macOS의 Chrome에서 자체 서명 된 인증서를 갑자기 거부 함

0

2 년 동안 apache2에서 실행되는 로컬 호스팅 사이트에 자체 서명 된 인증서를 사용하고 있습니다. 오늘 그 인증서 중 하나 가 만료되었습니다. 더 큰 문제는 없었으며 인증서를 다시 만들어 내 키 체인의 인증서를 교체했습니다. 그러나 사이트를 방문하려고 할 때 Chrome에서 오류가 발생합니다.

인증서 오류
사이트의 인증서 체인 (net :: ERR_CERT_COMMON_NAME_INVALID)에 문제가 있습니다.

그래서 내가 생성 한 인증서가 피할 것이라고 생각했습니다. 그러나 아닙니다. 다른 모든 (자본없는) 자체 서명 인증서도 작동을 멈췄습니다! 우연의 일치입니까? 모르겠어요

내 '공통 이름'( com06예 : 등 https://com06/)이 마음에 들지 않아서 시도해 보았습니다 com06.dev. 불운!

무슨 일이야?

로 생성 된 인증서 

openssl req -new -newkey rsa:2048 -sha256 -days 365 -nodes -x509 -keyout server.key -out server.crt

키 체인에 추가 

sudo security add-trusted-cert -d -r trustRoot -k /Library/Keychains/System.keychain server.crt
  • macOS 10.11.6
  • Chrome v58.0.3029.33 베타 (64 비트)

자체 서명 된 인증서는 Safari에서 허용되며 Chrome에만 해당됩니다.

최신 정보

Chrome v58.0.3029.41 베타부터 개발자 도구에 다음과 같은 유용한 오류 메시지가 표시됩니다.

Subject Alternative Name Missing
The certificate for this site does not contain a Subject Alternative 
Name extension containing a domain name or IP address.
el-capitan  google-chrome  keychain  ssl 
고통스러운
소스
크롬이 보안을 강화하고 신뢰를 두 배로 높이고 있는지 묻고 있습니까? 또는 certbot 또는 다른 소스를 사용하는 것과 같이 더 나은 카트를 얻는 방법은 무엇입니까?
bmike
아니요, 왜 내 인증서가 갑자기 작동을 멈췄는지 궁금합니다.
18 분 12 초

답변:

1

EnableCommonNameFallbackForLocalAnchors 정책을 사용하여 SAN 시행을 일시적으로 비활성화 할 수 있습니다 . 자세한 내용 은 이 페이지 를 참조하십시오. 그러면 시간이 허락 할 때 인증서를 다시 발급 할 수 있습니다.

OSX에서는 다음 명령을 사용하여이 작업을 수행 할 수 있습니다.

defaults write com.google.Chrome EnableCommonNameFallbackForLocalAnchors -bool true
f0xik
소스
0

문제는 openssl을 사용하여 자체 서명 된 인증서를 생성 할 때 채워지지 않은 SAN (Subject Alternative Name)이 누락되었습니다. 그러나이 훌륭한 답변은 오픈 SSL을 사용하여 호환되는 인증서를 생성하는 방법을 설명합니다.

인증서에 SAN이 포함되어 있는지 확인하려면 openssl x509 -in my.crt -text

고통스러운
소스
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.