我成功地遵循了凯伦的回答，并得到了托比·J的重要更新，但我不得不做出修改：

创建自签名证书时，必须将新的subjectAltName字段放在v3_ca扩展下，而不是v3_req。我将/etc/ssl/openssl.conf复制到一个临时文件中，然后在[v3_ca]下添加了一行subjectAltName=DNS:*.example.com。然后将该文件传递给cert创建命令，类似于

  openssl req -x509 -nodes -newkey rsa:2048 \
          -config /tmp/openssl-revised.cfg \
          -keyout example.com.key -out example.com.crt

并遵循kellen更新的步骤。

WINDOWS 2017年6月WINDOWS Server 2012

我听从了布拉德·帕克斯的回答。在Windows上，您应该在受信任的根证书颁发机构存储中导入rootCA.pem。

我执行了以下步骤：

openssl genrsa -out rootCA.key 4096
openssl req -x509 -new -nodes -key rootCA.key -newkey rsa:4096 -sha256 -days 1024 -out rootCA.pem
openssl req -new -newkey rsa:4096 -sha256 -nodes -keyout device.key -out device.csr
openssl x509 -req -in device.csr -CA rootCA.pem -CAkey rootCA.key -CAcreateserial -out device.crt -days 2000 -sha256 -extfile v3.ext

其中v3.ext为：

authorityKeyIdentifier=keyid,issuer
basicConstraints=CA:FALSE
keyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment
subjectAltName = @alt_names

[alt_names]
DNS.1 = localhost
IP.1 = 192.168.0.2
IP.2 = 127.0.0.1

然后，在我的例子中，我有一个自托管的web应用程序，所以我需要将证书与IP地址和端口绑定，证书应该在我的存储库中，并带有私钥信息，所以我导出为pfx格式。

openssl pkcs12 -export -out device.pfx -inkey device.key -in device.crt

使用mmc控制台（文件/添加或删除管理单元/证书/添加/计算机帐户/本地计算机/确定），我在个人存储中导入了pfx文件。

后来我使用这个命令绑定证书（您也可以使用HttpConfig工具）：

netsh http add sslcert ipport=0.0.0.0:12345 certhash=b02de34cfe609bf14efd5c2b9be72a6cb6d6fe54 appid={BAD76723-BF4D-497F-A8FE-F0E28D3052F4}

certhash=证书Thumprint

appid=GUID（您的选择）

首先，我尝试以不同的方式在受信任的根证书颁发机构上导入证书“device.crt”，但仍然收到相同的错误：

但我意识到我应该导入根权限的证书，而不是域的证书。所以我使用mmc控制台（文件/添加或删除管理单元/证书/添加/计算机帐户/本地计算机/OK），在受信任的根证书颁发机构存储中导入了rootCA.pem。

重新启动Chrome，它就可以工作了。

使用localhost：

或IP地址：

我唯一做不到的是，它有过时的密码（图片上的红色方框）。在这一点上，我们非常感谢帮助。

使用makecert，无法添加SAN信息。使用NewSelfSignedCertificate（Powershell），您可以添加SAN信息，它也可以工作。

在受信任的根CA存储中添加CA证书。转到chrome并启用此标志！

chrome://flags/#allow-不安全的本地主机

最后，只需使用*.me域或任何有效的域，如*.com和*.net，并将它们保存在主机文件中。对于我的本地设备，我使用*.me或*.com，主机文件维护如下：

添加到主机。C： /windows/system32/drivers/etc/hosts127.0.0.1下一页

注意：如果在执行此操作时浏览器已打开，则错误将继续显示。因此，请关闭浏览器并重新启动。更好的办法是，隐姓埋名，或者立即开始新的疗程。

我不得不调整macosx上的Chrome启动程序，并添加了以下脚本。保存如下：；

/应用程序/Google\Chrome.app/Contents/MacOS/Chrome.com命令

#!/bin/sh
RealBin="Google Chrome"
AppDir="$(dirname "$0")"
exec "$AppDir/$RealBin" --ignore-certificate-errors "$@"

当我用这个脚本启动Chrome时，自签名证书可以正常工作。但是，不要使用使用此脚本启动的浏览器浏览网页，您将不会收到有关无效证书的警告！

通过此方法允许不安全的本地主机正常工作chrome://flags/#allow-不安全的本地主机

只需要将开发主机名创建为xxx.localhost。

当我尝试在浏览器中导入证书时，它对我不起作用。。。在chrome中，打开Developer Tools>Security，然后选择View certificate。单击“详细信息”选项卡并将其导出。

//LINUX操作系统

sudo apt-get install libnss3-tools 

certutil -d sql:$HOME/.pki/nssdb -A -t "P,," -n [EXPORTED_FILE_PATH] -i [EXPORTED_FILE_PATH]

运行此命令，如果您看到您刚刚导入的文件，就可以开始了！

 certutil -d sql:$HOME/.pki/nssdb -L

//Windows

Start => run => certmgr.msc

在左侧选择受信任的根证书颁发机构=>个人。单击操作选项卡=>所有操作/导入，然后从浏览器中选择之前导出的文件

别忘了重新启动chrome！！！

祝你好运！；）