我正在使用 powershell New-SelfSignedCertificate 创建证书并导入 .netcore 项目的受信任根目录。
它一直运行良好,但最近停止了,证书要到 2024 年才会过期。
我在 Chrome 106 上。
关于它为什么会停止以及如何解决的任何想法?
【问题讨论】:
标签: google-chrome .net-core self-signed-certificate
是的,Chrome 已经推出了它的own certificate root store。他们说这发生在 Chrome 105 中,但自 Chrome 106 在企业环境中我们才开始遇到问题。
在 Windows 上,您可以通过注册表禁用此新功能:
ChromeRootStoreEnabled = 0取自chromeenterprise。但是不要忘记,在不了解您所做的事情的情况下禁用此功能可能会带来安全风险——在这种情况下并不是一个大风险,但无论如何。
文档实际上声明新的根存储考虑了本地受信任的证书:
Chrome 证书验证程序会在证书验证过程中考虑本地管理的证书。这意味着,如果企业将根 CA 证书作为受信任的用户分发(例如,通过 Windows 组策略对象),它将在 Chrome 中被视为受信任。
我们使用自己的 CA 在企业环境中签署测试网站 HTTPS 证书。所以我们似乎一定没有受到影响。但是即使开发团队中的每个人都将我们的 CA 安装在受信任的根目录下——我们仍然面临这个问题。我不确定这是一个错误,还是我们需要知道哪些 CA 被接受,哪些不被接受。
2022 年 10 月 24 日更新
我发现除了团队的CA之外,还有另一个本地企业CA。该 CA 颁发的 Сertificates 被 Chrome 接受,而不会禁用新的根存储 - 因此 Chrome 显然不会忽略本地受信任的证书。
经过反复试验,我发现问题不在于 CA 证书,而在于端点 CA 签名证书.现在被拒绝的旧测试证书包含以下属性:
Basic Constraints: 主题 = 不是 CA,路径长度 = 0Key Usage:数字签名、密钥加密Extended Key Usage:TLS 服务器、TLS 客户端 + 9 个内部自定义 OIDSubject Alternative Name: localhost + 大约 30 个测试网站在各个域中的 DNS 名称删除
Basic Constraints属性使 Chrome 最终接受了证书。因此,除了新的根存储之外,证书验证过程也发生了更多变化。到目前为止,我还没有找到任何关于它们到底发生了什么变化的文档。 AFAIK
Basic Constraints是一个 absolutely fine property,即使在非 CA 证书中也有,所以对我来说它看起来像是 Chrome 中的一个错误。
【讨论】: