Localhost CN සඳහා මම ස්වයං-අත්සන් කළ SSL සහතිකයක් නිර්මාණය කර ඇත්තෙමි. ෆයර්ෆොක්ස් මෙම සහතිකය මුලින් අපේක්ෂා කළ පරිදි ඒ ගැන පැමිණිලි කිරීමෙන් පසුව පිළිගනී. කෙසේ වෙතත්, විශ්වාසදායක මූලයන් යටතේ ඇති පද්ධති සහතික ගබඩාවට සහතිකය එකතු කිරීමෙන් පසුව පවා ක්‍රෝම් සහ අයිඊ එය පිළිගැනීම ප්‍රතික්ෂේප කරයි. ක්‍රෝම් හි HTTPS උත්පතන තුළ "සහතික තොරතුරු බලන්න" ක්ලික් කළ විට සහතිකය නිවැරදිව ස්ථාපනය කර ඇති බව ලැයිස්තුගත කර ඇතත්, එය තවමත් අවධාරනය කරන්නේ සහතිකය විශ්වාස කළ නොහැකි බවයි.

ක්‍රෝම් සහතිකය භාරගෙන ඒ ගැන පැමිණිලි කිරීම නැවැත්වීමට මා කුමක් කළ යුතුද?

2020-05-22 : විධාන 5 කින් පමණක් openssl ඔබට මෙය කළ හැකිය.

කරුණාකර ඔබගේ බ්‍රව්සරයේ ආරක්ෂක සැකසුම් වෙනස් නොකරන්න.

පහත කේතය සමඟ, ඔබට (1) ඔබේම CA බවට පත්විය හැකිය, (2) ඉන්පසු ඔබේ SSL සහතිකය CA ලෙස අත්සන් කරන්න. (3) ඉන්පසු CA සහතිකය (ඔබේ සේවාදායකයට යන SSL සහතිකය නොවේ) Chrome / Chromium වෙත ආයාත කරන්න. (ඔව්, මෙය ලිනක්ස් වල පවා ක්‍රියාත්මක වේ.)

######################
# Become a Certificate Authority
######################

# Generate private key
openssl genrsa -des3 -out myCA.key 2048
# Generate root certificate
openssl req -x509 -new -nodes -key myCA.key -sha256 -days 825 -out myCA.pem

######################
# Create CA-signed certs
######################

NAME=mydomain.com # Use your own domain name
# Generate a private key
openssl genrsa -out $NAME.key 2048
# Create a certificate-signing request
openssl req -new -key $NAME.key -out $NAME.csr
# Create a config file for the extensions
>$NAME.ext cat <<-EOF
authorityKeyIdentifier=keyid,issuer
basicConstraints=CA:FALSE
keyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment
subjectAltName = @alt_names
[alt_names]
DNS.1 = $NAME # Be sure to include the domain name here because Common Name is not so commonly honoured by itself
DNS.2 = bar.$NAME # Optionally, add additional domains (I've added a subdomain here)
IP.1 = 192.168.0.13 # Optionally, add an IP address (if the connection which you have planned requires it)
EOF
# Create the signed certificate
openssl x509 -req -in $NAME.csr -CA myCA.pem -CAkey myCA.key -CAcreateserial \
-out $NAME.crt -days 825 -sha256 -extfile $NAME.ext

නැවත බැලීමට:

1. වරලත් ගණකාධිකාරීවරයෙක් වන්න
2. ඔබේ CA යතුර භාවිතයෙන් ඔබේ සහතිකය අත්සන් කරන්න
3. myCA.pemඔබගේ Chrome සැකසුම් තුළ අධිකාරියක් ලෙස ආයාත කරන්න (සැකසීම්> සහතික කළමනාකරණය> බලධාරීන්> ආයාත කරන්න)
4. .crtඔබගේ සේවාදායකයේ ගොනුව භාවිතා කරන්න

අමතර පියවර (මැක් සඳහා, අවම වශයෙන්):

1. CA ගොනුව "ගොනුව> ආයාත ගොනුව" වෙත ආයාත කරන්න, ඉන්පසු එය ලැයිස්තුවේ සොයා ගන්න, එය දකුණු ක්ලික් කරන්න, "> විශ්වාසය" පුළුල් කරන්න, සහ "සැමවිටම" තෝරන්න
2. එකතු කරන්න extendedKeyUsage=serverAuth,clientAuthපහත basicConstraints=CA:FALSE, සහ වග බලා ගන්න ඔබ වැනි එකම ඇති "CommonName" සකස් කිරීමට $NAMEඑය පිහිටුවීම් ඉල්ලා යනකොට

ඔබට ඔබේ වැඩ පරීක්ෂා කළ හැකිය

openssl verify -CAfile myCA.pem -verify_hostname bar.mydomain.com mydomain.com.crt

සඳහා localhostපමණි:

මෙය ඔබගේ ක්‍රෝම් තුළ අලවන්න:

chrome://flags/#allow-insecure-localhost

උද්දීපනය කළ පෙළ කියමන ඔබ දැකිය යුතුය: localhost වෙතින් පටවන ලද සම්පත් සඳහා අවලංගු සහතික වලට ඉඩ දෙන්න

ක්ලික් කරන්න Enable.

මෙය මට ප්‍රයෝජනවත් විය:

1. ක්‍රෝම් භාවිතා කරමින්, HTTPS හරහා ඔබේ සේවාදායකයේ පිටුවකට පහර දී රතු අනතුරු ඇඟවීමේ පිටුව පසුකර යන්න (ඔබ මෙය දැනටමත් කර නොමැති බව උපකල්පනය කරන්න).
2. විවෘත කරන්න Chrome Settings > Show advanced settings > HTTPS/SSL > Manage Certificates.
3. Authoritiesඔබ සහතිකයට ලබා දුන් සංවිධානයේ නම යටතේ ඔබේ සහතිකය සොයා ගැනීමට ටැබ් එක ක්ලික් කර පහළට අනුචලනය කරන්න.
4. එය තෝරන්න, සංස්කරණය කරන්න ක්ලික් කරන්න ( සටහන : ක්‍රෝම් හි මෑත සංස්කරණ වල, බොත්තම දැන් "සංස්කරණය කරන්න" වෙනුවට "උසස්" වේ), සියලු පෙට්ටි පරීක්ෂා කර හරි ක්ලික් කරන්න. ඔබට Chrome නැවත ආරම්භ කිරීමට සිදුවනු ඇත.

ඔබ දැන් ඔබේ පිටුවල ලස්සන හරිත අගුල ලබා ගත යුතුය.

සංස්කරණය කරන්න: මම මෙය නව යන්ත්‍රයකින් නැවත උත්සාහ කළ අතර රතු විශ්වාසනීය නොවන සහතික පිටුවෙන් ඉදිරියට යාමෙන් සහතිකය කළමනාකරණ කවුළුවෙහි සහතිකය නොපෙන්වයි. මට පහත සඳහන් දේ කිරීමට සිදු විය:

1. විශ්වාසනීය නොවන සහතිකය සහිත පිටුවේ ( https://රතු පැහැයෙන් හරස් කොට ඇත), අගුල> සහතික තොරතුරු ක්ලික් කරන්න. සටහන: ක්‍රෝම් හි නවතම අනුවාද වල, ඔබ විවෘත Developer Tools > Securityකර තෝරා ගත View certificateයුතුය.
2. ක්ලික් කරන්න Details tab > Export. PKCS #7, single certificateගොනු ආකෘතිය ලෙස තෝරන්න .
3. ඉන්පසු සහතික කළමනාකරණය පිටුවට යාමට මගේ මුල් උපදෙස් අනුගමනය කරන්න. ක්ලික් කර Authorities tab > Importඔබ සහතිකය අපනයනය කළ ගොනුව තෝරන්න, සහ ගොනු වර්ගය ලෙස තෝරා ගැනීමට වග බලා ගන්න .PKCS #7, single certificate
4. ඉල්ලුම් කරන සහතික කිරීමේ ගබඩාවක් නම්, විශ්වාසදායක මූල සහතික අධිකාරීන් තෝරන්න
5. සියලුම පෙට්ටි පරීක්ෂා කර OK ක්ලික් කරන්න. Chrome නැවත ආරම්භ කරන්න.

ක්‍රෝම් 58+ සඳහා යාවත්කාලීන කරන්න (නිකුත් කරන ලද්දේ 2017-04-19)

Chrome 58 වන විට, ධාරකය පමණක් භාවිතා කරමින් හඳුනා ගැනීමේ හැකියාව commonName ඉවත් කරන ලදි . subjectAltNameඔවුන්ගේ සත්කාරක (ය) හඳුනා ගැනීමට සහතික දැන් භාවිතා කළ යුතුය . තවදුරටත් බලන්න මෙතන සාකච්ඡා හා මෙහි දෝෂ ට්රැකර් . අතීතයේදී, subjectAltNameබහු සත්කාරක සහතික සඳහා පමණක් භාවිතා කරන ලද බැවින් සමහර අභ්‍යන්තර CA මෙවලම් ඒවාට ඇතුළත් නොවේ.

ඔබගේ ස්වයං-අත්සන් කළ සහතික අතීතයේ දී හොඳින් ක්‍රියාත්මක වූ නමුත් හදිසියේම Chrome 58 හි දෝෂ ජනනය කිරීමට පටන් ගත්තේ නම්, මේ නිසා ය.

එබැවින් ඔබ විසින්ම අත්සන් කරන ලද සහතිකය (හෝ ස්වයං-අත්සන් කරන ලද CA එකක් විසින් අත්සන් කරන ලද සහතිකය) උත්පාදනය කිරීමට ඔබ භාවිතා කරන ඕනෑම ක්‍රමයක්, සේවාදායකයාගේ සහතිකයේ තනි සත්කාරක සමාගමක් සඳහා වුවදsubjectAltName නිසි DNSසහ / හෝ IPඇතුළත් කිරීම් / ඇතුළත් කිරීම් අඩංගු බව සහතික කරන්න. .

Opensl සඳහා, මෙයින් අදහස් කරන්නේ ඔබේ OpenSSL වින්‍යාසය ( /etc/ssl/openssl.cnfඋබුන්ටු මත) තනි ධාරකයෙකු සඳහා පහත සඳහන් දේට සමාන යමක් තිබිය යුතු බවයි:

[v3_ca]   # and/or [v3_req], if you are generating a CSR
subjectAltName = DNS:example.com

හෝ බහු ධාරක සඳහා:

[v3_ca]   # and/or [v3_req], if you are generating a CSR
subjectAltName = DNS:example.com, DNS:host1.example.com, DNS:*.host2.example.com, IP:10.1.2.3

(F12 යටතේ "ආරක්ෂාව" ටැබය වෙත ගෙන ඇති) Chrome හි Cert නරඹන්නාට ඔබ යටතේ එය ලැයිස්තුගත බැලිය යුතුය Extensionsලෙස Certificate Subject Alternative Name:

මැක්හි, ඔබට පද්ධති යතුරුපුවරුවට ස්වයං අත්සන් කළ සහතිකය එක් කිරීමට යතුරුපුවරු ප්‍රවේශ උපයෝගීතාව භාවිතා කළ හැකි අතර ක්‍රෝම් එය පිළිගනී. පියවරෙන් පියවර උපදෙස් මෙහි මට හමු විය:

ගූගල් ක්‍රෝම්, මැක් ඕඑස් එක්ස් සහ ස්වයං අත්සන් කළ එස්එස්එල් සහතික

මූලික වශයෙන්:

1. X සමඟ අගුළු නිරූපකය දෙවරක් ක්ලික් කර සහතික නිරූපකය ඩෙස්ක්ටොප් එකට ඇදගෙන යන්න,
2. මෙම ගොනුව විවෘත කරන්න (.cer දිගුවකින් අවසන් වේ); මෙය සහතිකය අනුමත කිරීමට ඉඩ දෙන යතුරුපුවරු යෙදුම විවෘත කරයි.

පිටුවේ ඕනෑම තැනක ක්ලික් කර BYPASS_SEQUENCE ටයිප් කරන්න

" thisisunsafe" යනු ක්‍රෝම් 65 අනුවාදය සඳහා BYPASS_SEQUENCE ය

" badidea" Chrome සංස්කරණය 62 - 64.

" danger" Chrome හි පෙර වෙළුම් වැඩ කිරීම සඳහා භාවිතා

ඔබට ආදාන ක්ෂේත්‍රය සෙවීමට අවශ්‍ය නැත, එය ටයිප් කරන්න. එය අමුතු බවක් දැනුනත් එය ක්‍රියාත්මක වේ.

මම එය මැක් හයි සියෙරා මත අත්හදා බැලුවෙමි.

ඔවුන් එය වෙනස් කර ඇත්දැයි දෙවරක් පරීක්ෂා කිරීමට නවතම ක්‍රෝමියම් ප්‍රභව කේතයට යන්න

BYPASS_SEQUENCE සෙවීම සඳහා, මේ මොහොතේ එය එසේ ය:

var BYPASS_SEQUENCE = window.atob('dGhpc2lzdW5zYWZl');

දැන් ඔවුන් එය සැඟවී ඇත, නමුත් සැබෑ BYPASS_SEQUENCE බැලීමට ඔබට බ්‍රව්සර් කොන්සෝලයකින් පහත පේළිය ධාවනය කළ හැකිය.

console.log(window.atob('dGhpc2lzdW5zYWZl'));

මැක්හි, පහත සඳහන් දේ කිරීමෙන් ඔබට පද්ධති මට්ටමින් ක්‍රෝම් සහ සෆාරි විසින් පූර්ණ විශ්වාසයක් ඇති සහතිකයක් නිර්මාණය කළ හැකිය:

    # create a root authority cert
    ./create_root_cert_and_key.sh
    
    # create a wildcard cert for mysite.com
    ./create_certificate_for_domain.sh mysite.com
    
    # or create a cert for www.mysite.com, no wildcards
    ./create_certificate_for_domain.sh www.mysite.com www.mysite.com

ඉහත භාවිතයන් පහත පිටපත්, සහ සහාය ගොනු v3.extවෙත දෝෂ අතුරුදහන් විෂය විකල්ප නාමය වළක්වා

ඔබේම මූල අධිකාරිය භාවිතා කර සම්පූර්ණයෙන්ම විශ්වාස කළ හැකි නව ස්වයං අත්සන් සහතිකයක් නිර්මාණය කිරීමට ඔබට අවශ්‍ය නම්, ඔබට මෙම ස්ක්‍රිප්ට් භාවිතයෙන් එය කළ හැකිය.

create_root_cert_and_key.sh

    #!/usr/bin/env bash
    openssl genrsa -out rootCA.key 2048
    openssl req -x509 -new -nodes -key rootCA.key -sha256 -days 1024 -out rootCA.pem

create_certificate_for_domain.sh

    #!/usr/bin/env bash
    
    if [ -z "$1" ]
    then
      echo "Please supply a subdomain to create a certificate for";
      echo "e.g. www.mysite.com"
      exit;
    fi
    
    if [ ! -f rootCA.pem ]; then
      echo 'Please run "create_root_cert_and_key.sh" first, and try again!'
      exit;
    fi
    if [ ! -f v3.ext ]; then
      echo 'Please download the "v3.ext" file and try again!'
      exit;
    fi
    
    # Create a new private key if one doesnt exist, or use the xeisting one if it does
    if [ -f device.key ]; then
      KEY_OPT="-key"
    else
      KEY_OPT="-keyout"
    fi
    
    DOMAIN=$1
    COMMON_NAME=${2:-*.$1}
    SUBJECT="/C=CA/ST=None/L=NB/O=None/CN=$COMMON_NAME"
    NUM_OF_DAYS=825
    openssl req -new -newkey rsa:2048 -sha256 -nodes $KEY_OPT device.key -subj "$SUBJECT" -out device.csr
    cat v3.ext | sed s/%%DOMAIN%%/"$COMMON_NAME"/g > /tmp/__v3.ext
    openssl x509 -req -in device.csr -CA rootCA.pem -CAkey rootCA.key -CAcreateserial -out device.crt -days $NUM_OF_DAYS -sha256 -extfile /tmp/__v3.ext 
    
    # move output files to final filenames
    mv device.csr "$DOMAIN.csr"
    cp device.crt "$DOMAIN.crt"
    
    # remove temp file
    rm -f device.crt;
    
    echo 
    echo "###########################################################################"
    echo Done! 
    echo "###########################################################################"
    echo "To use these files on your server, simply copy both $DOMAIN.csr and"
    echo "device.key to your webserver, and use like so (if Apache, for example)"
    echo 
    echo "    SSLCertificateFile    /path_to_your_files/$DOMAIN.crt"
    echo "    SSLCertificateKeyFile /path_to_your_files/device.key"

v3.ext

    authorityKeyIdentifier=keyid,issuer
    basicConstraints=CA:FALSE
    keyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment
    subjectAltName = @alt_names
    
    [alt_names]
    DNS.1 = %%DOMAIN%%

තවත් එක් පියවරක් - ස්වයං අත්සන් කළ සහතික Chrome / Safari හි පූර්ණ විශ්වාසයක් ඇති කර ගන්නේ කෙසේද

ස්වයං අත්සන් කළ සහතික ක්‍රෝම් සහ සෆාරි කෙරෙහි පූර්ණ විශ්වාසයක් තැබීමට ඉඩ දීම සඳහා, ඔබ ඔබේ මැක් වෙත නව සහතික අධිකාරියක් ආනයනය කළ යුතුය. එසේ කිරීම සඳහා මෙම උපදෙස් අනුගමනය කරන්න, නැතහොත් mitmproxy වෙබ් අඩවියේ මෙම සාමාන්‍ය ක්‍රියාවලිය පිළිබඳ වඩාත් සවිස්තරාත්මක උපදෙස් :

විධාන රේඛාවේදී ඔබට මෙම ක්‍රම 2 න් එකක් කළ හැකිය, මෙම විධානය භාවිතා කර ඔබගේ මුරපදය ඉල්ලා සිටිනු ඇත:

$ sudo security add-trusted-cert -d -r trustRoot -k /Library/Keychains/System.keychain rootCA.pem

හෝ Keychain Accessයෙදුම භාවිතා කිරීමෙන් :

1. යතුරුපුවරු ප්‍රවේශය විවෘත කරන්න
2. "යතුරුපුවරු" ලැයිස්තුවේ "පද්ධතිය" තෝරන්න
3. "කාණ්ඩය" ලැයිස්තුවේ "සහතික" තෝරන්න
4. "ගොනුව | අයිතම ආයාත කරන්න ..." තෝරන්න
5. ඉහත නිර්මාණය කළ ගොනුව පිරික්සන්න, "rootCA.pem", එය තෝරන්න, සහ "විවෘත" ක්ලික් කරන්න
6. "සහතික" ලැයිස්තුවේ අලුතින් ආනයනය කළ සහතිකය තෝරන්න.
7. "I" බොත්තම ක්ලික් කරන්න, නැතහොත් ඔබේ සහතිකය මත දකුණු ක්ලික් කර "තොරතුරු ලබා ගන්න" තෝරන්න
8. "විශ්වාසය" විකල්පය පුළුල් කරන්න
9. "මෙම සහතිකය භාවිතා කරන විට" "සැමවිටම විශ්වාස කරන්න" ලෙස වෙනස් කරන්න
10. සංවාදය වසන්න, එවිට ඔබගේ මුරපදය ඔබෙන් විමසනු ඇත.
11. ඔබගේ ඉලක්කගත වසම භාවිතා කරන ඕනෑම ටැබ් එකක් වසා නැවත විවෘත කරන්න, එවිට එය ආරක්ෂිතව පටවනු ලැබේ!

ප්‍රසාද දීමනාවක් ලෙස, ඔබට සහතික විශ්වාස කිරීමට ජාවා සේවාදායකයින් අවශ්‍ය නම්, ඔබේ සහතික ජාවා යතුරු ගබඩාවට ආනයනය කිරීමෙන් ඔබට එය කළ හැකිය. මෙය දැනටමත් තිබේ නම් සහතිකය යතුරු ගබඩාවෙන් ඉවත් කරනු ඇති බව සලකන්න. ඇත්ත වශයෙන්ම මෙය සිදු කරන්නේ ආනයනය කරන සහතික සඳහා පමණි.

import_certs_in_current_folder_into_java_keystore.sh

KEYSTORE="$(/usr/libexec/java_home)/jre/lib/security/cacerts";

function running_as_root()
{
  if [ "$EUID" -ne 0 ]
    then echo "NO"
    exit
  fi

  echo "YES"
}

function import_certs_to_java_keystore
{
  for crt in *.crt; do 
    echo prepping $crt 
    keytool -delete -storepass changeit -alias alias__${crt} -keystore $KEYSTORE;
    keytool -import -file $crt -storepass changeit -noprompt --alias alias__${crt} -keystore $KEYSTORE
    echo 
  done
}

if [ "$(running_as_root)" == "YES" ]
then
  import_certs_to_java_keystore
else
  echo "This script needs to be run as root!"
fi

ලිනක්ස්

ඔබ ලිනක්ස් භාවිතා කරන්නේ නම්, ඔබට මෙම නිල විකී පිටු ද අනුගමනය කළ හැකිය:

• ලිනක්ස් හි SSL සහතික වින්‍යාස කිරීම.
• එන්එස්එස් බෙදාගත් ඩීබී සහ ලිනක්ස්
• එන්එස්එස් බෙදාගත් ඩීබී හොව්ටෝ

මූලික වශයෙන්:

• X සමඟ අගුළු නිරූපකය ක්ලික් කරන්න,
• සහතික තොරතුරු තෝරන්න
• විස්තර පටිත්ත වෙත යන්න
• අපනයනය මත ක්ලික් කරන්න ... (ගොනුවක් ලෙස සුරකින්න)

දැන්, පහත දැක්වෙන විධානය මඟින් සහතිකය එක් කරනු ඇත (එහිදී ඔබගේ අපනයනය කළ ගොනුව YOUR_FILE වේ):

certutil -d sql:$HOME/.pki/nssdb -A -t "P,," -n YOUR_FILE -i YOUR_FILE

ඔබගේ සියලුම සහතික ලැයිස්තුගත කිරීම සඳහා, පහත දැක්වෙන විධානය ක්‍රියාත්මක කරන්න:

certutil -d sql:$HOME/.pki/nssdb -L

එය තවමත් ක්‍රියාත්මක නොවන්නේ නම්, මෙම දෝෂය ඔබට බලපානු ඇත: 55050 නිකුතුව: උබුන්ටු එස්එස්එල් දෝෂය 8179

PS libnss3-toolsඔබට ඉහත විධානයන් භාවිතා කිරීමට පෙර කරුණාකර ඔබ සතුව ඇති බවට වග බලා ගන්න .

ඔබ සතුව නොමැති නම්, කරුණාකර මෙය ස්ථාපනය කරන්න:

sudo apt-get install libnss3-tools # on Ubuntu
sudo yum install nss-tools # on Fedora, Red Hat, etc.

