम करने वाले स्व-हस्ताक्षरित प्रमाणपत्र प्राप्त करने के लिए बहुत सारे मुद्दे थे। अंत में मुझे Mkcert मिला, "किसी भी नाम के साथ स्थानीय रूप से विश्वसनीय विकास प्रमाणपत्र बनाने के लिए एक सरल शून्य-कॉन्फिग टूल।" https://github.com/FiloSottile/mkcert

• अपने होम निर्देशिका में अपने OpenSSL कॉन्फिग की प्रतिलिपि बनाएँ:

  cp /System/Library/OpenSSL/openssl.cnf ~/openssl-temp.cnf
  

  या लिनक्स पर:

  cp /etc/ssl/openssl.cnf ~/openssl-temp.cnf
  

• इसके openssl-temp.cnfअंतर्गत विषय वैकल्पिक नाम जोड़ें [v3_ca]:

  [ v3_ca ]
  subjectAltName = DNS:localhost
  

  localhostउस डोमेन से प्रतिस्थापित करें जिसके लिए आप उस प्रमाणपत्र को जनरेट करना चाहते हैं।

• प्रमाण पत्र बनाएं:

  sudo openssl req -x509 -nodes -days 365 -newkey rsa:2048 \
      -config ~/openssl-temp.cnf
      -keyout /path/to/your.key -out /path/to/your.crt
  

आप तब हटा सकते हैं openssl-temp.cnf

मैं v3.ext फ़ाइल के DNS.1 मान को बदलकर (शुद्ध :: ERR_CERT_AUTHORITY_INVALID) से छुटकारा पाने में सक्षम था

[alt_names] DNS.1 = domainname.com

अपने स्वयं के डोमेन के साथ domainname.com बदलें।

यहाँ IP सर्टिफिकेट बनाने का एक बहुत ही सरल तरीका है जिस पर क्रोम भरोसा करेगा।

Ssl.conf फ़ाइल ...

[ req ]
default_bits       = 4096
distinguished_name = req_distinguished_name
req_extensions     = req_ext
prompt             = no

[ req_distinguished_name ]
commonName                  = 192.168.1.10

[ req_ext ]
subjectAltName = IP:192.168.1.10

जहां, निश्चित रूप से 192.168.1.10 स्थानीय नेटवर्क आईपी है जिसे हम क्रोम पर भरोसा करना चाहते हैं।

प्रमाण पत्र बनाएँ:

openssl genrsa -out key1.pem
openssl req -new -key key1.pem -out csr1.pem -config ssl.conf
openssl x509 -req -days 9999 -in csr1.pem -signkey key1.pem -out cert1.pem -extensions req_ext -extfile ssl.conf
rm csr1.pem

Windows सभी क्लाइंट मशीनों पर विश्वसनीय रूट प्रमाणपत्र संग्रह में प्रमाण पत्र आयात करता है। Android फोन या टेबलेट पर इसे स्थापित करने के लिए प्रमाणपत्र डाउनलोड करें। अब क्रोम खिड़कियों और Android पर प्रमाण पत्र पर भरोसा करेंगे।

विंडोज़ देव बॉक्स पर खुलने का सबसे अच्छा स्थान है।

मैक पर क्रोम संस्करण 67.0.3396.99 से शुरू होने पर मेरे स्व-हस्ताक्षरित प्रमाण पत्र ने काम करना बंद कर दिया।

यहाँ जो कुछ भी लिखा गया था उससे उत्थान नहीं हुआ।

अपडेट करें

यह पुष्टि करने का मौका था कि मेरा दृष्टिकोण आज काम करता है :)। यदि यह आपके लिए काम नहीं करता है तो सुनिश्चित करें कि आप इस दृष्टिकोण का उपयोग कर रहे हैं

v3.ext
authorityKeyIdentifier=keyid,issuer
basicConstraints=CA:FALSE
keyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment
subjectAltName = @alt_names

[alt_names]
DNS.1 = <specify-the-same-common-name-that-you-used-while-generating-csr-in-the-last-step>
$

यहां से कॉपी किया गया https://ksearch.wordpress.com/2017/08/22/generate-and-import-a-self-signed-ssl-certificate-on-mac-osx-sierra/

अंत अद्यतन

अंत में ग्रीन सिक्योर को केवल तभी देखा जा सका जब मेरे सर्टिफिकेट को सिस्टम से हटाया गया , और इसे लोकल किचेन में जोड़ा गया । (अगर वहाँ एक है - इसे पहले छोड़ दें)। सुनिश्चित नहीं है कि यह परिपक्व होता है, लेकिन मेरे मामले में मैंने क्रोम के माध्यम से प्रमाण पत्र डाउनलोड किया, और सत्यापित किया कि आज की तारीख है - इसलिए यह वह है जिसे मैंने बनाया है।

आशा है कि यह उस पर एक दिन की तरह खर्च किसी के लिए उपयोगी होगा।

क्रोम अपडेट न करें!

यदि आप अपना सर्वर लोकलहोस्ट चलाना चाहते हैं, तो आपको सेटअप CN = localhostऔर करने की आवश्यकता है DNS.1 = localhost।

[req]
default_bits = 2048
default_md = sha256
distinguished_name = req_distinguished_name
prompt = no
prompt = no
x509_extensions = v3_req

[req_distinguished_name]
C = BR
CN = localhost
emailAddress=contact@example.com
L = Sao Paulo
O = example.com
OU = example.com
ST = Sao Paulo

[v3_req]
authorityKeyIdentifier = keyid, issuer
basicConstraints = CA:FALSE
extendedKeyUsage = serverAuth
keyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment
subjectAltName = @alt_names

[alt_names]
DNS.1 = localhost