假设您使用的是Mac OSX，您也可以在Safari中打开相关的URL；说https://localhost:8080/css/app.css，允许证书。重新启动Chrome，它就会工作。

我也遇到了同样的问题：我已将证书安装到Windows的Trusted Root Authorities存储中，但Chrome仍然拒绝证书，错误为ERR_CERT_COMMON_NAME_INVALID。请注意，当证书未正确安装在存储中时，错误为ERR_CERT_AUTHORITY_INVALID。

正如错误名称、此注释和此问题所暗示的，问题在于证书中声明的域名。当生成证书时提示输入“CommonName”时，我必须输入用于访问站点的域名（在我的情况下是localhost）。我使用重新启动了Chromechrome://restart它终于对这个新证书感到满意。

在Mac上，您可以通过执行以下操作创建一个在系统级别完全受Chrome和Safari信任的证书：

# create a root authority cert
./create_root_cert_and_key.sh

# create a wildcard cert for mysite.com
./create_certificate_for_domain.sh mysite.com

# or create a cert for www.mysite.com, no wildcards
./create_certificate_for_domain.sh www.mysite.com www.mysite.com

上面使用了以下脚本和支持文件v3.ext，以避免主题替代名称丢失错误

如果您想使用自己的根权限创建一个完全受信任的新的自签名证书，可以使用这些脚本。

创建root_cert_and_key.sh

#!/usr/bin/env bash
openssl genrsa -out rootCA.key 2048
openssl req -x509 -new -nodes -key rootCA.key -sha256 -days 1024 -out rootCA.pem

为域.sh创建证书

#!/usr/bin/env bash

if [ -z "$1" ]
then
  echo "Please supply a subdomain to create a certificate for";
  echo "e.g. www.mysite.com"
  exit;
fi

if [ ! -f rootCA.pem ]; then
  echo 'Please run "create_root_cert_and_key.sh" first, and try again!'
  exit;
fi
if [ ! -f v3.ext ]; then
  echo 'Please download the "v3.ext" file and try again!'
  exit;
fi

# Create a new private key if one doesnt exist, or use the xeisting one if it does
if [ -f device.key ]; then
  KEY_OPT="-key"
else
  KEY_OPT="-keyout"
fi

DOMAIN=$1
COMMON_NAME=${2:-*.$1}
SUBJECT="/C=CA/ST=None/L=NB/O=None/CN=$COMMON_NAME"
NUM_OF_DAYS=825
openssl req -new -newkey rsa:2048 -sha256 -nodes $KEY_OPT device.key -subj "$SUBJECT" -out device.csr
cat v3.ext | sed s/%%DOMAIN%%/"$COMMON_NAME"/g > /tmp/__v3.ext
openssl x509 -req -in device.csr -CA rootCA.pem -CAkey rootCA.key -CAcreateserial -out device.crt -days $NUM_OF_DAYS -sha256 -extfile /tmp/__v3.ext 

# move output files to final filenames
mv device.csr "$DOMAIN.csr"
cp device.crt "$DOMAIN.crt"

# remove temp file
rm -f device.crt;

echo 
echo "###########################################################################"
echo Done! 
echo "###########################################################################"
echo "To use these files on your server, simply copy both $DOMAIN.csr and"
echo "device.key to your webserver, and use like so (if Apache, for example)"
echo 
echo "    SSLCertificateFile    /path_to_your_files/$DOMAIN.crt"
echo "    SSLCertificateKeyFile /path_to_your_files/device.key"

v3.ext版本

authorityKeyIdentifier=keyid,issuer
basicConstraints=CA:FALSE
keyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment
subjectAltName = @alt_names
    
[alt_names]
DNS.1 = %%DOMAIN%%

另一步-如何在Chrome/Safari中完全信任自签名证书

若要在Chrome和Safari中完全信任自签名证书，您需要将新的证书颁发机构导入Mac。要做到这一点，请遵循以下说明或mitmproxy网站上有关此一般流程的更详细说明：

您可以在命令行使用以下两种方法之一执行此操作，该命令将提示您输入密码：

$ sudo security add-trusted-cert -d -r trustRoot -k /Library/Keychains/System.keychain rootCA.pem

或使用Keychain Access应用程序：

打开钥匙链访问在“钥匙链”列表中选择“系统”在“类别”列表中选择“证书”选择“文件|导入项目…”浏览到上面创建的文件“rootCA.pem”，选择它，然后单击“打开”在“证书”列表中选择新导入的证书。单击“i”按钮，或右键单击证书，然后选择“获取信息”展开“信任”选项将“使用此证书时”更改为“始终信任”关闭对话框，系统将提示您输入密码。关闭并重新打开使用目标域的所有选项卡，它将被安全加载！