ප්‍රසාද දීමනාවක් ලෙස, ඔබට පහත දැක්වෙන පහසු ස්ක්‍රිප්ට් භාවිතා කළ හැකිය:

$ cat add_cert.sh
certutil -d sql:$HOME/.pki/nssdb -A -t "P,," -n $1 -i $1
$ cat list_cert.sh
certutil -d sql:$HOME/.pki/nssdb -L # add '-h all' to see all built-in certs
$ cat download_cert.sh
echo QUIT | openssl s_client -connect $1:443 | sed -ne '/BEGIN CERT/,/END CERT/p'

භාවිතය:

add_cert.sh [FILE]
list_cert.sh
download_cert.sh [DOMAIN]

දෝෂගවේෂණය

• --auto-ssl-client-authපරාමිතිය සමඟ Chrome ධාවනය කරන්න

  google-chrome --auto-ssl-client-auth

යාවත්කාලීන කිරීම 11/2017: මෙම පිළිතුර බොහෝ විට ක්‍රෝම් හි නවතම අනුවාද සඳහා ක්‍රියා නොකරනු ඇත.

යාවත්කාලීන කිරීම 02/2016: මැක් භාවිතා කරන්නන් සඳහා වඩා හොඳ උපදෙස් මෙහි සොයාගත හැකිය .

1. ඔබට එක් කිරීමට අවශ්‍ය වෙබ් අඩවියේ, ලිපින තීරුවේ රතු අගුළු නිරූපකය මත දකුණු-ක්ලික් කරන්න:

   2. සම්බන්ධතාවය ලේබල් කරන ලද ටැබය ක්ලික් කරන්න, පසුව සහතික තොරතුරු ක්ලික් කරන්න

   3. ක්ලික් කරන්න තොරතුරු ටැබ් මෙම බොත්තම ක්ලික් කරන්න ... ගොනුව පිටපත් . මෙය සහතික අපනයන විශාරද විවෘත කරනු ඇත , අපනයන ගොනු ආකෘති තිරයට පිවිසීමට ඊළඟ ක්ලික් කරන්න .

   4. DER කේතනය කළ ද්විමය X.509 (.CER) තෝරන්න , ඊළඟ ක්ලික් කරන්න

   5. බ්‍රවුස් ... ක්ලික් කර ගොනුව ඔබේ පරිගණකයට සුරකින්න. එය විස්තරාත්මක යමක් නම් කරන්න. ඊළඟ ක්ලික් කරන්න , ඉන්පසු අවසන් කරන්න ක්ලික් කරන්න .

   6. Chrome සැකසුම් විවෘත කරන්න, පහළට අනුචලනය කරන්න, සහ උසස් සැකසුම් පෙන්වන්න ක්ලික් කරන්න ...

   7. HTTPS / SSL යටතේ , සහතික කළමනාකරණය ක්ලික් කරන්න ...

   8. ක්ලික් කරන්න විශ්වාසී රූට් සහතික ආයතන ටැබ්, පසුව ක්ලික් කරන්න ආයාත කරන්න ... බොත්තම ක්ලික් කරන්න. මෙය සහතික ආනයන විශාරද විවෘත කරයි. ගොනුව ආයාත කිරීමේ තිරයට යාමට ඊළඟ ක්ලික් කරන්න .

   9. බ්‍රවුස් ... ක්ලික් කර ඔබ කලින් සුරකින ලද සහතික ගොනුව තෝරන්න, ඉන්පසු ඊළඟ ක්ලික් කරන්න .

   10. සියලුම සහතික පහත වෙළඳසැලේ තබන්න තෝරන්න . තෝරාගත් ගබඩාව විශ්වාසදායක මූල සහතික කිරීමේ බලධාරීන් විය යුතුය . එය එසේ නොවේ නම්, බ්‍රවුස් ක්ලික් කර එය තෝරන්න. ඊළඟ ක්ලික් කර අවසන් කරන්න

   11. ආරක්ෂක අනතුරු ඇඟවීම මත ඔව් ක්ලික් කරන්න .

   12. Chrome නැවත ආරම්භ කරන්න.

යාවත්කාලීන කරන ලද්දේ අප්‍රේල් 23/2020

Chromium කණ්ඩායම විසින් නිර්දේශ කරනු ලැබේ

https://www.chromium.org/Home/chromium-security/deprecating-powerful-features-on-insecure-origins#TOC-Testing-Powerful-Features

ඉක්මන් සුපිරි පහසු විසඳුමක්

ආරක්ෂක දෝෂයක් නොතකා ක්‍රෝම් ඉදිරියට යාම සඳහා රහස් බයිපාස් වාක්‍ය ඛණ්ඩයක් ටයිප් කළ හැකිය: මෙය අනාරක්ෂිතයි (ක්‍රෝම් හි පෙර සංස්කරණ වලදී, බැඩීඩියා ටයිප් කරන්න , සහ ඊට පෙර පවා අන්තරාය ). DO NOT භාවිතය මෙම ඔබට එය අවශ්ය ඇයි ඔබ හරියටම දන්නෙ තේරුම්ගන්න නම්!

මූලාශ්රය:

https://chromium.googlesource.com/chromium/src/+/d8fc089b62cd4f8d907acff6fb3f5ff58f168697%5E%21/

(එම සටහන window.atob('dGhpc2lzdW5zYWZl')ෙයෝජනා සම්මත thisisunsafe)

ප්‍රභවයේ නවතම අනුවාදය @ https://chromium.googlesource.com/chromium/src/+/refs/heads/master/components/security_interstitials/core/browser/resources/interstitial_large.js වන අතර window.atobශ්‍රිතය ක්‍රියාත්මක කළ හැකිය JS කොන්සෝලයක්.

ක්‍රෝම් කණ්ඩායම බයිපාස් වාක්‍ය ඛණ්ඩය වෙනස් කළේ ඇයිද යන්න පිළිබඳ පසුබිම සඳහා (පළමු වරට):

https://bugs.chromium.org/p/chromium/issues/detail?id=581189

අනෙක් සියල්ල අසමත් වුවහොත් (විසඳුම # 1)

"කෙසේ හෝ ඉදිරියට යන්න" විකල්පය නොමැති නම් හෝ බයිපාස් වාක්‍ය ඛණ්ඩය ක්‍රියා නොකරන්නේ නම් ඉක්මන් එක් වර්‍ගයක් සඳහා, මෙම අනවසරයෙන් ක්‍රියා කරයි:

1. localhostමෙම ධජය සක්‍රීය කිරීමෙන් සහතික දෝෂ වලට ඉඩ දෙන්න (සටහන ධජයේ අගය වෙනස් කිරීමෙන් පසු නැවත ආරම්භ කිරීම අවශ්‍ය බව සලකන්න):

   chrome://flags/#allow-insecure-localhost

   (සහ ඡන්දය ප්‍රකාශ කිරීමේ පිළිතුර https://stackoverflow.com/a/31900210/430128 @Chris විසින්)

2. ඔබට සම්බන්ධ වීමට අවශ්‍ය වෙබ් අඩවිය නම් localhost, ඔබ ඉවරයි. එසේ නොමැතිනම්, 8090 වරායට දේශීයව සවන්දීමට TCP උමගක් සකසා broken-remote-site.com443 වරායට සම්බන්ධ වන්න , ඔබ socatටර්මිනල් කවුළුවක මෙවැනි දෙයක් ස්ථාපනය කර ධාවනය කර ඇති බවට සහතික වන්න :

   socat tcp-listen:8090,reuseaddr,fork tcp:broken-remote-site.com:443

3. වෙත යන්න https: // localhost: 8090 ඔබගේ බ්රවුසරයේ.

අනෙක් සියල්ල අසමත් වුවහොත් (විසඳුම # 2)

"අනෙක් සියල්ල අසමත් වුවහොත් (විසඳුම # 1)" හා සමානව, මෙහිදී අපි ngrok භාවිතා කරමින් අපගේ දේශීය සේවාවට ප්‍රොක්සියක් වින්‍යාස කරමු . ඔබට ටීඑල්එස් හරහා එන්ග්‍රොක් http උමං මාර්ගයට පිවිසිය හැකි නිසා (වලංගු සහතිකයක් සහිත එන්ග්‍රොක් විසින් එය අවසන් කරනු ලැබේ), හෝ ටීඑල්එස් නොවන අන්ත ලක්ෂ්‍යයක් හරහා බ්‍රව්සරය අවලංගු සහතික ගැන පැමිණිලි නොකරනු ඇත.

