对于Fedora、Ubuntu、Linux，如果您在使用gui添加证书以添加新的根权限时遇到example.com Not a Certification authority错误。如果您希望信任服务器自签名证书，它不能提及无效的授权。。。即使这是它自己。我只通过信任我的权限并使用该权限密钥对服务器证书进行签名来使其工作。

这是它接受的自签名CA证书。这是我找到绕过cert_authority_invalid的唯一方法，我花了几个小时试图让它接受一个自签名的端点证书，没有雪茄。只要声明为CA:TTRUE，用户界面将接受自签名授权。之后，chrome将接受由具有正确DN的密钥签名的所有证书，而无需单独添加它们。

openssl req-new-x509-extensions v3_req-days 8440-config ca.conf-key rockstor.key-out rockstor.cert

[req]
distinguished_name=dn
req_extensions=v3_req
prompt = no

[v3_req]
basicConstraints=CA:TRUE,pathlen:0
keyUsage = keyEncipherment, dataEncipherment
extendedKeyUsage = serverAuth, clientAuth
subjectAltName=@alt_names

[alt_names]
DNS.1 = ca.tdpowerskills.com

[dn]
C = US
ST = LA
L = Alexandria
O = TDPS Certification Authority
OU = LEARNOPS
CN = ca.tdpowerskills.com

openssl req-new-x509-extensions v3_req-days 8440-config config.conf-key rockstor.key-out rockstor.cert

[req]
distinguished_name=dn
req_extensions=v3_req
prompt = no

[v3_req]
basicConstraints=CA:FALSE
keyUsage = keyEncipherment, dataEncipherment
extendedKeyUsage = serverAuth, clientAuth
subjectAltName=@alt_names
issuerAltName=DNS:ca.tdpowerskills.com

[alt_names]
DNS.1 = big.tdps.app

[dn]
C = US
ST = LA
L = Alexandria
O = TDPS Certification Authority
OU = LEARNOPS
CN = ca.tdpowerskills.com

如果这不起作用：

chrome://restart实际重新启动尝试使用firefox获取有关错误的更多详细信息，它会更好地解释错误。。。当chrome会说ERR_CERTIFICATE_INVALID时，firefox会抛出：MOZILLA_PKIX_ERROR_CA_CERT_USED_AS_END_ENTITY。请记住，chrome现在需要Subject Alternate Name，并且几乎忽略CN。

对于其他人：

certutil-d sql:$HOME/.pki/nssdb-A-t“P，，”-n＜昵称＞-i＜my.crt＞//用于服务器支持certutil-d sql:$HOME/.pki/nssdb-A-t“C，，”-n＜昵称＞-i＜my.crt＞用于CAhttps://blogs.oracle.com/meena/about-trust-flags-of-certificates-in-nss-database-that-can-be-modified-by-certutil对于Firefox，添加异常证书的UI确实有效，一旦你这样做，它就会信任它。也许您在/etc/pki/tls/openssl.cnf中有一些时髦的设置，这些设置与您的配置合并在一起。也许您没有向配置或命令行添加扩展，例如v3_req注意，我的方法只需使用授权密钥签署证书并添加开发服务器的详细信息，就不需要CSR。CSR允许更多密钥用于实际安全。我尝试了一切，但chrome需要具有基本约束CA:true集的权限。服务器证书必须由有效的授权机构签名。。。即使这只是他们用CA签名的另一个证书：true。

2021 6月-Windows 10-Chrome v91（SIMPLE）

按照selfsignedcertificate.com上的证书生成说明进行操作：

示例域名：mydomain.local，请将其替换为您的域名。

要生成密钥，请执行以下操作：openssl genrsa-out mydomain.local.key 2048创建仅包含以下内容的配置文件mydomain.local.conf：[要求]区分名称=请求[桑]subjectAltName=DNS:mydomain.local注意：在subjectAltName中，您可以定义更多域（可选），如：subjectAltName=DNS:mydomain.local，DNS:*.mydomain.local，DNS：其他域.local，IP:192.168.1.10创建证书：openssl req-new-x509-key mydomain.local.key-out mydomain.local.crt-days 3650-subj/CN=mydomain.local-extensions SAN-config mydomain.local.conf将证书添加到受信任的根证书颁发机构右键单击mydomain.local.crt文件从上下文菜单中选择安装证书。在弹出窗口中选择本地机器。选择“将所有证书放置在以下存储中”。单击浏览。选择受信任的根证书颁发机构。单击“确定”、“下一步”、“完成”。重新启动Chrome。

