Как добавить сертификат в список доверенных в Chrome

Обновлено: 21.11.2024

Администраторы наших корпоративных компьютеров распространяют корпоративные корневые сертификаты ЦС через Active Directory, но Chrome по умолчанию не доверяет системным сертификатам. Есть ли способ настроить Chrome, чтобы доверять этим сертификатам, вместо того, чтобы вручную добавлять их в хранилище Chrome CA? Я знаю, что мы можем сделать это в Firefox, поэтому я думаю, что это возможно и в Chrome.

Я знаю, как добавить их в магазин Chrome CA. Я хочу знать, есть ли способ напрямую попросить Chrome доверять системному доверенному хранилищу. Я пометил этот вопрос как Windows, потому что в основном работаю в Windows (с Active Directory), но было бы неплохо узнать, может ли Chrome доверять доступу к цепочке ключей macOS или /etc/ssl/certs в Linux.

Обновить

Я убедился, что в настоящее время Chrome будет учитывать любой сертификат в хранилище системных доверенных сертификатов Windows. Этот вопрос сейчас лишен смысла. Спасибо всем.

@Moab Ни в одном из ответов не упоминается диспетчер системных сертификатов. Если вы говорите о добавлении корневого сертификата ЦС в магазин Chrome, да, я знаю, как это сделать, и я знаю, что это значит. Я обновил вопрос, чтобы уточнить.

3 ответа 3

Chrome использует хранилище сертификатов в Windows для проверки сертификатов. Если Chrome жалуется, значит, сертификат не установлен в доверенных корневых сертификатах на вашем локальном компьютере или CN (общее имя) сертификата не соответствует доменному имени, к которому вы обращаетесь.

Чтобы установить сертификат на доверенные корни:

Нажмите красный значок оповещения в левом верхнем углу адресной строки, в раскрывающемся меню выберите сертификат.

Затем перейдите на вкладку сведений в окне сертификата, справа внизу щелкните Копировать в файл, Экспортируйте сертификат в кодировке DER, задайте имя сертификата и нажмите Готово.

Затем откройте файл certmgr.msc и разверните дерево доверенных корневых центров сертификации.

Щелкните правой кнопкой мыши Сертификат в раскрывающемся списке, выберите все задачи, затем нажмите Импорт, выберите свой сертификат, выберите Поместить все сертификаты в следующее хранилище и перейдите к завершению.

Перезапустите Chrome.

Если это не решит вашу проблему, значит проблема в сертификате или кто-то пытается вмешаться (Атака человека посередине)! обратитесь к системному администратору.

Это больше не CN; Chrome перешел на использование только SAN (расширение SubjectAlternativeName) около 2 лет назад. (Все браузеры как минимум 10 лет поддерживают SAN через CN, но на данный момент это требуется только для Chrome.)

Я бы предложил выделить перезапуск Chrome жирным шрифтом, просто потратил слишком много времени на то, чтобы почесать голову и сказать: "Что я делаю неправильно", только чтобы узнать, что все, что мне нужно было сделать, это выйти из Chrome.

Если у вас есть сертификат. уже в экспортированной форме, я хочу сказать, что pkcs 7 вы должны просто импортировать сертификат в Chrome, перейдя

Настройки>Дополнительно>Управление сертификатами>Доверенный корневой ЦС>Импорт

Если это не сработает, вы также можете попробовать импортировать сертификат в диспетчер сертификатов Windows, открыв

MMC.exe>Файл>Добавить/удалить оснастку>Сертификаты>ОК>Доверенный корневой ЦС>вкладка «Действие»>все задачи>Импортировать и следовать указаниям мастера

Я знаю, как импортировать сертификат в Chrome из настроек Chrome. Я хочу, чтобы Chrome доверял системным настройкам, чтобы он автоматически доверял любому сертификату в диспетчере сертификатов Windows, как только мой администратор обновит его с помощью чего-то вроде групповой политики.

@FranklinYu Это должно быть возможно с корпоративной версией Chrome из профиля администратора с использованием групповой политики Google Chrome, но, к сожалению, просмотрев настройки Chrome и просмотрев все параметры в Chrome://flags, я не нашел удачи. .