另外，如果您需要java客户端信任证书，可以通过将证书导入到java密钥库来实现。注意，如果证书已经存在，这将从密钥库中删除证书，因为它需要在情况发生变化时更新它。当然，它只对正在导入的证书执行此操作。

import_certs_in_current_folder_into_java_keystore.sh

KEYSTORE="$(/usr/libexec/java_home)/jre/lib/security/cacerts";

function running_as_root()
{
  if [ "$EUID" -ne 0 ]
    then echo "NO"
    exit
  fi

  echo "YES"
}

function import_certs_to_java_keystore
{
  for crt in *.crt; do 
    echo prepping $crt 
    keytool -delete -storepass changeit -alias alias__${crt} -keystore $KEYSTORE;
    keytool -import -file $crt -storepass changeit -noprompt --alias alias__${crt} -keystore $KEYSTORE
    echo 
  done
}

if [ "$(running_as_root)" == "YES" ]
then
  import_certs_to_java_keystore
else
  echo "This script needs to be run as root!"
fi

更新11/2017：这个答案可能不适用于大多数较新版本的Chrome。更新02/2016:Mac用户的更好说明可以在这里找到。

在要添加的站点上，右键单击地址栏中的红色锁定图标：单击标记为“连接”的选项卡，然后单击“证书信息”单击“详细信息”选项卡，然后单击“复制到文件…”按钮。。。。这将打开证书导出向导，单击下一步进入导出文件格式屏幕。选择DER编码二进制X.509（.CER），单击“下一步”单击浏览。。。并将文件保存到计算机。给它起个描述性的名字。单击下一步，然后单击完成。打开Chrome设置，滚动到底部，然后单击显示高级设置。。。在HTTPS/SSL下，单击管理证书。。。单击受信任的根证书颁发机构选项卡，然后单击导入。。。按钮这将打开证书导入向导。单击“下一步”进入“要导入的文件”屏幕。单击浏览。。。并选择先前保存的证书文件，然后单击“下一步”。选择将所有证书放置在以下存储中。所选存储应为受信任的根证书颁发机构。如果不是，请单击浏览。。。然后选择它。单击“下一步”并完成单击安全警告上的“是”。重新启动Chrome。

2021 6月-Windows 10-Chrome v91（SIMPLE）

按照selfsignedcertificate.com上的证书生成说明进行操作：

示例域名：mydomain.local，请将其替换为您的域名。

要生成密钥，请执行以下操作：openssl genrsa-out mydomain.local.key 2048创建仅包含以下内容的配置文件mydomain.local.conf：[要求]区分名称=请求[桑]subjectAltName=DNS:mydomain.local注意：在subjectAltName中，您可以定义更多域（可选），如：subjectAltName=DNS:mydomain.local，DNS:*.mydomain.local，DNS：其他域.local，IP:192.168.1.10创建证书：openssl req-new-x509-key mydomain.local.key-out mydomain.local.crt-days 3650-subj/CN=mydomain.local-extensions SAN-config mydomain.local.conf将证书添加到受信任的根证书颁发机构右键单击mydomain.local.crt文件从上下文菜单中选择安装证书。在弹出窗口中选择本地机器。选择“将所有证书放置在以下存储中”。单击浏览。选择受信任的根证书颁发机构。单击“确定”、“下一步”、“完成”。重新启动Chrome。

好的，假设你已经创建了一个“有效”的自签名证书。它正确安装在chrome ver 94上。但是当您访问该站点时，您不会得到ssl锁，并且会出现“无效的证书颁发机构”错误。事实上，它是一个有效的证书。但是如果你没有正确浏览网站，你会收到这个错误。我的证书的DNS是DNS1:TFDM，DNS2:TFDM.local，DNS3:172.31.42.251，DNS4:192.168.20.50。

我正在浏览192.168.20.50，它不安全（锁定）。问题是，证书是针对DNS1:TFDM的。因此，我必须输入/etc/hosts文件（centos7）192.168.20.50 TFDM进行解析，然后浏览https://TFDM.问题已解决。您必须正确浏览网站。我以为它会在服务器端解决，但必须在客户端解决。这很容易被忽视，如果其他一切都正确，这可能是你的问题。覆盖安全性和ssl功能会带来麻烦，我认为没有合适的解决方案。如果应用正确，并且遵循Chrome不断更改的规则，自签名证书就可以工作。