google-chrome - 为 *.localhost ('wildcard') 生成自签名证书的正确方法是什么

问题描述

我一辈子都无法让 chrome 使用通配符证书（“* .localhost”）

这是我为生成所述证书所做的工作。

首先我生成我的 ca

openssl genrsa -out priv/cert/ca.key 2048
openssl req -new -x509 -nodes -subj "/C=US/O=_Development \
CA/CN=Development certificates" -key priv/cert/ca.key -sha256 \
-days 3650 -out priv/cert/ca.crt

然后我生成我的本地主机

openssl genrsa -out priv/cert/localhost.key 2048
openssl req -new -subj "/C=US/O=Local Development/CN=*.localhost" -key \
priv/cert/localhost.key -out priv/cert/localhost.csr

然后我制作我的 ext 文件

authorityKeyIdentifier=keyid,issuer
basicConstraints=CA:FALSE
keyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment
extendedKeyUsage = serverAuth, clientAuth
subjectAltName = @alt_names
[req]
req_extensions = req_ext
[req_distinguished_name]
commonName_default = localhost
[req_ext]
subjectAltName = @alt_names
[alt_names]
DNS.1 = *.localhost
DNS.2 = foo.localhost
DNS.3 = localhost

然后我签字。

openssl x509 -req \
    -in priv/cert/localhost.csr \
    -extfile priv/cert/localhost.ext \
    -CA priv/cert/ca.crt \
    -CAkey priv/cert/ca.key \
    -CAcreateserial \
    -out priv/cert/localhost.crt \
    -days 365 \
    -sha256

在信任我的 crt 并在本地导航到说 localhost 或 foo.localhost 后，我​​得到了所有的绿色，但是如果我说 bar.localhost 通配符不起作用，我在 chrome 上得到一个 NET::ERR_CERT_COMMON_NAME_INVALID 。

我在这里想念什么。我已经解决了主题备用名称，我已经排除了通过 foo 的 SAN 工作。从我阅读的内容来看，通用名称甚至不再重要。我不知所措。

标签： google-chromesslhttpsopenssl