MBEDTLS生成的Chrome拒绝证书

Question

我用的是mbedtls 2.16.3。我使用mbedtls库创建两个级别的证书，并使用证书设置https通信。根证书(也称为CA)是一个使用ECC secp256r1的自签名证书.设备认证由根证书签名，关键算法是ECC secp256r1。我在OS系统和Firefox认证管理器中安装了根认证。在收到证书后，Chrome将显示“证书未知”(铬版本为86.0.4240.75)

wireshark显示如下：Wireshark字幕

铬如下所示：

NET::ERR_CERT_INVALID主题: 10.9.1.67发布者:WebServer根过期日期: 2021/10/13当前日期: 2020/10/19 PEM编码链：

-开始证书- MIIBejCCAR6gAwIBAgISANm85JYVS9N1992FvOfHxhsAMAwGCCqGSM49BAMCBQAw JzELMAkGA1UEBhMCQ04xGDAWBgNVBAMMD1dlYiBTZXJ2ZXIgUm9vdDAeFw0yMDEw MTYwMTIzMTdaFw0yMTEwMTMwMjQyNDRaMCExCzAJBgNVBAYTAkNOMRIwEAYDVQQD DAkxMC45LjEuNjcwWTATBgcqhkjOPQIBBggqhkjOPQMBBwNCAATdpywNJKmMvDr2 esvqe9CVhjhQDgzzUo6WhMD91CosNJhkDtkMAbexQkq/je6IQyZABxFkiDMweLWe uJR3rTbNoy4wLDAPBgNVHREECDAGhwQKCQFDMAkGA1UdEwQCMAAwDgYDVR0PAQH/ BAQDAgOoMAwGCCqGSM49BAMCBQADSAAwRQIgPRgDnfR7NIXfUlvaUyDtsIJDUGV2 BFKf7wxElxfbKDICIQDpVu5Ty9tZznQeuch+5LV0vDqXm6EWg+Viv6w5O59QIg== -结束证书

-开始证书- MIIBdDCCARigAwIBAgIRfRupqU8vSJw2LfGv1LSuXwAwDAYIKoZIzj0EAwIFADAn MQswCQYDVQQGEwJDTjEYMBYGA1UEAwwPV2ViIFNlcnZlciBSb290MB4XDTIwMTAx NjA5MjMxNloXDTQwMTAxNjA5MjMxNlowJzELMAkGA1UEBhMCQ04xGDAWBgNVBAMM D1dlYiBTZXJ2ZXIgUm9vdDBZMBMGByqGSM49AgEGCCqGSM49AwEHA0IABMZaKSeR hoDgIeVbNkBYY0/n7z4JD+y+bZBXuDsFzYbz4odAe2C3WxpJ7fUw6sOCs1jpy8mv neV1sRH3KXEXqNOjIzAhMA8GA1UdEwQIMAYBAf8CAQAwDgYDVR0PAQH/BAQDAgKE MAwGCCqGSM49BAMCBQADSAAwRQIgPa8BVP5Bt2YLQ3DHEbGsg79nJbtTSAKmAPaa 5NLEIEcCIQCENcnKEdTKV0L/1c3evynH/hP97mid58trLgBRlFU3Dw== -结束证书

，但该认证在Firefox/Edge.上运行良好

，如果我将自签名证书更改为RSA 1024，则Chrome中的https连接是可以的.。

Answer 1

这个问题有一个非常迅速的解决办法。功能: mbedtls_asn1_write_algorithm_identifier of asn1write.cpp，只需删除code:MBEDTLS_ASN1_CHK_ADD的这一行( len，mbedtls_asn1_write_null( p，start ) )；