Ngrok බාගත කර ස්ථාපනය කර එය හරහා නිරාවරණය කරන්න ngrok.io:

ngrok http https://localhost

ngrok ආරම්භ කර ඔබට සම්බන්ධ කළ හැකි සත්කාරක නාමයක් ලබා දෙන අතර සියලු ඉල්ලීම් ඔබගේ දේශීය යන්ත්‍රයට නැවත උමං කරනු ලැබේ.

ඔබ මැක් එකක සිටින අතර අපනයන පටිත්ත නොපෙනේ නම් හෝ මෙය මා වෙනුවෙන් වැඩ කළ සහතිකය ලබා ගන්නේ කෙසේද:

1. Https: // ට පෙර අගුල ක්ලික් කරන්න
2. "සම්බන්ධතාවය" පටිත්ත වෙත යන්න

3. "සහතික තොරතුරු" ක්ලික් කරන්න

   දැන් ඔබ මෙය දැකිය යුතුය:

4. ඔබේ ඩෙස්ක්ටොප් එක (හෝ ඕනෑම තැනක) කරන්න කුඩා සහතික නිරූපකය අදින්න.

5. බාගත කළ .cer ගොනුව දෙවරක් ක්ලික් කරන්න, මෙය ඔබගේ යතුරුපුවරුවට ආනයනය කර ඔබගේ සහතික ලැයිස්තුවට යතුරුපුවරු ප්‍රවේශය විවෘත කළ යුතුය.

   සමහර අවස්ථාවලදී, මෙය ප්‍රමාණවත් වන අතර ඔබට දැන් පිටුව නැවුම් කළ හැකිය.

   එසේ නොමැති නම්:

6. අලුතින් එකතු කළ සහතිකය දෙවරක් ක්ලික් කරන්න.
7. විශ්වාසනීය පතන යටතේ "මෙම සහතිකය භාවිතා කරන විට" විකල්පය "සැමවිටම විශ්වාස කරන්න" ලෙස වෙනස් කරන්න

දැන් සැක සහිත පිටුව නැවත පූරණය කරන්න, එය ගැටළුව විසඳිය යුතුය! මෙය උපකාරී වේ යැයි සිතමි.

වුල්ෆ් වෙතින් සංස්කරණය කරන්න

මෙය ටිකක් පහසු කිරීම සඳහා ඔබට පහත ස්ක්‍රිප්ට් ( ප්‍රභවය ) භාවිතා කළ හැකිය :

1. පහත සඳහන් සුරකින්න තිර රචනය ලෙස whitelist_ssl_certificate.ssh:

   #!/usr/bin/env bash -e
   
   SERVERNAME=$(echo "$1" | sed -E -e 's/https?:\/\///' -e 's/\/.*//')
   echo "$SERVERNAME"
   
   if [[ "$SERVERNAME" =~ .*\..* ]]; then
       echo "Adding certificate for $SERVERNAME"
       echo -n | openssl s_client -connect $SERVERNAME:443 | sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p' | tee /tmp/$SERVERNAME.cert
       sudo security add-trusted-cert -d -r trustRoot -k "/Library/Keychains/System.keychain" /tmp/$SERVERNAME.cert
   else
       echo "Usage: $0 www.site.name"
       echo "http:// and such will be stripped automatically"
   fi

2. ස්ක්‍රිප්ට් ක්‍රියාත්මක කළ හැකි කරන්න (කවචයෙන්):

   chmod +x whitelist_ssl_certificate.ssh

3. ඔබට අවශ්‍ය වසම සඳහා ස්ක්‍රිප්ට් ධාවනය කරන්න (සම්පූර්ණ url වැඩ පිටපත් කිරීම / ඇලවීම):

   ./whitelist_ssl_certificate.ssh https://your_website/whatever

පරීක්ෂණ පරිසරයක් සඳහා

--ignore-certificate-errorsක්‍රෝම් දියත් කිරීමේදී ඔබට විධාන රේඛා පරාමිතියක් ලෙස භාවිතා කළ හැකිය (උබුන්ටු හි 28.0.1500.52 අනුවාදය මත වැඩ කිරීම).

මෙය දෝෂ නොසලකා හැර අනතුරු ඇඟවීමකින් තොරව සම්බන්ධ වීමට හේතු වේ. ඔබට දැනටමත් ක්‍රෝම් ධාවනයේ අනුවාදයක් තිබේ නම්, විධාන රේඛාවෙන් නැවත ආරම්භ කිරීමට පෙර ඔබට මෙය වසා දැමිය යුතුය, නැතහොත් එය නව කවුළුවක් විවෘත කරනු ඇති නමුත් පරාමිතීන් නොසලකා හරිනු ඇත.

පරීක්ෂණ සේවාදායකයන්ට කිසි විටෙකත් වලංගු සහතික නොමැති බැවින්, නිදොස්කරණය කිරීමේදී ක්‍රෝම් දියත් කිරීමට මම ඉන්ටෙලිජ් වින්‍යාස කරමි.

සහතික පරීක්‍ෂා කිරීම වැදගත් ආරක්‍ෂණ අංගයක් බැවින් මම මේ වගේ සාමාන්‍ය ගවේෂණය නිර්දේශ නොකරමි, නමුත් මෙය සමහරුන්ට ප්‍රයෝජනවත් විය හැකිය.

වින්ඩෝස් ජුනි / 2017 වින්ඩෝස් සර්වර් 2012

මම බ්‍රැඩ් පාර්ක්ස් පිළිතුර අනුගමනය කළා. වින්ඩෝස් හි ඔබ විශ්වාසදායක මූල සහතික අධිකාරියේ ගබඩාවේ rootCA.pem ආනයනය කළ යුතුය.

මම පහත පියවර අනුගමනය කළෙමි:

openssl genrsa -out rootCA.key 4096
openssl req -x509 -new -nodes -key rootCA.key -newkey rsa:4096 -sha256 -days 1024 -out rootCA.pem
openssl req -new -newkey rsa:4096 -sha256 -nodes -keyout device.key -out device.csr
openssl x509 -req -in device.csr -CA rootCA.pem -CAkey rootCA.key -CAcreateserial -out device.crt -days 2000 -sha256 -extfile v3.ext

V3.ext යනු කොහේද:

authorityKeyIdentifier=keyid,issuer
basicConstraints=CA:FALSE
keyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment
subjectAltName = @alt_names

[alt_names]
DNS.1 = localhost
IP.1 = 192.168.0.2
IP.2 = 127.0.0.1

මගේ නඩුවේදී මට ස්වයං සත්කාරක වෙබ් යෙදුමක් ඇත, එබැවින් මට IP ලිපිනය සහ වරාය සමඟ සහතිකය බැඳීමට අවශ්‍යය, සහතිකය මගේ ගබඩාවේ පෞද්ගලික ප්‍රධාන තොරතුරු සමඟ තිබිය යුතුය, එබැවින් මම pfx ආකෘතියට අපනයනය කළෙමි.

openssl pkcs12 -export -out device.pfx -inkey device.key -in device.crt

Mmc කොන්සෝලය සමඟ (ගොනුව / එකතු කිරීම හෝ ඉවත් කිරීම Snap-ins / Certificates / Add / Computer Account / LocalComputer / OK) මම පුද්ගලික ගබඩාවෙන් pfx ගොනුව ආනයනය කළෙමි.

