我已经创建了一个自签名的根证书颁发机构,如果我安装到windows, linux,甚至使用firefox (windows/linux/macosx)中的证书存储,将与我的终止代理完美地工作。
我已将其安装到系统密钥链中,并将证书设置为始终信任。
在chrome浏览器详细信息中,它说"chrome在此连接尝试期间收到的证书格式不正确,因此chrome无法使用它来保护您的信息。"错误类型:"畸形证书"
我使用以下代码创建证书:
openssl genrsa -des3 -passout pass:***** -out private/server.key 4096
openssl req -batch -passin pass:***** -new -x509 -nodes -sha1 -days 3600 -key private/server.key -out server.crt -config ../openssl.cnf
如果问题不是它是畸形的(因为它在其他任何地方都有效),那么它还能是什么?我安装不正确吗?
说明:在windows/linux操作系统中,所有浏览器都可以完美地工作。在mac中,只有firefox使用其内部证书存储而不是密钥链才能工作。导致这个问题的是导入证书的keychain方法。因此,所有使用keychain的浏览器都不能正常工作。
openssl配置默认中间证书为basicConstraints=CA:TRUE,但在我的情况下,由于我使用中间证书作为最终用户证书,我需要使其为basicConstraints=CA:FALSE。
在windows/linux/firefox上,这似乎无关紧要,但在mac上的安全设置使它成为必需。