Как заставить chrome доверять сертификату?
Добрый день!
Хочу защитить вебсокетный трафик между мной и моим прилоением, работающей на AWS EC2.
Сделал себе самоподписной сертификат по этой инструкции:
Добавил его в Keychain (у меня macOS) и заставил систему доверять ему: 
Перезапустил хром и обратился с приложению. Хром по-прежнему не доверяет моему сертификату. 
хотя если ткнуть в хроме на сертификат, откроется Keychain, в которой сертификат указан как доверенный (см. рис.1).
- при создании сертификата в CN указывать *
- при создании сертификата в CN указывать IP-адрес 10.10.1.91
- при создании сертификата в CN указывать домен test.local и прописывать в /etc/hosts 10.10.1.91 test.local
Нажимать «дополнительно — бла-бла-бла» не вариант, т.к. весь трафик от моего приложения идет по веб-сокету, а попытка подключиться к wss:// всегда завершается ошибкой, если хром не принимает сертификат как достоверный.
Ничего из вышеперечисленного не помогает. Как же все-таки заставить хром доверять моему сертификату, если я этого хочу?
Как проверить сертификаты Google Chrome
Проблема безопасности информации в виртуальном пространстве стоит достаточно остро, так как многие пользователи используют личные данные для совершения различных операций, к примеру, переводу средств или оплате каких-либо услуг. Обнародование личных данных может как минимум вызвать психологический дискомфорт, а как максимум нанести серьезные финансовые и репутационные потери. Для того чтобы этого не произошло, компаниями была разработана процедура сертификации интернет-ресурсов, подтверждающих безопасность ввода и сохранность личной информации, о которой и пойдет далее речь.
Что такое сертификаты Гугл Хром
Необходимость процедуры прохождения сертификации интернет-ресурсом вызвана уязвимостью для хакерских атак протокола http, используемого при подключении к удаленному серверу. Появление нового протокола соединения https было вызвано усилением требований по обеспечению безопасности передаваемой и хранящейся на компьютере информации, для чего была разработана автоматическая процедура шифрования соединения с веб-ресурсом.
Процедура получения сертификации достаточно проста и работает в автоматическом режиме. Владельцу создаваемого или уже существующего интернет-ресурса необходимо обратиться в службу поддержки его хостинга или приобрести сертификат при помощи панели управления веб-сайтом.
Сертификаты Гугл Хром (SSL) платны и они могут быть как ежегодными, так и «пожизненными». Стоимость последних зависит от ценовой политики хостинга. В среднем она составляет 12 долларов США.
Настройка сертификатов в Google Chrome
Как посмотреть сертификат
В прежних версиях браузера Google Chrome просмотр сертификата безопасности был предельно прост. Для этого пользователю необходимо было навести курсор на иконку значка в адресной строчке и кликнуть по ссылке «Подробнее». Открывалось справа новое окно, на котором были сведения о сертификате безопасности интернет-ресурса.
В новой версии Гугл Хром ссылка «Подробнее» перенаправляет пользователя на сайт Google. А функция просмотра сертификата безопасности была перенесена в «Инструменты для разработчиков».
Если пользователю необходимо просмотреть сертификат интернет-ресурса, ему необходимо выполнить следующие действия:
- В открытой странице браузера нажмите клавишу F12.
- В открывшемся окошке «Инструменты разработчика» перейдите на вкладку «Безопасность» («Security»).
- Нажмите на клавишу «Просмотреть сертификат».
- Открывшееся новое окно браузера покажет сведения о сертификате безопасности просматриваемого интернет-ресурса.
Для повышения уровня безопасности, собственникам интернет-проектов рекомендуется активировать двухфакторную аутенфикацию.
Где они хранятся
Для того чтобы добавлять или удалять сертификаты безопасности, разработчику или администратору интернет-проекта необходимо знать, где хранятся сертификаты в Гугл Хром. Служебные сведения о сертификате безопасности, точнее их часть, хранится на компьютере владельца веб-ресурса. Для сохранения этой копии браузер Гугл Хром использует папку для хранения сертификатов Internet Explorer.
Как добавить и установить сертификат
Владелец интернет-ресурса успешно прошел процедуру прохождения сертификации и теперь ему необходимо «прописать» полученный файл на своем веб-сайте для того, чтобы на экране посетителей не всплывало предупреждение о ненадежности посещаемой страницы. Если вам неизвестно, как установить сертификат в браузер Google Chrome, то придерживайтесь следующего алгоритма действий:
- Откройте меню «Настройка и управление Google Chrome», изображенный в виде иконки «гаечного ключа», которое находится в пункте настройка.
