好的，假设你已经创建了一个“有效”的自签名证书。它正确安装在chrome ver 94上。但是当您访问该站点时，您不会得到ssl锁，并且会出现“无效的证书颁发机构”错误。事实上，它是一个有效的证书。但是如果你没有正确浏览网站，你会收到这个错误。我的证书的DNS是DNS1:TFDM，DNS2:TFDM.local，DNS3:172.31.42.251，DNS4:192.168.20.50。

我正在浏览192.168.20.50，它不安全（锁定）。问题是，证书是针对DNS1:TFDM的。因此，我必须输入/etc/hosts文件（centos7）192.168.20.50 TFDM进行解析，然后浏览https://TFDM.问题已解决。您必须正确浏览网站。我以为它会在服务器端解决，但必须在客户端解决。这很容易被忽视，如果其他一切都正确，这可能是你的问题。覆盖安全性和ssl功能会带来麻烦，我认为没有合适的解决方案。如果应用正确，并且遵循Chrome不断更改的规则，自签名证书就可以工作。

在Windows 10上进行本地测试时，上面的答案对我没有帮助

https://localhost:<端口>。

然而，我找到了这个页面，指示要传递的另一个标志：

https://www.chromium.org/blink/serviceworker/service-worker-faq

如果您想在https://localhost使用自签名证书，请执行以下操作：$ ./chrome—允许不安全的本地主机https://localhost

这并没有消除红色警告，但它确实使我能够使用仅限https的功能，如服务工作者和网络推送通知。

mkdir CA
openssl genrsa -aes256 -out CA/rootCA.key 4096
openssl req -x509 -new -nodes -key CA/rootCA.key -sha256 -days 1024 -out CA/rootCA.crt

openssl req -new -nodes -keyout example.com.key -out domain.csr -days 3650 -subj "/C=US/L=Some/O=Acme, Inc./CN=example.com"
openssl x509 -req -days 3650 -sha256 -in domain.csr -CA CA/rootCA.crt -CAkey CA/rootCA.key -CAcreateserial -out example.com.crt -extensions v3_ca -extfile <(
cat <<-EOF
[ v3_ca ]
subjectAltName = DNS:example.com
EOF
)

对于Fedora、Ubuntu、Linux，如果您在使用gui添加证书以添加新的根权限时遇到example.com Not a Certification authority错误。如果您希望信任服务器自签名证书，它不能提及无效的授权。。。即使这是它自己。我只通过信任我的权限并使用该权限密钥对服务器证书进行签名来使其工作。

这是它接受的自签名CA证书。这是我找到绕过cert_authority_invalid的唯一方法，我花了几个小时试图让它接受一个自签名的端点证书，没有雪茄。只要声明为CA:TTRUE，用户界面将接受自签名授权。之后，chrome将接受由具有正确DN的密钥签名的所有证书，而无需单独添加它们。

openssl req-new-x509-extensions v3_req-days 8440-config ca.conf-key rockstor.key-out rockstor.cert

[req]
distinguished_name=dn
req_extensions=v3_req
prompt = no

[v3_req]
basicConstraints=CA:TRUE,pathlen:0
keyUsage = keyEncipherment, dataEncipherment
extendedKeyUsage = serverAuth, clientAuth
subjectAltName=@alt_names

[alt_names]
DNS.1 = ca.tdpowerskills.com

[dn]
C = US
ST = LA
L = Alexandria
O = TDPS Certification Authority
OU = LEARNOPS
CN = ca.tdpowerskills.com

openssl req-new-x509-extensions v3_req-days 8440-config config.conf-key rockstor.key-out rockstor.cert

[req]
distinguished_name=dn
req_extensions=v3_req
prompt = no

[v3_req]
basicConstraints=CA:FALSE
keyUsage = keyEncipherment, dataEncipherment
extendedKeyUsage = serverAuth, clientAuth
subjectAltName=@alt_names
issuerAltName=DNS:ca.tdpowerskills.com

[alt_names]
DNS.1 = big.tdps.app

[dn]
C = US
ST = LA
L = Alexandria
O = TDPS Certification Authority
OU = LEARNOPS
CN = ca.tdpowerskills.com

如果这不起作用：

chrome://restart实际重新启动尝试使用firefox获取有关错误的更多详细信息，它会更好地解释错误。。。当chrome会说ERR_CERTIFICATE_INVALID时，firefox会抛出：MOZILLA_PKIX_ERROR_CA_CERT_USED_AS_END_ENTITY。请记住，chrome现在需要Subject Alternate Name，并且几乎忽略CN。

对于其他人：

certutil-d sql:$HOME/.pki/nssdb-A-t“P，，”-n＜昵称＞-i＜my.crt＞//用于服务器支持certutil-d sql:$HOME/.pki/nssdb-A-t“C，，”-n＜昵称＞-i＜my.crt＞用于CAhttps://blogs.oracle.com/meena/about-trust-flags-of-certificates-in-nss-database-that-can-be-modified-by-certutil对于Firefox，添加异常证书的UI确实有效，一旦你这样做，它就会信任它。也许您在/etc/pki/tls/openssl.cnf中有一些时髦的设置，这些设置与您的配置合并在一起。也许您没有向配置或命令行添加扩展，例如v3_req注意，我的方法只需使用授权密钥签署证书并添加开发服务器的详细信息，就不需要CSR。CSR允许更多密钥用于实际安全。我尝试了一切，但chrome需要具有基本约束CA:true集的权限。服务器证书必须由有效的授权机构签名。。。即使这只是他们用CA签名的另一个证书：true。

正如有人指出的，你需要重启所有的Chrome，而不仅仅是浏览器窗口。最快的方法是打开一个选项卡。。。

chrome://restart

当单击URL旁边的小划掉的锁定图标时，您将看到一个如下所示的框：

单击证书信息链接后，您将看到以下对话框：

它告诉哪个证书存储是正确的，它是受信任的根证书颁发机构存储。

您可以使用其他答案中列出的方法之一将证书添加到该存储，也可以使用：

certutil -addstore -user "ROOT" cert.pem

ROOT是前面提到的证书存储的内部名称。cert.pem是自签名证书的名称。