как заставить Chrome запоминать подписанные сертификаты?

Question

В моей компании есть внутренняя вики и несколько сайтов QA, которые обслуживаются машиной с другим именем, поэтому URL не соответствует сущности, обслуживающей сертификат. Я использую Snow Leopard на Mac. Firefox и Safari способны запомнить сертификат для дальнейшего использования, но в Chrome нет механизма для этого.

Это, вероятно, не тот сайт, который вы ищете! Вы пытались связаться с qablahblah1, но вместо этого вы фактически достигли сервера, идентифицирующего себя как qa.blahblah.com. Это может быть вызвано неправильной конфигурацией на сервере или чем-то более серьезным. Злоумышленник в вашей сети может попытаться заставить вас посетить поддельную (и потенциально опасную) версию qablahblah1. Вы не должны продолжать. (Кнопки) "Все равно продолжить" и "Вернуться к безопасности"

Исследуя это, я наткнулся на http://www.google.com/support/forum/p/Chrome/thread?tid=18ea33a150bbccd2&hl=en#fid_18ea33a150bbccd2000490771188d4c5, который предложил использовать Safari для "доверия" всей системе сертификатов. Оставляя в стороне ошибочность необходимости использовать другой браузер для сохранения сертификата, чтобы Chrome мог его видеть, это даже не работает.

Я даже пытался настроить локальную базу данных сертификатов NSS и импортировать в нее сертификаты, но Chrome их не видит.

Кто-нибудь может предложить способ заставить Chrome запомнить мои сертификаты, когда я вернусь?

п.с. Я также посмотрел на Как добавить сертификат с самозаверяющего сервера в доверенные сертификаты в Chrome? - но ответ там настолько загадочный, что я вынужден снова задать вопрос.

Answer 1

Вы, кажется, упускаете из виду предупреждение Chrome. Chrome не говорит, что сертификат не является доверенным - он говорит, что это не тот домен.

Даже если у вас есть полностью действительный и доверенный полный сертификат для www2.foo.com, этот сертификат не будет работать для www.foo.com (в противном случае www.joeaverage.com может получить сертификат SSL и притвориться www.gmail. ком, а жизнь была бы плохой).

Решение для вас - создать самозаверяющий сертификат для домена, который вы хотите защитить, и затем добавить этот сертификат в хранилище сертификатов Windows - Google Chrome использует хранилище сертификатов Windows, чтобы решить, является ли сертификат доверенным, - и тогда вам следует возможность "безопасно" перейти на локальный домен без жалоб Chrome.

Answer 2

Насколько я знаю, нет способа автоматически принять сертификат, который не подходит для системы, которую вы пытаетесь достичь.

Исследуя это, я наткнулся на нить, в которой предлагалось использовать Safari для "доверия" всей системе сертификатов.

Это не связано с вашей проблемой. Это касается либо самозаверяющего сертификата, либо локального центра сертификации. Что касается вашей жалобы на использование Safari, в Windows вы можете использовать IE. В Chrome было принято решение использовать репозитории сертификатов из операционной системы по умолчанию. Встроенные браузеры обладают лучшими возможностями для управления хранилищами системных сертификатов.