Chrome отображает сайт как "Незащищенный" (сертификат недействителен), но сертификат правильный

Question

У меня есть собственный CA и сгенерированный сертификат. Сертификат действителен:

» openssl verify -verbose -x509_strict -CAfile rootCA.pem mysite.bundle.crt
mysite.bundle.crt: OK

В моей системе установлен корневой CA (Ubuntu 16.04), и curl может проверить сертификат:

curl https://mysite

Здесь нет жалоб.

Я могу проверить цепочку сертификатов на работающем сайте, и все выглядит нормально, включая записи в SAN:

» openssl s_client -showcerts -servername mysite -connect mysite:443 </dev/null 2> /dev/null | openssl x509 -noout -text | grep DNS:
                DNS:mysite

Но Chrome все еще жалуется. Что может быть причиной?

РЕДАКТИРОВАТЬ

Добавление скриншота

Answer 1

В отличие от curl или s_client, ни Chrome, ни Firefox не используют хранилище CA систем в Ubuntu. У них есть собственное хранилище доверенных сертификатов, и вам нужно импортировать сертификат CA в их хранилище, чтобы их считали доверенными. Для доступа к хранилищу доверенных сертификатов Chrome используйте chrome://settings/certificates .