下面是一个仅使用Java 8 keytool.exe而不是openssl的解决方案：

@echo off
set PWD=changeit
set DNSNAME=%COMPUTERNAME%

echo create ca key
keytool -genkeypair -alias ca -keystore test.jks -keyalg RSA -validity 3650 -ext bc:critical=ca:true -dname "CN=CA" -storepass:env PWD -keypass:env PWD
echo generate cert request for ca signing
keytool -certreq -keystore test.jks -storepass:env PWD -alias ca -file ca.csr -ext bc:critical=ca:true
echo generate signed cert
keytool -gencert -keystore test.jks -storepass:env PWD -alias ca -infile ca.csr -outfile ca.cer -validity 3650 -ext bc:critical=ca:true
echo CA created. Import ca.cer in windows and firefox' certificate store as "Trusted CA".
pause

echo create server cert key for %DNSNAME%
keytool -genkeypair -alias leaf -keystore test.jks -keyalg RSA -validity 3650 -ext bc=ca:false -ext san=dns:%DNSNAME%,dns:localhost,ip:127.0.0.1 -dname "CN=Leaf" -storepass:env PWD -keypass:env PWD
echo generate cert request
keytool -certreq -keystore test.jks -storepass:env PWD -alias leaf -file leaf.csr -ext bc=ca:false -ext san=dns:%DNSNAME%,dns:localhost,ip:127.0.0.1
echo generate signed cert
keytool -gencert -keystore test.jks -storepass:env PWD -alias ca -infile leaf.csr -outfile leaf.cer -validity 3650 -ext bc=ca:false -ext san=dns:%DNSNAME%,dns:localhost,ip:127.0.0.1

rem see content
rem keytool -printcert -file leaf.cer -storepass:env PWD 

echo install in orig keystore
keytool -importcert -keystore test.jks -storepass:env PWD -file leaf.cer -alias leaf

echo content of test.jks:
keytool -list -v -storepass:env PWD -keystore test.jks
pause

您也可以使用管道而不是文件，但是使用这些文件，如果出现问题，您可以检查中间结果。SSL在windows上通过IE11、Edge、FF54、Chrome60和Android上的Chrome60进行了测试。

请在使用脚本之前更改默认密码。

我的解决方案和解释：

我有一个用IIS资源工具包工具SelfSSL.exe创建的自签名证书。在本地计算机上的证书列表中，我看到这个自签名证书只有一个用途：服务器身份验证。所以我创建了一个新的自签名证书，它有两个目的：服务器身份验证和客户端身份验证。现在Chrome不再抱怨了。

本文展示了许多生成自签名证书的方法。请注意，并非所有选项都允许您指定证书用途。我使用PowerShell的方式：

$cert = New-SelfSignedCertificate -certstorelocation cert:\localmachine\my -dnsname company.co.nz

注意：正如kellen Chrome的这个回答所述，它确实允许您设置证书的用途，但是IMO不能为证书添加新的用途，如果创建证书时没有考虑到这一点。

我成功地遵循了凯伦的回答，并得到了托比·J的重要更新，但我不得不做出修改：

创建自签名证书时，必须将新的subjectAltName字段放在v3_ca扩展下，而不是v3_req。我将/etc/ssl/openssl.conf复制到一个临时文件中，然后在[v3_ca]下添加了一行subjectAltName=DNS:*.example.com。然后将该文件传递给cert创建命令，类似于

  openssl req -x509 -nodes -newkey rsa:2048 \
          -config /tmp/openssl-revised.cfg \
          -keyout example.com.key -out example.com.crt

并遵循kellen更新的步骤。

截至2020年3月，在使用Chrome81的MacOSCatalina上，一旦您使用openssl创建了一个有效的证书，上述情况就会发生变化。

首先，我使用Safari浏览了我的网站，并单击了警告页面底部的链接，该链接允许我无论如何访问该网站。这将证书添加到我的Mac Keychain（即Keychain.app）。Safari将允许我查看该页面。Chrome显示证书是可信的，但不允许我查看该页面。我继续收到CERTIFICATE_INVALID错误。

在Keychain中，选择左下角窗格中的“所有项目”。然后搜索本地主机DNS名称（即myhost.example.com）。

双击证书。它将打开证书的编辑对话框。

将“使用此证书时”更改为“始终信任”

这完全违反直觉，因为SSL已经设置为Always Trust，可能是Safari在添加证书时设置的。Chrome只有在我将其全局更改为“始终信任”后才开始工作。当我把它换回来时，它停止了工作。

在Mac上，您可以使用Keychain Access实用程序将自签名证书添加到系统密钥链，然后Chrome将接受它。我在这里找到了分步说明：

Google Chrome、Mac OS X和自签名SSL证书

基本上：

双击带有X的锁定图标并将证书图标拖放到桌面，打开此文件（以.cer扩展名结尾）；这将打开允许您批准证书的密钥链应用程序。

从Chrome 58+开始，由于缺少SAN，我开始在macOS上获取证书错误。下面是如何再次获得地址栏上的绿色锁。

使用以下命令生成新证书：openssl请求\-新密钥rsa：2048\-2009年5月\-节点\-keyout服务器.key\-新的\-输出服务器.crt\-subj/CN=*.domain.dev\-请求SAN\-扩展SAN\-配置<（cat/System/Library/OpenSSL/OpenSSL.cnf\<（printf'[SAN]\nobjectAltName=DNS:*.domain.dev'））\-沙256\-720天将server.crt导入KeyChain，然后双击证书，展开“信任”，然后选择“始终信任”

刷新页面https://domain.dev在Google Chrome中，绿色锁又回来了。