Mac OS X - 接受自签名多域 SSL 证书

【问题标题】:Mac OS X - Accept self-signed multi domain SSL CertificateMac OS X - 接受自签名多域 SSL 证书
【发布时间】:2013-04-01 04:28:41
【问题描述】:

我已经使用 Keychain Access 导入了多个域(比如说 my.foo.bar.com 和 yours.foo.bar.com)的自签名证书,但 Chrome 仍然不接受它,在每个每个域的浏览会话开始时提示我进行验证。

证书是使用 x509v3 主题备用名称 扩展生成的,以验证多个域。如果我在导入证书之前导航到站点,我会收到与导入证书之后不同的警告消息。下面附上两个错误的图片(上面是导入前的错误)

有没有办法接受自签名的多域证书?顺便说一句,我只在 Chrome 中收到警告。 FF 和 Safari 工作得很好(除了那些浏览器很烂;))

更新:我尝试使用 openssl cli 和 xca GUI 生成证书

【问题讨论】:

  • 您究竟是如何生成证书的?为什么要使用主题密钥标识符?您的意思是主题替代名称吗?
  • 刚刚更新了我的答案。是的,以替代名称为主题。我尝试使用 openssl CLI 工具和 xca (sourceforge.net/projects/xca) 生成两者
  • 您确定您的 SAN 属于 DNS 类型吗? (据我所知,xca 至少可以在 URI、DNS 和 IP 之间进行选择)
  • "(上面是导入前的错误)" 可能反过来吧。
  • 不,top 肯定是在导入之前。是的,SAN 被列为 DNS。理想情况下,我想将 SAN 指定为 、*. 等,以支持无限的子域。所有这一切都只是为了一个测试开发框,我们使用多个嵌套的子域(我讨厌,但你能做什么)

标签: google-chrome ssl certificate self-signed


【解决方案1】:

问题在于您尝试使用的通配符过于宽泛(**.com)。

规范(RFC 6125RFC 2818 Section 3.1)谈到“left-most”标签,这意味着应该有多个标签:

 1.  The client SHOULD NOT attempt to match a presented identifier in
     which the wildcard character comprises a label other than the
     left-most label (e.g., do not match bar.*.example.net).

 2.  If the wildcard character is the only character of the left-most
     label in the presented identifier, the client SHOULD NOT compare
     against anything but the left-most label of the reference
     identifier (e.g., *.example.com would match foo.example.com but
     not bar.foo.example.com or example.com).

我不确定是否有规范说明应该有多少个最小标签,但Chromium code 表示必须至少有 2 个点:

我们需要至少 3 个组件(即 2 个点)作为基本保护 反对过于宽泛的通配符。

这确实是为了防止像*.com 这样过于宽泛的情况。这可能看起来不方便,但 CA 偶尔会犯错误,并且采取措施防止颁发给*.com 的潜在流氓证书发挥作用并不一定是坏事。 如果我没记错的话,一些实现比这更进一步,并且列表域对于二级域来说也太宽泛了(例如.co.uk)。

关于您的第二个示例:“CN:bar.com, SANs: DNS:my.foo.bar.com, DNS:yours.foo.bar.com”。此证书应该对my.foo.bar.comyours.foo.bar.com 有效,但对bar.com 无效。当没有 SAN 时,CN 只是一种备用解决方案。如果有任何 SAN,则应忽略 CN(尽管某些实现会更宽容)。

【讨论】:

  • 啊,很好的答案!我不知道 CN 是没有 SAN 的后备方案。感谢所有的来回。我会在这里检查一下,一旦我得到它的工作就接受。
  • 唉,还是没有爱。所以我将 CN 设置为 .example.com,将 SAN 设置为“DNS:.example.com, DNS:*.*.example.com”,当我点击 foo.bar 时。 example.com 它警告说它被标识为 *.example.com。我是否需要提供 CN?
  • 我猜.example.com*.example.com 错字是由于评论格式。您只能使用一个通配符:最左边的标签。如果您想要foo.bar.example.com 的东西,请尝试*.bar.example.com(当然也可以直接尝试foo.bar.example.com)。
  • 是的,抱歉,没有看到 SO 格式去掉了我的星号。啊,那可能是我的问题。我敢打赌,唯一的通配符就是让我沉沦的原因。好的,我稍后再试一次
  • 仍在解决一些怪癖,但似乎多个通配符确实是问题所在。您介意更新您的答案以包含它,我会接受吗?感谢您的所有帮助!
猜你喜欢
  • 2015-09-13
  • 1970-01-01
  • 1970-01-01
  • 1970-01-01
  • 2011-08-25
  • 1970-01-01
  • 2015-12-25
  • 2013-12-25
  • 2012-11-01
相关资源
最近更新 更多
热门标签
Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode