J'ai un site Web déjà long sécurisé par des certificats clients auto-générés. Il a travaillé pendant des années sans aucun problème avec n'importe quel navigateur comme IE, Firefox et Chrome.Client-Certificat rejeté dans Chrome 61
Depuis la dernière mise à jour Chrome (61.0.3163.100) les certificats clients sont rejetées avec message d'erreur suivant:
This site can’t provide a secure connection
my.domain.com didn’t accept your login certificate, or one may not have been provided.
Try contacting the system admin.
ERR_BAD_SSL_CLIENT_AUTH_CERT
Et le site continue de fonctionner correctement avec un autre navigateur! Et je ne trouve aucune information pertinente là-bas.
Je suppose que chrome a simplement augmenté les exigences minimales pour les certificats clients, comme il l'a fait pour les certificats de serveur il y a quelques mois. mais je n'ai pas de colle pour le réparer.
Une indication de ce qui ne va pas avec mes certificats?
merci beaucoup
MISE À JOUR 15DEC2017
j'avais encore des problèmes et n'a pas trouvé de réponse là-bas. Après un moment, j'ai compris que Chrome n'aime pas les certificats clients générés par openssl ca
.
Je générait les certificats afin:
openssl ca -config openssl.cnf -extensions client -batch -in test.req -out test.cer
J'ai tout essayé, mais je n'a pas pu le faire fonctionner avec Chrome, mais encore une fois, il a travaillé avec tous les autres navigateurs.
Maintenant, je suis la génération des certificats afin:
openssl x509 -req -in test.req -CA ca.cer -CAkey ca.key -extensions client -extfile openssl.cnf -CAserial ca.srl -out test.cer -sha256
Et ça marche, si je compare la openssl x509 -in test.cer -noout -text
sur, il y a une différence NO !! Donc, je me demande ce que Chrome ne aime pas de openssl ca
.
Je préférerais utiliser openssl ca
sur openssl x509
puisque je ne peux pas utiliser les CRL et je préfère aussi startdate/enddate
sur days
.
Des idées?
je l'avais déjà vu, n'a pas aidé ... – mmoossen