පසුව මම මෙම විධානය භාවිතා කළේ සහතිකය බැඳීමටයි (ඔබට HttpConfig මෙවලමද භාවිතා කළ හැකිය):

netsh http add sslcert ipport=0.0.0.0:12345 certhash=b02de34cfe609bf14efd5c2b9be72a6cb6d6fe54 appid={BAD76723-BF4D-497F-A8FE-F0E28D3052F4}

certhash = සහතික පත්‍රය

appid = GUID (ඔබේ තේරීම)

පළමුවෙන්ම මම විශ්වාසදායක මූල සහතික බලධාරීන්ට "device.crt" සහතිකය විවිධ ආකාරවලින් ආනයනය කිරීමට උත්සාහ කළ නමුත් මට තවමත් එකම දෝෂයක් ඇත:

නමුත් වසම සඳහා සහතිකයක් නොව මූල අධිකාරියේ සහතිකයක් ආනයනය කළ යුතු බව මම තේරුම් ගතිමි. එබැවින් මම mmc කොන්සෝලය භාවිතා කළෙමි (ගොනුව / එකතු කිරීම හෝ ඉවත් කිරීම Snap-ins / Certificates / Add / Computer Account / LocalComputer / OK) මම විශ්වාසදායක මූල සහතික අධිකාරියේ ගබඩාවේ rootCA.pem ආනයනය කළෙමි.

ක්‍රෝම් නැවත අරඹන්න සහ එය ක්‍රියාත්මක වේ.

Localhost සමඟ:

හෝ IP ලිපිනය සමඟ:

මට සාක්ෂාත් කරගත නොහැකි එකම දෙය නම්, එහි යල්පැනගිය කේතාංකයක් ඇත (පින්තූරයේ රතු චතුරස්රය). මෙම අවස්ථාවේදී උදව් කිරීම අගය කරනු ලැබේ.

Makecert සමඟ SAN තොරතුරු එක් කළ නොහැක. New-SelfSignedCertificate (පවර්ෂෙල්) සමඟ ඔබට SAN තොරතුරු එක් කළ හැකිය, එයද ක්‍රියාත්මක වේ.

යමෙකු සටහන් කර ඇති පරිදි, ඔබ බ්‍රව්සර් කවුළු පමණක් නොව සියලුම ක්‍රෝම් නැවත ආරම්භ කළ යුතුය. මෙය කිරීමට වේගවත්ම ක්‍රමය වන්නේ ටැබ් එකක් විවෘත කිරීමයි ...

chrome://restart

1. විශ්වාසදායක root CA වෙළඳසැලේ CA සහතිකය එක් කරන්න.

2. ක්‍රෝම් වෙත ගොස් මෙම ධජය සක්‍රීය කරන්න!

chrome://flags/#allow-insecure-localhost

අවසානයේදී, * .me වසම හෝ * .com සහ * .net වැනි වලංගු වසම් භාවිතා කර ඒවා ධාරක ගොනුවේ නඩත්තු කරන්න. මගේ දේශීය devs සඳහා, මම පහත පරිදි නඩත්තු කරන ලද ධාරක ගොනුවක් සමඟ * .me හෝ * .com භාවිතා කරමි:

3. ධාරකයට එක් කරන්න. C: / windows / system32 / driver / etc / host

   127.0.0.1 nextwebapp.me

සටහන: මෙය සිදු කරන විට බ්‍රව්සරය දැනටමත් විවෘත කර ඇත්නම්, දෝෂය දිගටම පෙන්වනු ඇත. එබැවින් කරුණාකර බ්‍රව්සරය වසා නැවත ආරම්භ කරන්න. වඩා හොඳ, නොපැහැදිලි යන්න හෝ ක්ෂණිකව ක්‍රියාත්මක වීම සඳහා නව සැසියක් ආරම්භ කරන්න.

සහතිකය හා සමානවම වෙබ් අඩවිය සපයනු ලබන ලිපිනය ඔබට විශ්වාසද? මට ක්‍රෝම් හා ස්වයං-අත්සන් කළ සහතිකයක් සමඟ සමාන ගැටලු තිබුනි, නමුත් අවසානයේදී එය සහතිකයේ ඩොමේන් නාමය වලංගු කිරීම ගැන ඇදහිය නොහැකි තරම් තෝරාගත් බව මට පෙනී ගියේය (එය එසේ විය යුතුය).

ක්‍රෝම් සතුව තමන්ගේම සහතික ගබඩාවක් නොමැති අතර කවුළුව සතුය. කෙසේ වෙතත්, ක්‍රෝම් ගබඩාවට සහතික ආනයනය කිරීමට ක්‍රමයක් සපයන්නේ නැත, එබැවින් ඔබ ඒවා IE හරහා එකතු කළ යුතුය.

Google Chrome හි සහතික ස්ථාපනය කිරීම

ඉන්ටර්නෙට් එක්ස්ප්ලෝරර් හි සහතික ස්ථාපනය කිරීම

ස්වයං අත්සන් කළ සහතික නිර්මාණය කිරීම සඳහා විවිධ ප්‍රවේශයන් කිහිපයක් සඳහා මෙය බලන්න (ඔබ උපකල්පනය නොකළ පරිදි ඔබ IIS භාවිතා කරන බව මම සිතමි).

IIS 7 හි ස්වයං අත්සන් කළ සහතිකයක් සාදා ගන්නේ කෙසේද

ගූගල් ක්‍රෝම්, මැක් ඕඑස් එක්ස් සහ ස්වයං-අත්සන් කළ එස්එස්එල් සහතික : bjnord යෝජනා කළ දේ භාවිතා කිරීමේ ක්‍රියාවලිය මම පහත දැමුවෙමි.

බ්ලොග් අඩවියේ පෙන්වා ඇති දේ ක්‍රියාත්මක වූයේ නැත.

කෙසේ වෙතත්, බ්ලොග් අඩවියට එක් අදහස් දැක්වීමක් රන් විය:

sudo security add-trusted-cert -d -r trustRoot -k /Library/Keychains/System.keychain site.crt

සහතික ගොනුව ලබා ගන්නේ කෙසේද යන්න පිළිබඳව ඔබ බ්ලොග් අඩවිය අනුගමනය කළ යුතුය, ඉන්පසු ඔබට ඉහත විධානය භාවිතා කළ හැකි අතර යන්න හොඳ විය යුතුය.

ලිනක්ස් හි ක්‍රෝමියම් හි එස්එස්එල් සහතික කළමනාකරණය කිරීමේ චිත්‍රකය මට නිසි ලෙස ක්‍රියාත්මක නොවීය. කෙසේ වෙතත්, ඔවුන්ගේ ලියකියවිලි නිවැරදි පිළිතුර ලබා දුන්නේය. උපක්‍රමය වූයේ ස්වයං-අත්සන් කළ SSL සහතිකය ආනයනය කරන පහත විධානය ක්‍රියාත්මක කිරීමයි. හුදෙක් නම යාවත්කාලීන <certificate-nickname>හා certificate-filename.cer, පසුව නැවත ආරම්භ ක්රෝමියම් / ක්රෝමියම්.

ලියකියවිලි වලින්:

ලිනක්ස් හි ක්‍රෝමියම් එන්එස්එස් බෙදාගත් ඩීබී භාවිතා කරයි. බිල්ට් ඉන් මැනේජර් ඔබ වෙනුවෙන් ක්‍රියා නොකරන්නේ නම් ඔබට එන්එස්එස් විධාන රේඛා මෙවලම් සමඟ සහතික වින්‍යාසගත කළ හැකිය.

