Chrome 58+更新（发布于2017-04-19）

从Chrome 58开始，仅使用commonName识别主机的功能被删除。证书现在必须使用subjectAltName来标识其主机。请参阅此处的进一步讨论和此处的bug跟踪器。在过去，subjectAltName仅用于多主机证书，因此一些内部CA工具不包括这些证书。

如果您的自签名证书在过去运行良好，但突然开始在Chrome 58中生成错误，这就是原因。

因此，无论您使用什么方法来生成自签名证书（或由自签名CA签名的证书），请确保服务器的证书包含具有正确DNS和/或IP条目的subjectAltName，即使它仅适用于单个主机。

对于openssl，这意味着您的openssl配置（Ubuntu上的/etc/ssl/openssl.cnf）对于单个主机应该具有类似于以下内容的内容：

[v3_ca]   # and/or [v3_req], if you are generating a CSR
subjectAltName = DNS:example.com

或对于多个主机：

[v3_ca]   # and/or [v3_req], if you are generating a CSR
subjectAltName = DNS:example.com, DNS:host1.example.com, DNS:*.host2.example.com, IP:10.1.2.3

在Chrome的证书查看器（已移动到F12下的“安全”选项卡）中，您应该看到它列在“扩展名”下作为证书主题替代名称：

对于MacOS上的Chrome，如果您准备了证书：

退出Chrome（cmd+Q）。启动Keychain Access应用程序并打开“证书”类别。将证书文件拖到Keychain Access窗口上，然后键入证书文件的密码。双击证书并展开“信任”列表。在“使用此证书时”行中，选择“始终信任”关闭此内容并键入密码。启动Chrome并清除所有缓存。检查一切是否正常。

对于使用NX的带有Angular Micro前端的mac

步骤1：创建自签名根证书

openssl req -x509 -nodes -new -sha256 -days 390 -newkey rsa:2048 -keyout "RootCA.key" -out "RootCA.pem" -subj "/C=de/CN=localhost.local"
openssl x509 -outform pem -in "RootCA.pem" -out "RootCA.crt"

步骤2：定义应包含在证书中的域和子域

为此，只需创建一个名为vhosts_domains.ext的文本文件并插入以下内容：

authorityKeyIdentifier=keyid,issuer
basicConstraints=CA:FALSE
keyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment
subjectAltName = @alt_names
[alt_names]
DNS.1 = localhost
DNS.2 = *.mixable.blog.local
DNS.3 = mixable.blog.local

此示例包括域mixeble.blog.local的本地开发环境的子域以及所有子域，如www.mixable.blog.loal或apps.mixeble.blog.local。

步骤3：创建证书

openssl req -new -nodes -newkey rsa:2048 -keyout localhost.key -out localhost.csr -subj "/C=de/ST=State/L=City/O=Organization/CN=localhost.local"
openssl x509 -req -sha256 -days 1024 -in localhost.csr -CA RootCA.pem -CAkey RootCA.key -CAcreateserial -extfile vhosts_domains.ext -out localhost.crt

步骤4：使证书可用于Angular应用程序

nx serve host --open --devRemotes=<app names> --ssl --ssl-key <folder_location>/localhost.key --ssl-cert <folder_location>/localhost.crt

步骤5：将证书从导入添加到macOS密钥链

在chrome上，如果您仍然获得无效证书，则下载证书并添加到密钥链，并使所有证书都可信。

对于测试环境

在启动chrome时，可以使用--ignore证书错误作为命令行参数（在Ubuntu上使用28.0.1500.52版本）。

这将导致它忽略错误并在没有警告的情况下连接。如果您已经运行了一个版本的chrome，则需要在从命令行重新启动之前关闭它，否则它将打开一个新窗口，但忽略参数。

我将Intellij配置为在进行调试时以这种方式启动chrome，因为测试服务器从来没有有效的证书。

不过，我不建议像这样正常浏览，因为证书检查是一项重要的安全功能，但这可能对某些人有所帮助。

我继续使用bjnord建议的方法，即：Google Chrome、Mac OS X和自签名SSL证书

博客中显示的内容不起作用。

然而，该博客的一条评论是金色的：

sudo安全添加可信证书-d-r trustRoot-k/Library/Keychains/Systemkeychain site.crt

你需要关注博客中关于如何获取cert文件的内容，然后你可以使用上面的命令，应该很好。

仅适用于本地主机

只需将其粘贴到您的铬中：

chrome://flags/#allow-insecure-localhost

您应该看到突出显示的文本：

允许从本地主机加载的资源的证书无效

单击启用。

其他站点

尝试在窗口的任何位置键入thisisnsafe，浏览器将允许您访问该页面。

-OR-

对于本地自签名证书，可以避免晦涩难懂的命令、专门知识和手动步骤，请尝试从这个答案中选择mkcert。