问题描述
客户端访问服务时,浏览器提示 “您的连接不是私密连接“等安全告警信息,错误代码示例为 NET::ERR_CERT_AUTHORITY_INVALID,如下图所示:
问题原因
本产品提供的是私有CA服务,不在浏览器及操作系统默认的受信任颁发机构中。使用本产品生成的私有证书配置了HTTPS的服务后,仍需在客户端安装证书链到受信任的证书颁发机构中。
解决方案
请参考本章节内容,将私有CA添加到受信任的证书办法机构中。
说明:
Firefox浏览器是从浏览器内部的证书库检查当前证书的签发CA是否受浏览器信任,而不是读取操作系统中的证书库,因此其配置方式不同于其它浏览器。
Windows操作系统
本节介绍在Windows操作系统中,如何导入私有证书的签发CA证书链,使其成为受信任的证书颁发机构。
在证书服务页面,下载该私有证书的签发CA链上所有的CA证书文件,即该证书的签发CA、签发CA的上一级签发CA,以此类推直至根CA。
双击某个CA证书文件,在弹出的窗口中单击
安装证书
。存储位置选择
当前用户
,单击下一页
。选择
将所有的证书都放入下列存储(P)
。单击
浏览
,如果是根CA选择受信任的根证书颁发机构
,如果是从属CA选择中间证书颁发机构
。选择完成后单击确定
。单击
下一页
。单击
完成
,弹出安全警告窗口。单击
是
,提示导入成功。重复以上步骤,依次安装该私有证书的签发CA到根CA的所有CA证书。
在浏览器中验证证书导入结果,以Microsoft Edge浏览器为例。
macOS操作系统
本节介绍在macOS操作系统中,如何导入私有证书的签发CA证书链,使其成为受信任的证书颁发机构。
在证书服务页面,下载该私有证书的签发CA链上所有的CA证书文件,即该证书的签发CA、签发CA的上一级签发CA,以此类推直至根CA。
双击某个证书文件,弹出密码输入窗口。
输入系统密码,单击
修改钥匙串
,弹出钥匙串列表。此时虽然私有CA的证书已经导入到系统钥匙串中,但仍不受系统信任。
右键单击导入的私有CA证书,选择“显示简介”。
展开“信任”下的详细信息。
将详细信息中的所有选项改为“始终信任”。
关闭窗口。此时由于修改了文件属性,需要再次输入系统密码。
再次在钥匙串列表中查看导入的私有CA证书,已被系统信任。
Firefox浏览器
本节介绍如何在Firefox浏览器中导入私有证书的签发CA证书链,使其成为受信任的证书颁发机构。
- 在证书服务页面,下载该私有证书的签发CA链上所有的CA证书文件,即该证书的签发CA、签发CA的上一级签发CA,以此类推直至根CA。
- 打开 Firefox 浏览器设置页面。
- 在“隐私与安全”菜单项中,找到“证书”,单击
查看证书
。
- 在弹出的证书管理器中,选择“证书颁发机构”页签,单击
导入
。
- 选择下载好的私有CA证书文件,单击
打开
。
- 勾选 “信任由此证书颁发机构来标识网站” 和 “信任由此证书颁发机构来标识电子邮件用户”选项,单击
确定
。
- 私有证书导入成功,可在“证书管理器”窗口中的“证书颁发机构”页签下看到已导入的私有CA。
- 重复以上步骤,安装该私有证书的签发CA到根CA的所有CA证书。