- Вызовите вкладку «Показать расширенные настройки» нажав на клавишу «Управлять сертификатами».
- В появившемся окне управления сертификатами нажмите клавишу «Импорт».
- В открывшемся окне поиска сертификата найдите папку, в которую вы сохранили скачанный сертификат, который представлен в виде файла с расширением *.p12 и нажмите клавишу «Открыть».
- Введите пароль для ключа, который был вами ранее задан при экспорте файла, и нажмите клавишу «ОК».
Импорт сертификатов в Гугл Хром
Если пользователь все сделал правильно, то сертификат безопасности будет перенесен в соответствующую папку для дальнейшего хранения.
Для проверки правильности выполненных действий, необходимо нажать клавишу «Просмотреть» в окне управления сертификатами и найти импортированный файл. Рекомендуется закрывать это окно при помощи нажатия кнопки «ОК».
Это позволит добавить сертификат в доверенные и избавит от проблем, связанных с потерей трафика из-за всплывания у посетителей интернет-ресурса предупреждения о ненадежности веб-сайта.
Настройка
Иногда пользователю, разработчику или администратору приходится выполнять дополнительную настройку. Для настройки сертификата безопасности необходимо:
- Войти в консоль администратора Гугл используя аккаунт администратора.
- На появившейся главной странице выбрать пиктограмму «Устройства» и слева нажать «Сети». Для выполнения этого действия пользователю необходимо обладать правами администратора в области настройки общих устройств.
- Перейти в раздел «Сертификаты».
- Для применения настроек всеми зарегистрированными браузерами и пользователями, необходимо выбрать организационное подразделение верхнего уровня. Если вы хотите ограничить круг лиц и программного обеспечения, которые смогут использовать сертификат безопасности, нужно выбрать дочернее подразделение.
- Нажать клавишу «Создать сертификат».
- Нажать клавишу «Загрузить» и выбрать PEM-файл. После этого нажать клавишу «Открыть». Обратите внимание на тот факт, что несколько последних версий Google Chrome не поддерживают сертификаты безопасности, которые были закодированы с использованием технологии DER.
- Выбрать платформы, которые будут обращаться к центру сертификации и нажать клавишу «Добавить».
Проверка сертификатов
Для проверки используемых сертификатов безопасности, пользователю необходимо выполнить следующие действия:
- Открыть страницу chrome://settings/certificates.
- Выбрать строку «Центры сертификации».
- Найти недавно импортированные центры сертификации, которые будут подсвечены.
Список сертификатов в Google Chrome
Удаление ненужных сертификатов
Процедура удаления сертификата безопасности, который стал не нужен, еще более проста, нежели его установка. Для этого пользователю необходимо зайти в центр сертификации (необходимый перечень действий был описан выше) и выбрать сертификат, который нужно удалить. Выбрав его и нажав клавишу «Удалить», а затем клавишу «ОК» вы завершите операцию по стиранию файла.
Как поменять сертификат в хроме?
Запустите Chrome. В меню управления в правой части строки адреса выберите Параметры > Показать дополнительные настройки. В разделе HTTPS/SSL выберите Управление сертификатами. На вкладке Надежные корневые сертификатные компании выберите Импортировать > Далее.
Если речь идёт о том, что необходимо скачать сертифицированный контент на chrome, который установлен в мобильном, стоит посетить меню общих установок прибора. Это позволит корректно скачать и закрепить сертификат определённого сайта.
Установка корневого сертификата в браузере Google Chrome Для этого загрузите сертификат, а затем в меню Настройки —> Конфиденциальность и безопасность —> Безопасность, нажмите на кнопку «Настроить сертификаты» . Для установки сертификата перейдите на вкладку «Доверенные корневые центры сертификации» и нажмите кнопку «Импорт…»,
Настройка сертификатов — Cправка — Google Chrome Enterprise 2. Настройка сертификатов Далее: 3. Подтверждение работоспособности проверки TLS (или SSL) Добавив имена хостов в белый список, импортируйте сертификат SSL или TLS в консоль администратора Google и назначьте его центром сертификации.
Как поменять сертификат в гугл хром?
Откройте страницу chrome://settings.В левой части страницы нажмите Конфиденциальность и безопасность.Нажмите Безопасность.Прокрутите страницу вниз до раздела Дополнительные.Нажмите Настроить сертификаты.В списке найдите недавно добавленные центры сертификации.
Как обновить сертификат на сайте?
Как продлить SSL сертификат?Оплатить счет до указанного срока.Дождаться письма с темой «Продлите Ваш SSL-сертификат», которое придет на e-mail, указанный в учетной записи.Перейти по ссылке и завершить проверку владения доменом.Получить новый сертификат от Центра Сертификации.
Как сделать сертификат доверенным?
Нажмите кнопку Пуск, выберите Начать поиск, введите mmc, а затем нажмите клавишу ВВОД. В меню Файл выберите пункт Добавить или удалить оснастку. В группе Доступные оснастки щелкните Сертификаты, а затем нажмите кнопку Добавить. Щелкните Локальный компьютер, а затем нажмите кнопку Готово.
Как заставить Chrome использовать http вместо HTTPS?
Как изменить настройки для всех сайтовОткройте Google Chrome на компьютере.В правом верхнем углу окна нажмите на значок с тремя точками Настройки.Выберите Конфиденциальность и безопасность Настройки сайтов.Выберите нужную настройку.
Как настроить HTTPS в гугл хром?
Включение поддержки DNS-over-HTTPS доступно в настройках безопасности браузера Chrome: Введите в адресной строке chrome://settings/security (или перейдите в меню Настройки > Конфиденциальность и безопасность > Безопасность). Там вы найдете новую опцию Использовать безопасный DNS-сервер, которую необходимо включить.
Как заменить сертификат?
Как заменить сертификат электронной подписи?Шаг 1. Написать заявление на выпуск. . Шаг 2. Прийти в сервисный центр с оригиналами документов или их юридически заверенными копиями. . Шаг 3. Оплатить выставленный счет и выслать специалисту сканы документов (список можно уточнить у специалистов).Шаг 4.
Как установить сертификат в доверенные корневые центры?
Как установить корневой сертификатСкачайте сертификат на официальном сайте удостоверяющего центра.Откройте файл и нажмите «Установить сертификат».В окне «Мастер импорта сертификатов» выберите расположение хранилища → «Локальный компьютер» и нажмите кнопку «Далее».
Как заставить Chrome доверять сертификату корневого ЦС системы Windows?
Наши администраторы корпоративных компьютеров распространяют сертификаты корпоративного корневого центра сертификации через Active Directory, но по умолчанию Chrome не доверяет системным сертификатам. Есть ли способ настроить Chrome, чтобы он доверял этим сертификатам, вместо того, чтобы вручную добавлять их в хранилище Chrome CA? Я знаю, что мы можем сделать это в Firefox, поэтому я думаю, что это также возможно для Chrome.
редактировать
Я знаю, как добавить их в магазин Chrome CA. Я хочу знать, есть ли способ напрямую попросить Chrome доверять системе доверенного хранилища. Я отметил этот вопрос в Windows, потому что я в основном работаю в Windows (с Active Directory), но было бы хорошо узнать, может ли Chrome доверять macOS Keychain Access или /etc/ssl/certs в Linux.
3 ответа 3
Chrome использует Certificate Store в Windows для проверки сертификатов. Если Chrome жалуется, то сертификат не установлен на доверенных корневых сертификатах на локальном компьютере, или CN (Common Name) сертификата не совпадает с именем домена, к которому вы обращаетесь.
Чтобы установить сертификат на доверенные корни,
Нажмите на красный значок оповещения в левом верхнем углу адресной строки, в раскрывающемся меню формы выберите сертификат.
Затем перейдите на вкладку сведений в окне сертификата, в правом нижнем углу нажмите «Копировать в файл», «Экспортируйте сертификат в кодировке DER задайте имя сертификата и нажмите «Готово».
Затем откройте certmgr.msc используя дерево доверенных корневых центров сертификации.
Щелкните правой кнопкой мыши Сертификат в раскрывающемся списке, выберите все задачи, затем нажмите Импорт, выберите свой сертификат, выберите Place all certificates in the following store и перейдите к концу.
Если это не решит вашу проблему, в сертификате есть проблема, или кто-то пытается получить посередине (атака «Человек в середине»)! обратитесь к системному администратору.