1. Accueil
  2. Question et réponse
  3. Client-Certificat rejeté dans Chrome 61

Client-Certificat rejeté dans Chrome 61

2017-10-02 7 views
1

J'ai un site Web déjà long sécurisé par des certificats clients auto-générés. Il a travaillé pendant des années sans aucun problème avec n'importe quel navigateur comme IE, Firefox et Chrome.Client-Certificat rejeté dans Chrome 61

Depuis la dernière mise à jour Chrome (61.0.3163.100) les certificats clients sont rejetées avec message d'erreur suivant:

This site can’t provide a secure connection 

my.domain.com didn’t accept your login certificate, or one may not have been provided. 
Try contacting the system admin. 
ERR_BAD_SSL_CLIENT_AUTH_CERT

Et le site continue de fonctionner correctement avec un autre navigateur! Et je ne trouve aucune information pertinente là-bas.

Je suppose que chrome a simplement augmenté les exigences minimales pour les certificats clients, comme il l'a fait pour les certificats de serveur il y a quelques mois. mais je n'ai pas de colle pour le réparer.

Une indication de ce qui ne va pas avec mes certificats?

merci beaucoup

MISE À JOUR 15DEC2017

j'avais encore des problèmes et n'a pas trouvé de réponse là-bas. Après un moment, j'ai compris que Chrome n'aime pas les certificats clients générés par openssl ca.

Je générait les certificats afin:

openssl ca -config openssl.cnf -extensions client -batch -in test.req -out test.cer

J'ai tout essayé, mais je n'a pas pu le faire fonctionner avec Chrome, mais encore une fois, il a travaillé avec tous les autres navigateurs.

Maintenant, je suis la génération des certificats afin:

openssl x509 -req -in test.req -CA ca.cer -CAkey ca.key -extensions client -extfile openssl.cnf -CAserial ca.srl -out test.cer -sha256

Et ça marche, si je compare la openssl x509 -in test.cer -noout -text sur, il y a une différence NO !! Donc, je me demande ce que Chrome ne aime pas de openssl ca.

Je préférerais utiliser openssl ca sur openssl x509 puisque je ne peux pas utiliser les CRL et je préfère aussi startdate/enddate sur days.

Des idées?

Source

2017-10-02 mmoossen

Répondre

0

Je trouve cet article sur elle sur ce site: https://productforums.google.com/forum/#!topic/chrome/TM0Tg0_YOvg

Pour résoudre ce problème ceci: essayer ces étapes; 1) Rest navigateur en supprimant toutes les données dans les options Internet de IE .. 2) Supprimer tous les certificats liés au site que vous essayez d'accéder ... Chrome part IE cert 3) assurez-vous que vous avez accès à Internet après. si ce n'est pas le cas, vérifiez les paramètres du proxy s'il s'applique 4) essayez d'aller à nouveau sur le même site et s'il vous demande un certificat, insérez la carte à puce ou installez le certificat. 5) si cela ne fonctionne pas, vous pouvez supprimer tous les certs de personnel, mais attention à enlever les certs de forme intermédiaire et ailleurs où.

Cette erreur est le certificat a un problème sur la machine locale que vous utilisez. pour les utilisateurs DOD voir https://militarycac.com/dodcerts.htm s'il y a plus de problèmes .. Je suis capable d'utiliser les étapes que j'ai posté pour accéder aux sites DOD ..assurez-vous que vous avez installroot3a exe installé ainsi

Source

2017-10-02 08:34:04

+0

je l'avais déjà vu, n'a pas aidé ... – mmoossen

 Questions connexes

  • Aucun problème connexe^_^