2015-07-02 87 views
1

Tomcat應用與ERR_CERT_AUTHORITY_INVALID自簽名證書導致Chrome瀏覽器在ERR_CERT_AUTHORITY_INVALID自簽名證書導致Chrome瀏覽器

我已經設置了HTTPS和Tomcat應用程序創建的自簽名證書。但是,當我連接到URL時,我收到一條ERR_CERT_AUTHORITY_INVALID消息。

的https:// {} remote_host_name:8443/

我已經按照Tomcat的網站,SSL和自簽名證書(https://tomcat.apache.org/tomcat-7.0-doc/ssl-howto.html#Edit_the_Tomcat_Configuration_File)上的說明。一個區別是,我連接到遠程主機,而不是本地主機,雖然我不認爲這應該重要。

這是一個測試環境,但很遺憾,我無法在測試主機的瀏覽器中爲證書添加例外,因爲它們會在每次測試運行時創建新的FF配置文件。

這裏是我用來創建自簽名證書的命令:

./keytool -genkey -keyalg RSA -alias tomcat -keystore /var/tomcat/.keystore -storepass changeit -validity 360 -keysize 2048 

這裏是我的Tomcat的server.xml連接器信息:

Connector port="8443" protocol="org.apache.coyote.http11.Http11NioProtocol" 
maxThreads="150" SSLEnabled="true" scheme="https" secure="true" 
clientAuth="false" sslProtocol="TLS" 
keystoreFile="/var/tomcat/.keystore" 
keystorePass="changeit" 
  • 是否配置在只有在本地主機上運行Tomcat時,Tomcat doc才能用於自簽名證書?
  • 解決此問題的最佳方法是什麼?

回答

4

Tomcat應用與ERR_CERT_AUTHORITY_INVALID自簽名證書導致Chrome瀏覽器

當然它中。您的tomcat服務器向瀏覽器呈現證書,該證書不是由瀏覽器信任的證書代理機構(即瀏覽器或操作系統附帶的)頒發的證書。因此,瀏覽器沒有理由相信證書並抱怨。

如果瀏覽器不檢查它是否信任證書的頒發者,這將意味着它會信任由任意人發佈的任何證書,其中包括攻擊者發佈的證書。你真的想要這個嗎?

要使用自簽名證書,您必須在每個瀏覽器中明確接受該證書爲可信,但當然只有在手動驗證了證書的指紋以確保沒有人篡改連接之後。沒有服務器端重新配置可以使瀏覽器自動信任這樣的自簽名證書。跳過這一步的唯一方法是使用由瀏覽器已經信任的證書代理機構頒發的證書。

+0

一個很好的例子是從某個任意站點執行POST到本地機器(模擬對該站點的注入攻擊,將被盜信息發送到您的服務器)。如果瀏覽器沒有介入對用戶進行仔細檢查,那麼這種注入意味着信息竊取非常容易。 Chrome的消息是適當的:「攻擊者可能試圖從{url}(例如,密碼,消息或信用卡)竊取您的信息。NET :: ERR_CERT_AUTHORITY_INVALID」 –