WINDOWS JUN / 2017 Windows Server 2012
J'ai suivi la réponse de @Brad Parks. Sous Windows, vous devez importer rootCA.pem dans le magasin Trusted Root Certificates Authorities.
J'ai fait les étapes suivantes:
openssl genrsa -out rootCA.key 4096
openssl req -x509 -new -nodes -key rootCA.key -newkey rsa:4096 -sha256 -days 1024 -out rootCA.pem
openssl req -new -newkey rsa:4096 -sha256 -nodes -keyout device.key -out device.csr
openssl x509 -req -in device.csr -CA rootCA.pem -CAkey rootCA.key -CAcreateserial -out device.crt -days 2000 -sha256 -extfile v3.ext
Où v3.ext est:
authorityKeyIdentifier=keyid,issuer
basicConstraints=CA:FALSE
keyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment
subjectAltName = @alt_names
[alt_names]
DNS.1 = localhost
IP.1 = 192.168.0.2
IP.2 = 127.0.0.1
Ensuite, dans mon cas, j'ai une application web auto-hébergée, j'ai donc besoin de lier le certificat avec l'adresse IP et le port, le certificat doit être sur MON magasin avec des informations de clé privée, j'ai donc exporté au format pfx.
openssl pkcs12 -export -out device.pfx -inkey device.key -in device.crt
Avec la console mmc (Fichier / Ajouter ou supprimer des composants logiciels enfichables / Certificats / Ajouter / Compte d'ordinateur / Ordinateur local / OK), j'ai importé un fichier pfx dans le magasin personnel.
Plus tard, j'ai utilisé cette commande pour lier le certificat (vous pouvez également utiliser l'outil HttpConfig):
netsh http add sslcert ipport=0.0.0.0:12345 certhash=b02de34cfe609bf14efd5c2b9be72a6cb6d6fe54 appid={BAD76723-BF4D-497F-A8FE-F0E28D3052F4}
certhash = certificat Thumprint
appid = GUID (votre choix)
J'ai d'abord essayé d'importer le certificat "device.crt" sur les autorités de certification racines de confiance de différentes manières, mais j'obtiens toujours la même erreur:
Mais j'ai réalisé que je devais importer un certificat d'autorité racine et non un certificat pour le domaine. J'ai donc utilisé la console mmc (Fichier / Ajouter ou supprimer des composants logiciels enfichables / Certificats / Ajouter / Compte d'ordinateur / LocalComputer / OK) J'ai importé rootCA.pem dans le magasin Trusted Root Certificates Authorities.
Redémarrez Chrome et voilà, cela fonctionne.
Avec localhost:
Ou avec adresse IP:
La seule chose que je n'ai pas pu réaliser, c'est qu'il a un chiffrement obsolète (carré rouge sur la photo). Une aide est appréciée sur ce point.
Avec makecert, il n'est pas possible d'ajouter des informations SAN. Avec New-SelfSignedCertificate (Powershell), vous pouvez ajouter des informations SAN, cela fonctionne également.