Я предлагаю вам импортировать этот сертификат в свой веб-браузер, но для универсального доступа к этому сертификату для всех может потребоваться некоторое время, поэтому веб-браузер доставляет обновления пользователям (эти обновления включают сертификаты подписи органов CA).

Чтобы установить новый SSL-сертификат, вам потребуется следующая информация:

Сертификат Закрытый ключ Промежуточный сертификат (обычно предоставляется поставщиком в отдельном файле). Получив эту информацию, вы можете установить новый сертификат, щелкнув вкладку «Безопасность» на своем сайте, а затем нажав ссылку «Редактировать сертификат».< /p>

На следующем экране есть три поля: Сертификат, Закрытый ключ и Промежуточный сертификат. Замените текущую информацию обновленной и нажмите «Сохранить».

Поскольку вы обновляете существующий сертификат SSL, вам не нужно ждать распространения, как при установке нового сертификата SSL.

В этом подробном пошаговом руководстве объясняются различные подходы к добавлению доверенного центра сертификации в браузеры Chrome и Firefox.

Веб-браузеры используют Secure Sockets Layer (SSL) для шифрования трафика между клиентскими системами и серверными компьютерами для защиты конфиденциальных данных, таких как информация социального обеспечения и данные кредитной карты. Для правильной работы SSL-сертификата объект, выдавший сертификат (также известный как центр сертификации), также должен доверять веб-браузеру, что включает установку сертификата издателя, чтобы браузер знал, что издатель является действительным и надежным.

Часто используемые центры сертификации, такие как Verisign, DigiCert и Entrust, автоматически становятся доверенными в большинстве браузеров. Однако, если вы используете ненадежный внутренний центр сертификации для создания SSL-сертификатов для внутренних ресурсов, ваш браузер будет раздражать вас при попытке подключения.

В веб-браузере Chrome отобразится нечто похожее на рис. A.

Рисунок А

Для этого необходимо нажать кнопку "Дополнительно" (рис. Б). Затем вы должны нажать «Перейти к [имя хоста], чтобы продолжить.

Рисунок Б

В браузере Firefox отобразится содержимое, похожее на рисунок C. Нажмите «Дополнительно», затем «Добавить исключение» (рис. D). Нажатие «Подтвердить исключение безопасности» разрешит доступ.

Рисунок C

Рисунок D

Однако, хотя эти советы для обоих браузеров позволят вам попасть на сайт, вам придется сделать это для КАЖДОГО сайта, для которого ваш внутренний ЦС выдал SSL-сертификат.

К счастью, есть лучший способ. Вы можете настроить свои системы так, чтобы они доверяли всем сертификатам центра сертификации, установив сертификат SSL этой системы в качестве доверенного корневого центра сертификации. Таким образом, Chrome и Firefox больше никогда не будут запрашивать доступ к какому-либо сайту с сертификатом этого ЦС.

Примечание. В этой статье основное внимание уделяется этим двум сторонним браузерам. следующая статья будет посвящена Internet Explorer/Microsoft Edge. Перечисленные здесь действия верны на момент написания этой статьи, но в будущих версиях этих браузеров могут использоваться другие параметры меню.

SEE: Набор для найма: директор по ИТ-аудиту (Tech Pro Research)

Получите сертификат ЦС

Во-первых, вам необходимо получить копию этого SSL-сертификата из центра сертификации в формате DER. Если ваш ЦС работает под управлением Windows, выполните следующие действия. (Если нет, вам нужно изучить детали для вашей конкретной операционной системы.)

Перейдите в Панель управления и откройте папку "Инструменты администрирования".

Дважды щелкните Центр сертификации (рис. E).

Рисунок E

Щелкните правой кнопкой мыши сервер и выберите "Свойства" (рис. F).

Рисунок F

Нажмите «Просмотреть сертификат» (рис. G).

Рисунок G

Перейдите на вкладку "Подробности" (рис. H).

Рисунок Н

Нажмите «Копировать в файл», затем нажмите «Далее» (рис. I).

Рисунок 1

Оставьте флажок "Двоичный кодированный DER X.509 (.CER)" и нажмите "Далее".

Укажите имя файла (например, c:\CA_certificate.cer) и нажмите "Далее", затем нажмите "Готово".

Сертификат будет сохранен в указанном вами месте.

Добавление сертификатов ЦС в качестве доверенного корневого центра в Chrome

Если вы используете Active Directory, лучше всего использовать групповую политику, чтобы все системы в вашей организации доверяли сертификатам ЦС. Chrome будет доверять сертификату, если он развернут таким образом.

Использование групповой политики для настройки систем Windows так, чтобы они доверяли вашему ЦС

Скопируйте сертификат на контроллер домена.

Перейдите в панель управления и откройте инструменты администрирования.

Откройте Управление групповыми политиками (рис. J).

Рисунок J

Щелкните правой кнопкой мыши свой домен и выберите "Создать объект групповой политики в этом домене и связать его здесь".

Укажите имя для объекта групповой политики, например Сертификат ЦС, и нажмите OK (рис. K).

Рисунок К

Щелкните правой кнопкой мыши новый объект групповой политики и выберите "Изменить".

Развернуть настройки Windows.

Развернуть настройки безопасности.

Развернуть Политики открытого ключа (рис. L).

Рисунок L

Нажмите правой кнопкой мыши "Доверенные корневые центры сертификации" и выберите "Импорт".

Нажмите «Обзор», затем найдите и выберите сертификат ЦС, который вы скопировали на этот компьютер.

Нажмите «Далее», нажмите «Готово», затем нажмите «ОК».

Теперь вы должны увидеть сертификат, показанный в правом поле (рисунок M).

Рисунок М

Если в вашей организации не используется Active Directory, вы не можете использовать групповую политику, но можете вручную добавить сертификат ЦС на хосте, чтобы доверять соответствующим SSL-сертификатам.

Обратите внимание, что вы можете добавить сертификат в Chrome, но рекомендуется добавить его в самой Windows, так как это повлияет на другие приложения, которые могут подключаться к веб-сайту.

ПОСМОТРЕТЬ: Руководство для ИТ-специалистов по эффективному управлению исправлениями (бесплатный PDF-файл TechRepublic)

Вручную настроить систему Windows так, чтобы она доверяла вашему ЦС

Сначала скопируйте сертификат ЦС на хост-компьютер, на котором вы хотите работать.

Откройте командную строку и запустите диспетчер сертификатов с помощью следующей команды (рис. N):

Рисунок N

В левом фрейме разверните узел "Доверенные корневые сертификаты", затем щелкните правой кнопкой мыши "Сертификаты" и выберите "Все задачи" > "Импорт" (рис. O).

Рисунок О

В мастере импорта сертификатов нажмите «Далее» (рис. P).

Рисунок P

Нажмите «Далее», затем нажмите «Обзор», затем найдите и выберите сертификат ЦС, который вы скопировали на этот компьютер (рис. Q).

Рисунок Q

Для параметра "Поместить все сертификаты в следующее хранилище" выберите "Доверенные корневые центры сертификации".

Нажмите «Далее», затем нажмите «Готово».

Нажмите "Да" в любом последнем запросе.

Добавление сертификатов ЦС в качестве доверенного корневого центра в Firefox

К сожалению, Firefox не доверяет сертификатам ЦС, которые Windows делает по умолчанию, поэтому инструкции в разделе выше будут работать, только если вы выполните это изменение настроек в Firefox:

В Firefox введите about:config в адресной строке.

Если будет предложено, примите все предупреждения.

Прокрутите вниз до записи security.enterprise_roots.enabled, для которой должно быть установлено значение False.

Дважды щелкните значение, чтобы изменить его на True.

Firefox должен немедленно активировать настройку.

Если вы не используете Active Directory/групповую политику, вы все равно можете настроить Firefox так, чтобы он доверял вашему центру сертификации.

Ручная настройка Firefox для доверия вашему ЦС

Скопируйте сертификат ЦС на хост-компьютер, на котором вы хотите работать.

Нажмите "Инструменты" (рис. R).

Рисунок R

Выберите «Параметры» и нажмите «Дополнительно», затем выберите вкладку «Сертификаты» (рис. S).

Рисунок S

Нажмите «Просмотреть сертификаты», затем выберите «Центры сертификации» (рис. T).

Рисунок Т

Нажмите «Импорт», затем перейдите к файлу CA и выберите его (рис. U).

Рисунок U

Отметьте все параметры Trust This CA, как показано выше, затем нажмите OK.

Теперь Firefox должен доверять центрам сертификации и перестать выдавать предупреждения безопасности.

Также читайте….

Ваши мысли

Применяли ли вы какие-либо из этих методов для добавления доверенного ЦС в Chrome и Firefox? Поделитесь своими советами и опытом с другими участниками TechRepublic.

Процедуры в этом разделе показывают, как добавить самоподписанные сертификаты, созданные во время установки Kaspersky CyberTrace, в доверенное хранилище. Это удалит предупреждения безопасности, генерируемые браузерами.

Чтобы избежать потенциальных угроз безопасности, мы рекомендуем использовать доверенный сертификат, подписанный центром сертификации (ЦС). Дополнительные сведения см. в разделе «Создание сертификатов для CyberTrace Web».

Придание самоподписанному сертификату доверия со стороны браузера (CyberTrace Web открывается в Internet Explorer, установленном в системе Windows)

Чтобы завоевать доверие браузера, необходимо последовательно выполнить следующие три процедуры:

Чтобы сохранить сертификат в локальный файл:

Браузер информирует вас о проблеме с сертификатом безопасности веб-сайта.

Сообщение об ошибке сертификата

В адресной строке появляется сообщение об ошибке сертификата.

Откроется окно "Ненадежный сертификат".

Окно ненадежного сертификата

Откроется окно Сертификат с информацией о сертификате CyberTrace.

Запустится мастер экспорта сертификатов.

Мастер экспорта сертификатов

Использовать настройки мастера по умолчанию во время экспорта сертификата.

Чтобы начать процесс импорта сертификата через консоль управления Microsoft (MMC):

    В поле поиска перейдите к полю «Выполнить» и введите mmc .

Теперь вы можете запускать MMC от имени администратора.

Запуск MMC

Выбор «Добавить/удалить оснастку»

Откроется окно "Добавить или удалить оснастки".

Добавление оснастки "Сертификаты"

Откроется окно оснастки "Сертификаты".

Выбор учетной записи компьютера

В открывшемся окне "Выбор компьютера" нажмите "Готово" .

Выбор локального компьютера

Запустится мастер импорта сертификатов.

    На странице приветствия мастера нажмите кнопку Далее .

Мастер импорта сертификатов

Импорт ранее сохраненного сертификата

Выбор хранилища сертификатов

Завершение импорта сертификата

Проблема безопасности (недоверенный сертификат) устранена, как показано на рисунке ниже.

Заставляет браузер доверять самоподписанному сертификату (CyberTrace Web открывается в Google Chrome, установленном в системе Windows)

Чтобы сделать самозаверяющий сертификат CyberTrace Web доверенным при использовании Google Chrome:

В адресной строке отображается предупреждение о том, что соединение с сайтом не защищено.

Откроется окно с информацией о безопасности веб-сайта.

Запустится мастер экспорта сертификатов.

Мастер экспорта сертификатов

Использовать настройки мастера по умолчанию во время экспорта сертификата.

Придание самоподписанному сертификату доверия со стороны браузера (CyberTrace Web открывается в Mozilla Firefox)

Вы добавляете CyberTrace Web в список доверенных веб-адресов Mozilla Firefox, чтобы в браузере не отображались предупреждения о сертификате.

Заставляет браузер доверять самоподписанному сертификату (CyberTrace Web открывается в браузере для Linux)

Процедуры использования браузера для импорта сертификата как доверенного (в системах Linux) различаются в зависимости от используемого браузера и дистрибутива Linux. Но процедуры имеют общие шаги: открыть форму настроек браузера и использовать форму для импорта сертификата в хранилище.

Чтобы вручную сделать самозаверяющий сертификат доверенным для браузера в системе Linux:

    Создайте каталог /usr/local/share/ca-certificates/, если его нет на вашем компьютере:

Если у вас нет пакета ca-certificates, установите его с помощью диспетчера пакетов.

Удаление сертификата из списка доверенных

После перенастройки или удаления CyberTrace старые сертификаты больше не используются CyberTrace. Вы можете удалить их из списка доверенных сертификатов.

