In Chrome58 und höher wird eine Übereinstimmung zwischen dem CN-Namen und dem angeforderten Hostnamen nicht als sichere Verbindung angesehen, und ERR_CERT_COMMON_NAME_INVALID wird zurückgegeben. Zum Beispiel beim Zugriff mit https: // localhost mit einem Zertifikat, das mit CN = localhost ausgestellt wurde.
Seit Chrome58 wird auch der Erweiterungsbereich des Zertifikats V3: DNS-Name überprüft. [Qiita: So erstellen Sie ein Oleore-Zertifikat, das Chrome nicht verärgert] [https://qiita.com/masahiro-aoike/items/dbf17fa03c5973ce9068)
Geben Sie außerdem DNS als Option an, wenn Sie ein selbstsigniertes Zertifikat mit Keytool ausstellen. Zu diesem Zeitpunkt hat der Domainname immer das Format ABC oder ABC. Aufgrund von Keytool-Einschränkungen können Sie anscheinend keine Platzhalter oder Suffixformate angeben, die mit beginnen.
keytool -genkey -alias tomcat -storetype PKCS12 -keyalg RSA -keysize 2048
-ext san=dns:sample.localhost.com -keystore "tomcat.jks" -validity 3650
(Eigentlich in einer Zeile)
Bitte geben Sie das Keystore-Passwort ein:(Keystore-Passwort)
Bitte geben Sie Ihr neues Passwort erneut ein:(Keystore-Passwort)
Wie lautet Ihr Vor- und Nachname?
[Unknown]: sample.localhost.com (Hostname zur Überprüfung)
Wie lautet der Name der Organisationseinheit?
[Unknown]: Capybara
Wie lautet der Name der Organisation?
[Unknown]: Capybara
Wie heißt die Stadt oder Region?
[Unknown]: Shinagawa
Wie lautet der Staat oder der Name des Staates?
[Unknown]: Tokyo
Wie lautet der aus zwei Buchstaben bestehende Ländercode für dieses Gerät?
[Unknown]: JP
CN=sample.localhost.com, OU=Capybara, O=Capybara, L=Shinagawa, ST=Tokyo, C=Bist du sicher, dass du JP willst?
[Nein]: y
Wenden Sie diesen Keystore tomcat.jks nach der Veröffentlichung auf einen beliebigen Servlet-Container an und starten Sie ihn. Registrieren Sie zu diesem Zeitpunkt sample.localhost.com in der Hosts-Datei, damit es zu localhost (127.0.0.1) wird.
Recommended Posts