要在Windows中创建Chrome v58及更高版本将信任的自签名证书，请使用提升的权限启动Powershell并键入：

New-SelfSignedCertificate -CertStoreLocation Cert:\LocalMachine\My -Subject "fruity.local" -DnsName "fruity.local", "*.fruity.local" -FriendlyName "FruityCert" -NotAfter (Get-Date).AddYears(10)
#notes: 
#    -subject "*.fruity.local" = Sets the string subject name to the wildcard *.fruity.local
#    -DnsName "fruity.local", "*.fruity.local"
#         ^ Sets the subject alternative name to fruity.local, *.fruity.local. (Required by Chrome v58 and later)
#    -NotAfter (Get-Date).AddYears(10) = make the certificate last 10 years. Note: only works from Windows Server 2016 / Windows 10 onwards!!

完成此操作后，证书将保存到个人\证书存储下的本地计算机证书中。

您要将此证书复制到受信任的根证书颁发机构\证书存储。

一种方法是：单击Windows开始按钮，然后键入certlm.msc。然后按照下面的屏幕截图将新创建的证书拖放到Trusted Root Certification Authority\Certificates存储区。

好的，假设你已经创建了一个“有效”的自签名证书。它正确安装在chrome ver 94上。但是当您访问该站点时，您不会得到ssl锁，并且会出现“无效的证书颁发机构”错误。事实上，它是一个有效的证书。但是如果你没有正确浏览网站，你会收到这个错误。我的证书的DNS是DNS1:TFDM，DNS2:TFDM.local，DNS3:172.31.42.251，DNS4:192.168.20.50。

我正在浏览192.168.20.50，它不安全（锁定）。问题是，证书是针对DNS1:TFDM的。因此，我必须输入/etc/hosts文件（centos7）192.168.20.50 TFDM进行解析，然后浏览https://TFDM.问题已解决。您必须正确浏览网站。我以为它会在服务器端解决，但必须在客户端解决。这很容易被忽视，如果其他一切都正确，这可能是你的问题。覆盖安全性和ssl功能会带来麻烦，我认为没有合适的解决方案。如果应用正确，并且遵循Chrome不断更改的规则，自签名证书就可以工作。

Linux上Chromium上管理SSL证书的GUI对我来说并不正常。然而，他们的文档给出了正确的答案。诀窍是运行下面的命令来导入自签名SSL证书。只需更新<certificate-name>和certificate-filename.cer的名称，然后重新启动chrome/chrome。

从文档：

在Linux上，Chromium使用NSS共享数据库。如果内置管理器不适用于您，则可以使用NSS命令行工具配置证书。获取工具Debian/Uubuntu:sudo apt-get安装libnss3工具Fedora:su-c“yum安装nss-tools”Gentoo:su-c“echo'dev-libs/nss-utils'>>/etc/portage/package.use&&emerge-dev-libs/nss”（您需要使用nss前缀启动下面的所有命令，例如nsscerttil。）Opensuse:sudo zypper安装mozilla nss工具要信任自签名服务器证书，我们应该使用certutil-d sql:$HOME/.pki/nssdb-A-t“P，，”-n＜证书昵称＞-i certificate-filename.cer列出所有证书certutil-d sql:$HOME/.pki/nssdb-LTRUSTARGS是三个由零个或多个字母字符组成的字符串，用逗号分隔。它们定义了SSL、电子邮件和对象签名应如何信任证书，并在certutil文档或Meena关于信任标志的博客文章中进行了解释。为SSL客户端身份验证添加个人证书和私钥使用命令：pk12util-d sql:$HOME/.pki/nssdb-i PKCS12_file.p12导入存储在PKCS#12文件中的个人证书和私钥。个人证书的TRUSTARGS将设置为“u，u，u”。删除证书certutil-d sql:$HOME/.pki/nssdb-d-n<证书昵称>

摘录自：https://chromium.googlesource.com/chromium/src/+/HEAD/docs/linux_cert_management.md

正如有人指出的，你需要重启所有的Chrome，而不仅仅是浏览器窗口。最快的方法是打开一个选项卡。。。

chrome://restart