Чтобы удалить сертификат из списка доверенных сертификатов (в Windows):

    Откройте консоль управления сертификатами и выполните следующую команду:

Консоль управления сертификатами

В системе Linux процедура удаления выполняется аналогично добавлению сертификата: откройте список доверенных сертификатов и удалите те, которые вам не нужны.

Для этого загрузите сертификат и сохраните его на жесткий диск или запустите из текущего места.

Если вы запустили файл сертификата, вы увидите окно Импорт ключа и сертификата (см. далее).

Если вы сохранили сертификат на жесткий диск, перейдите в "Меню"-"Настройки", выберите "Конфиденциальность и безопасность", раздел "Дополнительно" и нажмите "Управление сертификатами".

В окне Сертификат перейдите на вкладку Доверенные корневые центры сертификации и нажмите кнопку Импортировать..

В появившемся окне Мастер импорта сертификатов нажмите кнопку "Далее >".

Чтобы выбрать файл, нажмите кнопку "Обзор".

Найдите сохраненный файл сертификата на жестком диске и нажмите кнопку "Открыть".

Затем нажмите кнопку Далее>.

Имейте в виду, что хранилище сертификатов, открытое по умолчанию, должно совпадать с местом, где вам нужно установить корневой сертификат.

Если импорт был инициирован из другого раздела хранилища сертификатов, то с помощью кнопки "Обзор" выберите хранилище Доверенные корневые центры сертификации и нажмите "Далее>" .

Затем подтвердите, что работа с мастером завершена, нажав кнопку "Готово".

Затем нажмите кнопку Да.

И, наконец, кнопка "ОК".

Чтобы проверить правильность своих действий, перейдите в окно Сертификаты, перейдите на вкладку Доверенные корневые центры сертификации и в конце списка найдите корневой сертификат вы только что установили.

Откройте окно "Информация о сертификате", нажав кнопку "Просмотр".
Убедитесь, что сертификат действителен и срок его действия заканчивается 10.03.2035

Как разработчикам, иногда необходимо создавать самозаверяющие сертификаты на наших серверах, но это раздражает каждый раз, когда вы посещаете страницу, и вам приходится щелкать экран с предупреждением о конфиденциальности Chrome.

К счастью, есть простой способ сделать так, чтобы ваша копия Chrome всегда доверяла вашему собственному SSL-сертификату.

Обратите внимание: вы можете просмотреть нашу предыдущую запись в блоге о том, как создать самозаверяющий сертификат "SAN", который требуется для автоматического принятия Chrome.

Как сказано выше, убедитесь, что ваш самозаверяющий сертификат настроен с использованием "SAN" или "Альтернативных имен субъекта". Несколько версий назад Chrome решил, что он сможет доверять только самозаверяющим сертификатам, настроенным таким образом. Для справки: на момент написания этой статьи я использую Chrome 77.

Шаг первый

Посетите свой сайт и увидите обычное предупреждение о самозаверяющем сертификате. Нажмите значок предупреждения «Небезопасно» в верхней адресной строке:

Шаг второй

Выберите ссылку "Сертификат" во всплывающем окне:

Шаг третий

В открывшемся окне перейдите на вкладку Подробности и нажмите кнопку Копировать в файл. Это также может выглядеть как «Сохранить в файл» или что-то подобное:

Шаг четвертый

Шаг пятый (импорт сертификата в настройки Chrome)

Шаг шестой

Найдите только что сохраненный файл. Вам, вероятно, потребуется выбрать «Все файлы» в качестве фильтра, чтобы он отображался. После этого нажмите кнопку "Далее".

На следующем экране нажмите Обзор, где вас спросят, куда поместить сертификат. Выберите «Доверенные корневые центры сертификации», затем нажмите «ОК» и «Далее». Вы получите предупреждение системы безопасности, просто нажмите Да, вы действительно хотите установить сертификат. В конце концов, это ваш собственный самоподписанный сертификат!

Шаг восьмой (заключительный!)

Хорошо, наконец-то все готово! Полностью закройте Chrome и все его окна, затем снова запустите его и посетите свой сайт. Вы должны иметь возможность посещать свой сайт вообще без предупреждений.

Само собой разумеется, что это работает только на вашем собственном компьютере. Но если вы потратите эти 5 минут, то впоследствии сэкономите массу времени.

Читайте также: