Назад | Перейти на главную страницу

Ваше соединение не защищено - как добавить сертификат ЦС в браузер

Я только что добавил NAS (сетевое хранилище) в свою локальную сеть и хочу получить к нему доступ через HTTPS. Все работает, за исключением того, что, когда я перехожу к нему, Chrome отвечает сообщением «Небезопасно» в адресной строке, а в протокольной части URL-адреса «https» есть зачеркнутая строка. У меня аналогичная проблема с Mozilla Firefox.

Шаги

  1. На моем компьютере под управлением Linux Mint 17.3 я создал корневой центр сертификации, выполнив sudo /usr/lib/ssl/misc/CA.sh -newca.
  2. Я вошел в NAS с помощью http и создал CSR (запрос на подпись сертификата), который затем загрузил на свой компьютер. Файл имеет расширение .csr.
  3. Затем я подписал файл .csr с помощью команды sudo openssl ca -out myCert.pem -infiles myCert.csr.
  4. Я импортировал сертификат myCert.pem в NAS, используя его веб-интерфейс.
  5. Я добавил сертификат CA myCaCert.pem на моем компьютере в хранилище сертификатов, переместив его в /usr/share/ca-certificates/extra/myCaCert.crt а затем бег sudo dpkg-reconfigure ca-certificates.
  6. Затем я проверил, что файл myCert.pem конечного сертификата работает нормально, запустив openssl verify myCert.pem. Результат был «myCert.pem: OK».
  7. Затем я импортировал файл myCaCert.pem корневого сертификата в Mozilla Firefox и Chrome.

После выполнения этих шагов и Firefox, и Chrome показывают, что URL-адрес NAS через https небезопасен. Обязательно ли настраивать на моем компьютере службу, на которой есть файл myCaCert.pem, чтобы обслуживать этот файл? Не знаю, что делать в этот момент ...

РЕДАКТИРОВАТЬ

Как предложил dave_thompson_085, я проверил ошибки безопасности в Chrome в инструментах разработчика. Отображаются следующие две ошибки:

(1) Отсутствует альтернативное имя субъекта: сертификат для этого сайта не содержит расширения альтернативного имени субъекта, содержащего доменное имя или IP-адрес.

(2) Ошибка сертификата: есть проблемы с цепочкой сертификатов сайта (net :: ERR_CERT_COMMON_NAME_INVALID).

Я думал, что альтернативные имена субъектов необязательны .... Я попробую создать еще один CSR с помощью SAN ....

Комментарии, опубликованные date_thompson_085 и tonioc, сыграли важную роль в выявлении проблемы. К сожалению, CSR, созданный используемым мной NAS, которым является Synology DS916 +, не имеет возможности включать SAN (альтернативные имена субъектов) в запрос. В результате я использовал openssl чтобы вместо этого создать запрос сертификата на моем ПК, который я затем подписал тем же методом (openssl ca ...) как указано в исходном вопросе. Мне нужно было использовать настраиваемый файл конфигурации .cnf с командой openssl, один для выполнения запроса и один для его подписи, чтобы SAN отображались в конечном сертификате. Однако после импорта этого сертификата в NAS проблема, возникающая с Chrome и Firefox, исчезла.