මෙවලම් ලබා ගන්න

• ඩේබියන් / උබුන්ටු: sudo apt-get install libnss3-tools

• ෆෙඩෝරා: su -c "yum install nss-tools"

• Gentoo: su -c "echo 'dev-libs/nss utils' >> /etc/portage/package.use && emerge dev-libs/nss"(උදා : ඔබ nssඋපසර්ගය සමඟ පහත සියලු විධානයන් දියත් කළ යුතුය nsscertutil.) විවෘත කිරීම:sudo zypper install mozilla-nss-tools

ස්වයං අත්සන් කළ සේවාදායක සහතිකයක් විශ්වාස කිරීමට, අප භාවිතා කළ යුතුය

certutil -d sql:$HOME/.pki/nssdb -A -t "P,," -n <certificate-nickname> -i certificate-filename.cer

සියලුම සහතික ලැයිස්තුගත කරන්න

certutil -d sql:$HOME/.pki/nssdb -L

TRUSTARGS යනු කොමා මඟින් වෙන් කරන ලද ශුන්‍ය හෝ ඊට වැඩි අකාරාදී නූල් තුනකි. එස්එස්එල්, ඊමේල් සහ වස්තු අත්සන් කිරීම සඳහා සහතිකය විශ්වාස කළ යුතු ආකාරය ඒවා නිර්වචනය කර ඇති අතර විශ්වාසනීය ධජ පිළිබඳ සහතික කළ ලියකියවිලි හෝ මීනාගේ බ්ලොග් සටහනෙහි විස්තර කර ඇත.

SSL ග්‍රාහක සත්‍යාපනය සඳහා පුද්ගලික සහතිකයක් සහ පුද්ගලික යතුරක් එක් කරන්න විධානය භාවිතා කරන්න:

pk12util -d sql:$HOME/.pki/nssdb -i PKCS12_file.p12

PKCS # 12 ගොනුවක ගබඩා කර ඇති පුද්ගලික සහතිකයක් සහ පුද්ගලික යතුරක් ආයාත කිරීමට. පුද්ගලික සහතිකයේ විශ්වාසනීයත්වය “u, u, u” ලෙස සකසනු ඇත.

සහතිකයක් මකන්න certutil -d sql:$HOME/.pki/nssdb -D -n <certificate nickname>

උපුටා ගැනීම: https://chromium.googlesource.com/chromium/src/+/HEAD/docs/linux_cert_management.md

මෙම ක්‍රමය හරහා අනාරක්ෂිත localhost වැඩ කිරීමට ඉඩ දීම chrome: // flags / # allow-insecure-localhost

ඔබේ සංවර්ධන සත්කාරක නාමය xxx.localhost වෙත සෑදිය යුතුය.

විශ්වාසනීය වෙළඳසැල් රාශියක්mkcert සඳහා මෙය කිරීමට ෆිලිපෝ වල්සෝඩා හරස් වේදිකා මෙවලමක් ලිවීය . ඔහු එය ලියා ඇත්තේ මෙම ප්‍රශ්නයට බොහෝ පිළිතුරු ඇති එකම හේතුව නිසා යැයි මම සිතමි: විශ්වාසදායක මූල CA විසින් අත්සන් කරන ලද SubjectAltName සහතික සඳහා “නිවැරදි” දේ කිරීම වේදනාවකි.

mkcert වින්ඩෝස්, මැකෝස් සහ ලිනක්ස් රස කිහිපයක් සඳහා වන ප්‍රධාන පැකේජ කළමනාකරණ පද්ධතිවලට ඇතුළත් කර ඇත.

mkcert

mkcertදේශීයව විශ්වාසදායක සංවර්ධන සහතික සෑදීම සඳහා සරල මෙවලමකි. එයට වින්‍යාස කිරීමක් අවශ්‍ය නොවේ.

$ mkcert -install
Created a new local CA at "/Users/filippo/Library/Application Support/mkcert" 💥
The local CA is now installed in the system trust store! ⚡️
The local CA is now installed in the Firefox trust store (requires browser restart)! 🦊

$ mkcert example.com "*.example.com" example.test localhost 127.0.0.1 ::1
Using the local CA at "/Users/filippo/Library/Application Support/mkcert" ✨

Created a new certificate valid for the following names 📜
 - "example.com"
 - "*.example.com"
 - "example.test"
 - "localhost"
 - "127.0.0.1"
 - "::1"

The certificate is at "./example.com+5.pem" and the key at "./example.com+5-key.pem" ✅

යූආර්එල් එක අසල ඇති කුඩා හරස් අගුළු නිරූපකය ක්ලික් කළ විට, ඔබට මේ වගේ පෙට්ටියක් ලැබෙනු ඇත:

සහතික තොරතුරු සබැඳිය ක්ලික් කිරීමෙන් පසු , ඔබට පහත සංවාදය පෙනෙනු ඇත:

කුමන සහතික ගබඩාව නිවැරදිදැයි එය ඔබට කියයි, එය විශ්වාසදායක මූල සහතික කිරීමේ අධිකාරියේ ගබඩාවයි.

එම ගබඩාවට සහතිකය එක් කිරීම සඳහා ඔබට අනෙක් පිළිතුරු වල දක්වා ඇති එක් ක්‍රමයක් භාවිතා කළ හැකිය:

certutil -addstore -user "ROOT" cert.pem

• ROOT යනු කලින් සඳහන් කළ සහතික ගබඩාවේ අභ්‍යන්තර නාමයයි.
• cert.pem යනු ඔබ විසින්ම අත්සන් කරන ලද සහතිකයේ නමයි.

මෙය මට වැඩ කළා. බලන්න: http://www.robpeck.com/2010/10/google-chrome-mac-os-x-and-self-signed-ssl-certificates/#.Vcy8_ZNVhBc

ලිපින තීරුවේ, X සමඟ ඇති කුඩා අගුල ක්ලික් කරන්න. මෙය කුඩා තොරතුරු තිරයක් ගෙන එනු ඇත. "සහතික තොරතුරු" යැයි පවසන බොත්තම ක්ලික් කරන්න.

ඔබගේ ඩෙස්ක්ටොප් එකට රූපය ක්ලික් කර ඇදගෙන යන්න. එය කුඩා සහතිකයක් මෙන් පෙනේ.

එය දෙවරක් ක්ලික් කරන්න. මෙමඟින් Keychain Access උපයෝගීතාව ගෙන එනු ඇත. ඔබගේ මුරපදය අගුළු ඇරීමට ඇතුල් කරන්න.

පුරනය වීමේ යතුරුපුවරුව නොව පද්ධති යතුරුපුවරුවට ඔබ සහතිකය එක් කරන බවට වග බලා ගන්න. මෙය කිසිවක් නොකරන බවක් පෙනෙන්නට තිබුණද "සැමවිටම විශ්වාස කරන්න" ක්ලික් කරන්න.

එය එකතු කළ පසු, එය දෙවරක් ක්ලික් කරන්න. ඔබට නැවත සත්‍යාපනය කිරීමට සිදු විය හැකිය.

"විශ්වාසය" කොටස පුළුල් කරන්න.

"මෙම සහතිකය භාවිතා කරන විට," සැමවිටම විශ්වාස කරන්න "ලෙස සකසන්න

මම සෑම දෙයක්ම අත්හදා බැලුවෙමි. එය ක්‍රියාත්මක වූයේ කුමක් ද: ආනයනය කරන විට, නිවැරදි කාණ්ඩය තෝරන්න, එනම් විශ්වාසදායක මූල සහතික අධිකාරීන් :

(කණගාටුයි එය ජර්මානු, නමුත් රූපය අනුගමනය කරන්න)

mkdir CA
openssl genrsa -aes256 -out CA/rootCA.key 4096
openssl req -x509 -new -nodes -key CA/rootCA.key -sha256 -days 1024 -out CA/rootCA.crt

openssl req -new -nodes -keyout example.com.key -out domain.csr -days 3650 -subj "/C=US/L=Some/O=Acme, Inc./CN=example.com"
openssl x509 -req -days 3650 -sha256 -in domain.csr -CA CA/rootCA.crt -CAkey CA/rootCA.key -CAcreateserial -out example.com.crt -extensions v3_ca -extfile <(
cat <<-EOF
[ v3_ca ]
subjectAltName = DNS:example.com
EOF
)

මෙම පෝස්ට් එක දැනටමත් ප්‍රතිචාර වලින් පිරී ඇත, නමුත් ක්‍රෝම් වල වලංගු වන ස්වයං-අත්සන් කළ ටීඑල්එස් සහතිකයක් ජනනය කිරීම පහසු කිරීම සඳහා මම වෙනත් පිළිතුරු කිහිපයක් මත පදනම්ව බාෂ් ස්ක්‍රිප්ට් එකක් නිර්මාණය කළෙමි (පරීක්ෂා කර ඇත ). එය අන් අයට ප්‍රයෝජනවත් යැයි සිතමි.Chrome 65.x

