Создать свой сертификат для localhost
 

Здравствуйте!

У нас на ПК работает своя служба.
Для работы с настройками этой службы используется браузер и подключается к адресу localhost.
Мы используем Google Chrome.

Подключение идет на адрес https://localhost/.
И при первом подключении всегда выдается ошибка:
"Ваше подключение не защищено..."
Приходится каждый раз нажимать кнопку "Дополнительно" и далее нажимать "Перейти на сайт".

Хочется сделать так, чтобы это сообщение не появлялось.
В интернете прочитал, что для этого нужно сделать свой сертификат для localhost.

Подскажите, пожалуйста, как это делается?

ES, попробуйте в хроме выставить флаг: chrome://flags/#allow-insecure-localhost

никакой "свой сертификат" не поможет, потому что смысл сертификатов в стороннем аудиторе
(разве что у вас в рамках организации свой центр сертификации, явно прописанный на всех компьютерах)

Какой-то сертификат там уже есть.
У него всё в рамках локалхоста, так что добавить CA в доверенные на этом компе и всё станет окей. Разумеется, добавив в сертификат SAN localhost, если ещё не.
В принципе, зачем вообще сертификат на локалхосте неясно - трафик-то дальше машины никуда не уходит. Разве что при разработке, чтобы приблизить условия к боевым.

А как это делается?
Что такое "CA"?
Что такое "SAN localhost"?

Это специальная служба, которая работает на сервере.
К этой службе посылаются запросы от других компьютеров через интернет, служба отправляет им ответы.

Для администрирования и настройки этой службы администраторы подключаются к серверу по RDP и входят в режим настройки службы.
Режим настройки - это вход на localhost в браузере.

Вот описание этого флага:
То есть, как я понял, этот флаг разрешает запросы на localhost, если имеется неверный сертификат.
Но у нас другая ситуация: у нас вообще никакого сертификата нету.

Запросив новый сертификат у центра сертификации, в случае самоподписного - создать свой новый сертификат и установить его на сервер.
Certificate Authoruty = центр сертификации, в данном контексте доверенный корневой сертификат.
Subject Alternative Name = альтернативное имя субъекта сертификации.
Есть. Без сертификата HTTPS не работает вообще. Значит какой-то да есть, хоть snakeoil или ещё какая пустышка.
У этой специальной службы есть название? Это какой-то вебсервер, по крайней мере на фронте.

Где его можно посмотреть?

Название ничего не скажет.
Это узкопрофильный программный продукт.

openssl s_client -connect localhost:443
Или просто в хроме мышкой на красный значок слева от адресной строки "Ненадёжный" и ниже "Сертификат (недействительный)", далее "подробнее".

Да, действительно, у нас используется самоподписанный сертификат.

Как я понял, этот сертификат распространяется в дистрибутиве этой службы, и устанавливается в систему при инсталляции службы.
И получается: нам надо создать свой "корневой" сертификат, который будет удостоверять этот самоподписанный сертификат.
Правильно я понимаю?

Тогда вопрос такой: а почему фирма-разработчик этой службы сразу не может сделать и самоподписанный сертификат и удостоверяющий сертификат?

Здесь также есть сообщение:
"Вы отключили предупреждение системы безопасности для этого сайта." и далее ссылка "Снова включить предупреждения".

Но я ничего не отключал.
Что значит это сообщение?
И что делает Chrome когда я нажимаю "Снова включить предупреждения"? Где он включает эти предупреждения? Где находится эта настройка?

А этак команда не сработала.
Пишет: "openssl не является внутренней или внешней командой"

Этого не достаточно, чтобы избавиться от предупреждения, как я уже говорил, самоподписной сертификат CA нужно поместить в доверенные. В винде это Trusted Root Certification Authorities.
Также необходимо (и это я тоже уже говорил), чтобы FQDN или IP ресурса, к которому вы обращаетесь (в вашем случае localhost) присутствовало в CN или SAN. Кстати, проверьте, может поставщик не настолько ленив, как вы думаете и таки прописал localhost. Это будет видно на закладке "подробнее" почти в самом низу "Альтернативное имя субъекта (2.5.29.17)".
Наверное, это из-заПо русски же пишет врорде. :) Нет, значит нет. Я-то как админ привык, что некий набор привычных инструментов есть всегда под рукой, забываю, что они есть не у всех. Это бесплатная программа, не помню правда, портировали ли её в винду.
Тогда самым правильным будет обратиться с вашей просьбой к его разработчику/поставщику/поддержке.

Это я сделал в первую очередь.
Только их техподдержка работает не очень активно, и ответ был такой: можно добавить свой действительный сертификат.
А как это делается - они считают, что это уже мои проблемы.
А я в этом плохо разбираюсь.

Нет, я этот флаг не менял.

Я попробовал сделать это с моим сертификатом.
Но у него нету кнопки "Install certificate".

Нету такого поля в моем сертификате.

----
Что-то я запутался...
Давай еще раз, пожалуйста.

Итак, чтобы у меня все заработало мне нужно два сертификата.
Один сертификат - корневой, и второй сертификат - "рабочий" (кстати как он правильно называется?).
"Рабочий" сертификат вроде бы есть - он был в дистрибутиве - это два файла с именем user.crt и user.key.

Объясните пожалуйста.
Для чего используется этот "рабочий" сертификат? И зачем еще нужен корневой?
Почему разработчик сделал только один сертификат, а не сделал сразу два сертификата?
А может быть это у нас корневой сертификат?
Как понять какой у нас сертификат: "рабочий" или корневой?

Скачал, выполнил.
Вот что мне вернула эта команда: в прикрепленных файлах

Покажите вывод openssl x509 -in user.crt -text -noout
Ну или просто выложите файл, я сам посмотрю. Конфиденциальной инфы там нету, а вот ключ (user.key) не показывайте никому! Хотя уже то, что он поставлялся с дистрибутивом, говорит о том, что он скомпрометирован... впрочем, это сейчас не важно.

Цифровые сертификаты слишком большая тема, чтобы её на пальцах объяснить. Попробуйте изучить её самостоятельно – инфа общедоступна.

Во вложенном файле

Ответьте, пожалуйста, хотя бы на последний вопрос: мой сертификат - это корневой или нет?
И как это определить?

Нет. Он подписан самоподписным корневым сертификатом C=RU, ST=Samara, L=city, O=ATOL, OU=CRI, CN=ROOT
SAN также нет, всё что есть – CN=501

Кстати, в user.crt точно один сертификат?

Как это узнать?

Как его добавить?

А что такое "501"?

Сертификат в pem-формате начинается строкой
и заканчивается
Между этими строками ровно один сертификат.
Уже говорил.
Common Name субъекта сертификации. Ну вот такое вам сделали.

UPD Вот простая хавтушка, как создать свою CA и подписать ею сертификат. Единственно, там не показано, как добавлять SAN в свой сертификат. Но там ничего сложного, вам следует лишь создать текстовый файл такого содержания:
И модифицировать команду подписи сертификата, чтобы он подхватил данные из этого файла (я назвал его x509v3.txt):
Проверяем

- всё в порядке. Теперь осталось закинуть rootCA.crt Trusted Root CA и установить новые сертификат с ключом в ваше мега-приложение.

Да, значит в моем файле только один сертификат.

Вы говорили, что надо добавить, а как это делать - перечитал тему - не нашел.

А если разработчик пришлет нам этот корневой сертификат, мы его добавим в систему.
Это возможно? Это решит проблему?

И все-таки по каким признакам отличается не-корневой сертификат (который у нас) от корневого?
На что надо смотреть, чтобы их отличить?

Я апдейтнул пост.
Возможно. Нет, не решит. Поскольку CN у вас 501, то и добавление в hosts записи, указывающей на 127.0.0.1 не решит, так как стандарт запрещает использовать в именах только цифры. Хотя ему не все следуют, не знаю как в винде, но на маке у меня не сработало.
Корневой сертификат подписан сам собой. Примерно так это выглядит:
Соответственно некорневой (промежуточный или "листовой") сертификат подписан сертификатом, стоящим выше в цепочке.

Ага, значит это косяк производителя ПО?
Если бы они нас назвали в сертификате например "А501", и вместе с "рабочим" сертификатом предоставили бы свой корневой сертификат, то это решило бы проблему?

Вариант 1: добавьте уже существующий кривой сертификат в "Доверенные корневые".
Вариант 2: запускайте Хром с ключом --ignore-certificate-errors (не рекомендуется).

Косяк поставщика уже в том, что ключ и сертификат он создал за вас – это грубейшее нарушение принципов асимметричного шифрования (главным образом создание приватного ключа левыми людьми). Да, понятно, что в работе с сертификатами заказчик может и не разбираться, поэтому поставщику проще слепить тяп-ляп, но это неправильно. Впрочем, как я уже показал, в этом нет ничего сложного, когда разберёшься. Серверный софт, использующий шифрованный канал передачи вроде SSL/TLS, часто поставляется с bogus сертификатами. Создание (или в случае "настоящих" сертификатов – запрос на подпись у центра сертификации) и установка сертификатов – это забота пользователя, а не производителя. Иногда этим занимается интегратор, если у заказчика нет ресурсов для самостоятельной настройки сложного ПО, но такие вещи нужно сразу оговаривать. "Неправильный" сертификат-затычка не блокирует работу ПО, а лишь мозолит глаз красным значком и заставляет делать два лишних клика. Большинство юзеров на такую мелочь просто не обращают внимания.
Только вам пришлось бы ещё прописать в hosts 127.0.0.1 a501 и обращаться по адресу https://a501. Но это может не сработать, если сервер настроен проверять доменное имя, по которому к нему обращаются.

Так что долбите поддержку, проинструктировать, как устанавливать ваш собственный сертификат они просто обязаны. Если это не описано в документации (что неправильно, но увы вполне обычно для узконишевых продуктов). Что вам сразу не рассказали – это нормально, на первой линии сидят не великого ума и знаний люди, отвечающие тупо по опроснику, а если вопрос не входит в опросник, то и ответить на него не способны. Настойчиво попросите их эскалировать ваш вопрос к тому, кто владеет нужной информацией.

Так он же не корневой?

Под сервером здесь что имеется ввиду?
Эта служба?

Да.

Мне еще не совсем понятен механизм обмена с помощью этих сертификатов.

Используя сертификат, браузер отправляет зашифрованные сообщения службе.
Служба читает эти сообщения, расшифровывая их при помощи закрытого ключа, который соответствует сертификату.
А где служба хранит этот закрытый ключ? И откуда он берется этот закрытый ключ?

Там всё гораздо сложнее, но принцип верно уловлен.
В месте, для неё доступном. Вы же сами упоминали выше, что есть два файла – user.crt и user.key. Первый сертификат, второй – его ключ. Может они интегрируются в какое-то своё хранилище службы – мне неизвестно. Например, у java свой keyring.
Его генерируешь ты, при помощи утилиты, посредством сложного алгоритма на базе генератора псевдослучайных чисел. Обычно используется неоднократно упомянутая утилита openssl. Вы ту микростатью на хабре прочитали, что я давал?
Первый шаг - генерируешь ключ.
Второй, если создаёшь корневой сертификат – создаёшь его при помощи только что сгенерированного ключа. На этом всё для этой пары.
Если сертификат не корневой, то создаёшь запрос на подпись при помощи своего ключа и передаёшь его (запрос, Certificate Signing Request, CSR) в центр сертификации. Там его подписывают и выдают тебе готовый сертификат. Само собой, в случае самоподписного сертификата, в роли центра сертификации высутпаешь ты сам со своим корневым сертификатом.