带有自签名证书的Tomcat应用程序在Chrome浏览器中生成ERR_CERT_AUTHORITY_INVALID。

Question

带有自签名证书的Tomcat应用程序在Chrome浏览器中生成ERR_CERT_AUTHORITY_INVALID。

我设置了一个https并创建了一个自签名证书。但是，当我连接到URL时，我会收到一条ERR_CERT_AUTHORITY_INVALID消息。

name}:8443/

我遵循了Tomcat网站上关于SSL和自签名证书( File )的说明。一个不同之处是，我连接的是远程主机，而不是本地主机，尽管我认为这不重要。

这是一个测试环境，但不幸的是，我不能在测试主机的浏览器中添加证书的异常，因为它们在每次测试运行时都会创建新的FF配置文件。

下面是用于创建自签名证书的命令：

./keytool -genkey -keyalg RSA -alias tomcat -keystore /var/tomcat/.keystore -storepass changeit -validity 360 -keysize 2048

下面是我的Tomcat server.xml连接器信息：

Connector port="8443" protocol="org.apache.coyote.http11.Http11NioProtocol"
maxThreads="150" SSLEnabled="true" scheme="https" secure="true"
clientAuth="false" sslProtocol="TLS"
keystoreFile="/var/tomcat/.keystore"
keystorePass="changeit"

• Tomcat中用于自签名证书的配置是否仅在本地主机上运行Tomcat时才能工作？
• 解决这个问题的最好方法是什么？

Answer 1

带有自签名证书的Tomcat应用程序在Chrome浏览器中生成ERR_CERT_AUTHORITY_INVALID。

当然有了。您的tomcat服务器正在向浏览器提供一个证书，该证书不是由浏览器信任的证书代理颁发的(即随浏览器或操作系统一起提供)。因此，浏览器没有理由信任证书和投诉。

如果浏览器不检查它是否信任证书的颁发者，这将意味着它将信任由任意人员颁发的任何证书，其中包括攻击者颁发的证书。你真的想要这个吗？

要使用自签名证书，您必须在每个浏览器中显式地接受证书为受信任的证书，但当然，只有在手动验证证书的指纹之后，才能确保没有人篡改连接。任何服务器端的重新配置都不能使浏览器自动信任此类自签名证书.跳过此步骤的唯一方法是使用浏览器已经信任的证书代理颁发的证书。