ස්වයං-අත්සන්-ටීඑල්එස් බාෂ් ස්ක්‍රිප්ට්

ඔබ සහතිකය ස්ථාපනය කිරීමෙන් ( සහ විශ්වාස කිරීමෙන් ), Chrome ( chrome://restart) නැවත ආරම්භ කිරීමට අමතක නොකරන්න

පරීක්ෂා කිරීම වටී තවත් මෙවලමක් වන්නේ CloudFlare හි cfsslමෙවලම් කට්ටලය:

cfssl

Chrome v58 සහ පසුව විශ්වාස කරන වින්ඩෝස් හි ස්වයං අත්සන් කළ සහතිකයක් නිර්මාණය කිරීම සඳහා, ඉහළ වරප්‍රසාද සහිතව පවර්ෂෙල් දියත් කර ටයිප් කරන්න:

New-SelfSignedCertificate -CertStoreLocation Cert:\LocalMachine\My -Subject "fruity.local" -DnsName "fruity.local", "*.fruity.local" -FriendlyName "FruityCert" -NotAfter (Get-Date).AddYears(10)
#notes: 
#    -subject "*.fruity.local" = Sets the string subject name to the wildcard *.fruity.local
#    -DnsName "fruity.local", "*.fruity.local"
#         ^ Sets the subject alternative name to fruity.local, *.fruity.local. (Required by Chrome v58 and later)
#    -NotAfter (Get-Date).AddYears(10) = make the certificate last 10 years. Note: only works from Windows Server 2016 / Windows 10 onwards!!

ඔබ මෙය කළ පසු, සහතිකය පුද්ගලික \ සහතික ගබඩාව යටතේ දේශීය පරිගණක සහතික වෙත සුරැකෙනු ඇත .

ඔබට මෙම සහතිකය විශ්වාසදායක මූල සහතික කිරීමේ අධිකාරීන් \ සහතික ගබඩාවට පිටපත් කිරීමට අවශ්‍යය .

මෙය කළ හැකි එක් ක්‍රමයක්: වින්ඩෝස් ආරම්භක බොත්තම ක්ලික් කර ටයිප් කරන්න certlm.msc. පහත දැක්වෙන තිර පිටපතට අලුතින් සාදන ලද සහතිකය විශ්වාසදායක මූල සහතික කිරීමේ අධිකාරීන් \ සහතික ගබඩාවට ඇදගෙන යන්න .

මැක් / ඔක්ස් මත SSL / HTTPS localhost fix:

1. ඔබගේ https localhost පරිසරය විවෘත කිරීමට උත්සාහ කරන විට ඔබගේ ලිපින තීරුවේ කුරුසය සහිත රතු අගුල ක්ලික් කරන්න. සහතිකය පිළිබඳ යම් තොරතුරු සහිත කවුළුවක් විවෘත වනු ඇත.

2. "විස්තර" තොරතුරු කවුළුව මත ක්ලික් කරන්න

3. ක්‍රෝම් සංවර්ධක මෙවලම් 'ආරක්ෂාව' ටැබය මත විවෘත වේ. View Certificate මත ක්ලික් කරන්න . සහතික රූපය

4. එය ඔබගේ 'පද්ධති' යතුරුපුවරුවට එක් කරන්න (පෙරනිමියෙන් තෝරාගත් ඔබේ 'පිවිසුම්' යතුරු පුවරුව නොවේ).

5. ඔබගේ යතුරු පුවරුව විවෘත කර සහතිකය සොයා ගන්න. එය මත ක්ලික් කර ඔබ සියල්ල විශ්වාස කරන බවට වග බලා ගන්න.

6. ක්‍රෝම් නැවත ආරම්භ කරන්න, එය ක්‍රියාත්මක විය යුතුය.

මම එකම ගැටලුවකට මුහුණ දෙමින් සිටියෙමි: මම සහතිකය වින්ඩෝස් හි විශ්වාසදායක මූල අධිකාරියේ ගබඩාවට ස්ථාපනය කර ඇති අතර, දෝෂය සහිතව ක්‍රෝම් තවමත් සහතිකය ප්‍රතික්ෂේප කළේය ERR_CERT_COMMON_NAME_INVALID. සහතිකය ගබඩාවේ නිසියාකාරව ස්ථාපනය කර නොමැති විට, දෝෂය ඇති බව සලකන්න ERR_CERT_AUTHORITY_INVALID.

දෝෂයේ නම, මෙම අදහස් දැක්වීම සහ මෙම ප්‍රශ්නය මගින් ඉඟි කර ඇති පරිදි , ගැටලුව සහතිකයේ ප්‍රකාශිත ඩොමේන් නාමයේ තැන්පත් විය. සහතිකය ජනනය කරන අතරතුර "පොදු නම" සඳහා විමසූ විට , වෙබ් අඩවියට පිවිසීම සඳහා මා භාවිතා කළ ඩොමේන් නාමය ඇතුළත් කිරීමට මට සිදු විය ( localhostමගේ නඩුවේදී). මම ක්‍රෝම් භාවිතයෙන් නැවත ආරම්භ chrome://restartකළ අතර අවසානයේ මෙම නව සහතිකය ගැන සතුටු විය.

වන විට ක්රෝම් 58+ මම සහතිකය දෝෂයක් පටන් ගත්තා macOS SAN නිසා මුහුදේ අතුරුදහන්. ලිපින තීරුවේ හරිත අගුල නැවත ලබා ගන්නේ කෙසේද යන්න මෙන්න.

1. පහත දැක්වෙන විධානය සමඟ නව සහතිකයක් ජනනය කරන්න:

   openssl req \
     -newkey rsa:2048 \
     -x509 \
     -nodes \
     -keyout server.key \
     -new \
     -out server.crt \
     -subj /CN=*.domain.dev \
     -reqexts SAN \
     -extensions SAN \
     -config <(cat /System/Library/OpenSSL/openssl.cnf \
         <(printf '[SAN]\nsubjectAltName=DNS:*.domain.dev')) \
     -sha256 \
     -days 720

2. server.crtඔබගේ KeyChain වෙත ආයාත කරන්න, ඉන්පසු සහතිකය මත දෙවරක් ක්ලික් කරන්න, භාරය පුළුල් කරන්න , සහ සැමවිටම විශ්වාසය තෝරන්න

ගූගල් ක්‍රෝම් හි https://domain.dev පිටුව නැවුම් කරන්න , එවිට හරිත අගුල නැවත පැමිණේ.

MacOS හි Chrome සඳහා, ඔබ සහතිකයක් සකස් කර ඇත්නම්:

• Chrome වෙතින් ඉවත් වන්න ( cmd+ Q).
• යතුරුපුවරු ප්‍රවේශ යෙදුම ආරම්භ කර "සහතික" කාණ්ඩය විවෘත කරන්න.
• ඔබගේ සහතික ගොනුව යතුරුපුවරු ප්‍රවේශ කවුළුව වෙත ඇදගෙන ගොස් සහතික ගොනුව සඳහා මුරපදය ටයිප් කරන්න.
• ඔබගේ සහතිකය මත දෙවරක් ක්ලික් කර "විශ්වාස" ලැයිස්තුව දිග හැරෙන්න.
  • පේළියේ "මෙම සහතිකය භාවිතා කරන විට" "සැමවිටම විශ්වාස කරන්න" තෝරන්න.
  • මෙම දේවල් වසා ඔබගේ මුරපදය ටයිප් කරන්න.
• Chrome ආරම්භ කර සියලු හැඹිලි ඉවත් කරන්න.
• සෑම දෙයක්ම හරිදැයි පරීක්ෂා කරන්න.