在 Chrome 61 中拒绝了客户端证书
Rejected Client-Certificate in Chrome 61
我有一个已经很长的 运行 网站,由自己生成的客户端证书保护。它已经工作多年,在任何浏览器(如 IE、Firefox 和 Chrome.
上都没有任何问题。
自上次 Chrome 更新 (61.0.3163.100) 以来,客户端证书被拒绝并显示以下错误消息:
This site can’t provide a secure connection
my.domain.com didn’t accept your login certificate, or one may not have been provided.
Try contacting the system admin.
ERR_BAD_SSL_CLIENT_AUTH_CERT
而且该站点在任何其他浏览器上都可以继续正常工作!
我在那里找不到任何相关信息。
我认为 chrome 只是提高了对客户端证书的最低要求,就像几个月前对服务器证书所做的那样。但我不知道如何修复它。
有什么提示我的证书有什么问题吗?
非常感谢
2017 年 12 月 15 日更新
我仍然遇到问题,没有找到任何答案。
一段时间后我发现 Chrome 不喜欢 openssl ca 生成的客户端证书。
我生成证书是这样的:
openssl ca -config openssl.cnf -extensions client -batch -in test.req -out test.cer
我尝试了所有方法,但我无法使其与 Chrome 一起工作,但同样,它与所有其他浏览器一起工作。
现在我正在生成证书:
openssl x509 -req -in test.req -CA ca.cer -CAkey ca.key -extensions client -extfile openssl.cnf -CAserial ca.srl -out test.cer -sha256
它有效,如果我比较 openssl x509 -in test.cer -noout -text 的输出,有 NO 的区别!!所以我想知道 Chrome 不喜欢 openssl ca 的什么。
我更喜欢使用 openssl ca 而不是 openssl x509,因为我不能使用 CRL,而且我更喜欢 startdate/enddate 而不是 days。
有什么想法吗?
我从这个网站上找到了这篇文章:https://productforums.google.com/forum/#!topic/chrome/TM0Tg0_YOvg
解决这个问题:
试试这些步骤;
1) 通过清除 IE 的 Internet 选项中的所有数据来休息浏览器..
2) 删除与您尝试访问的站点相关的所有证书...Chrome 共享 IE 证书
3)确保您之后可以访问互联网..如果没有,请检查代理设置(如果适用)
4) 尝试再次访问同一站点,如果它提示输入证书,请插入智能卡或安装证书。
5) 如果它不起作用,您可以从个人中删除所有证书,但要小心从中间和其他地方删除证书。
此错误是您使用的本地计算机上的证书有问题。
对于 DOD 用户,请参阅 https://militarycac.com/dodcerts.htm 如果还有更多问题。我可以使用我发布的步骤访问 DOD 站点。确保你也安装了 installroot3a exe
我生成证书是这样的:
openssl ca -config openssl.cnf -extensions client -batch -in test.req -out test.cer
我尝试了所有方法,但我无法使其与 Chrome 一起工作,但同样,它与所有其他浏览器一起工作。
现在我正在生成证书:
openssl x509 -req -in test.req -CA ca.cer -CAkey ca.key -extensions client -extfile openssl.cnf -CAserial ca.srl -out test.cer -sha256
而且有效!
如果我比较 openssl x509 -in test.cer -noout -text 的输出,有 NO 的区别!!所以我想知道 Chrome 不喜欢 openssl ca 的什么。
我有一个已经很长的 运行 网站,由自己生成的客户端证书保护。它已经工作多年,在任何浏览器(如 IE、Firefox 和 Chrome.
上都没有任何问题。自上次 Chrome 更新 (61.0.3163.100) 以来,客户端证书被拒绝并显示以下错误消息:
This site can’t provide a secure connection
my.domain.com didn’t accept your login certificate, or one may not have been provided.
Try contacting the system admin.
ERR_BAD_SSL_CLIENT_AUTH_CERT
而且该站点在任何其他浏览器上都可以继续正常工作! 我在那里找不到任何相关信息。
我认为 chrome 只是提高了对客户端证书的最低要求,就像几个月前对服务器证书所做的那样。但我不知道如何修复它。
有什么提示我的证书有什么问题吗?
非常感谢
2017 年 12 月 15 日更新
我仍然遇到问题,没有找到任何答案。
一段时间后我发现 Chrome 不喜欢 openssl ca 生成的客户端证书。
我生成证书是这样的:
openssl ca -config openssl.cnf -extensions client -batch -in test.req -out test.cer
我尝试了所有方法,但我无法使其与 Chrome 一起工作,但同样,它与所有其他浏览器一起工作。
现在我正在生成证书:
openssl x509 -req -in test.req -CA ca.cer -CAkey ca.key -extensions client -extfile openssl.cnf -CAserial ca.srl -out test.cer -sha256
它有效,如果我比较 openssl x509 -in test.cer -noout -text 的输出,有 NO 的区别!!所以我想知道 Chrome 不喜欢 openssl ca 的什么。
我更喜欢使用 openssl ca 而不是 openssl x509,因为我不能使用 CRL,而且我更喜欢 startdate/enddate 而不是 days。
有什么想法吗?
我从这个网站上找到了这篇文章:https://productforums.google.com/forum/#!topic/chrome/TM0Tg0_YOvg
解决这个问题: 试试这些步骤; 1) 通过清除 IE 的 Internet 选项中的所有数据来休息浏览器.. 2) 删除与您尝试访问的站点相关的所有证书...Chrome 共享 IE 证书 3)确保您之后可以访问互联网..如果没有,请检查代理设置(如果适用) 4) 尝试再次访问同一站点,如果它提示输入证书,请插入智能卡或安装证书。 5) 如果它不起作用,您可以从个人中删除所有证书,但要小心从中间和其他地方删除证书。
此错误是您使用的本地计算机上的证书有问题。 对于 DOD 用户,请参阅 https://militarycac.com/dodcerts.htm 如果还有更多问题。我可以使用我发布的步骤访问 DOD 站点。确保你也安装了 installroot3a exe
我生成证书是这样的:
openssl ca -config openssl.cnf -extensions client -batch -in test.req -out test.cer
我尝试了所有方法,但我无法使其与 Chrome 一起工作,但同样,它与所有其他浏览器一起工作。
现在我正在生成证书:
openssl x509 -req -in test.req -CA ca.cer -CAkey ca.key -extensions client -extfile openssl.cnf -CAserial ca.srl -out test.cer -sha256
而且有效!
如果我比较 openssl x509 -in test.cer -noout -text 的输出,有 NO 的区别!!所以我想知道 Chrome 不喜欢 openssl ca 的什么。