題 如何將自簽名證書添加到不同的瀏覽器?


如何添加自簽名證書,例如:Linux下的Google Chrome(從命令行)?謝謝!


5
2018-05-16 09:22


起源


你應該可以使用 certutil 這樣做的實用程序(它包含在Debian / Ubuntu中 libnss3-tools 包裝,應該在其他發行包中的類似包裝中)。不幸的是,我似乎無法在我的機器上使用Chrome或Firefox的NSS數據庫。 - Patches


答案:


根據 LinuxCertManagement

例如,要信任根CA證書以頒發SSL服務器證書,請使用

certutil -d sql:$HOME/.pki/nssdb -A -t "C,," -n <nickname> -i <filename>

注意:要信任自簽名服務器證書,我們應該使用

certutil -d sql:$HOME/.pki/nssdb -A -t "P,," -n <nickname> -i <filename>

不幸的是,因為這不起作用 NSS bug 531160。要解決NSS錯誤,您必須使用“C ,,”信任標誌將其信任為CA.

對於Firefox,請更改 -d Firefox配置文件路徑的參數,沒有 sql:


0
2018-05-17 05:19



因為這個錯誤,它真的不安全的“C ,,”XY網站上的自簽名證書? - LanceBaynes
@LanceBaynes:所有X.509證書都有“基本約束”擴展名。即使您在NSS中將證書標記為“可信CA”,它仍然需要在基本約束擴展中具有“CA:true”才能被接受為權限。但遺憾的是許多自簽名證書 做 有這個設置,所以給'C'標誌確實是不安全的。 - grawity