截至2020年3月，在使用Chrome81的MacOSCatalina上，一旦您使用openssl创建了一个有效的证书，上述情况就会发生变化。

首先，我使用Safari浏览了我的网站，并单击了警告页面底部的链接，该链接允许我无论如何访问该网站。这将证书添加到我的Mac Keychain（即Keychain.app）。Safari将允许我查看该页面。Chrome显示证书是可信的，但不允许我查看该页面。我继续收到CERTIFICATE_INVALID错误。

在Keychain中，选择左下角窗格中的“所有项目”。然后搜索本地主机DNS名称（即myhost.example.com）。

双击证书。它将打开证书的编辑对话框。

将“使用此证书时”更改为“始终信任”

这完全违反直觉，因为SSL已经设置为Always Trust，可能是Safari在添加证书时设置的。Chrome只有在我将其全局更改为“始终信任”后才开始工作。当我把它换回来时，它停止了工作。

我该怎么做才能让Chrome接受证书并停止抱怨？

您应该使用以下项创建PKI：；

自签名根CA。子/中间证书[由根CA签署]。正常/最终实体证书[由根CA或子CA签名]commonName或subjectAltName（SAN）作为“localhost”。还包括https://localhost/作为SAN中的URI。将该根CA作为“受信任的根证书颁发机构”导入/安装到Windows操作系统中。因为你提到了IE：Google Chrome在寻找证书链时使用了相同的资源。将该最终实体证书安装为您的web服务器证书，它将停止抱怨该错误消息。

希望这有帮助。

更新日期：2020年4月23日

铬团队推荐

https://www.chromium.org/Home/chromium-security/deprecating-powerful-features-on-insecure-origins#TOC-测试强大功能

快速超级简单解决方案

有一个秘密的绕过短语，可以在错误页面中输入，让Chrome不顾安全错误继续运行：这是不安全的（在早期版本的Chrome中，键入baddidea，甚至更早版本的危险）。除非你完全明白为什么需要它，否则不要使用它！

资料来源：

https://chromium.googlesource.com/chromium/src/+/d8fc089b62cd4f8d907acff6fb3f5ff58f168697%5E%21/

（注意，window.atob（'dGhpc2lzdW5zYWZl'）解析为此isnsafe）

源的最新版本为@https://chromium.googlesource.com/chromium/src/+/refs/heads/master/components/security_interentials/corebrowser/resources/intertial_large.js和window.atob函数可以在js控制台中执行。

有关Chrome团队为何更改旁路短语（第一次）的背景信息：

https://bugs.chromium.org/p/chromium/issues/detail?id=581189

如果所有其他方法都失败（解决方案1）

对于快速一次性，如果“无论如何继续”选项不可用，或者旁路短语也不起作用，这个黑客很好：

通过启用此标志，允许来自本地主机的证书错误（注意，更改标志值后，Chrome需要重新启动）：chrome://flags/#allow-不安全的本地主机（并投票赞成答案https://stackoverflow.com/a/31900210/430128作者@Chris）如果要连接的站点是localhost，那么就完成了。否则，设置TCP隧道以在本地侦听端口8090，并连接到端口443上的broken-remote-site.com，确保已安装socat并在终端窗口中运行以下内容：socat tcp侦听：8090，reuseddr，fork tcp：断开远程站点.com:443去https://localhost:8090在浏览器中。

如果所有其他方法都失败（解决方案#2）

类似于“如果所有其他都失败（解决方案#1）”，这里我们使用ngok为本地服务配置代理。因为您可以通过TLS访问ngrok http隧道（在这种情况下，它由ngrok使用有效证书终止），也可以通过非TLS端点访问，所以浏览器不会抱怨证书无效。

下载并安装ngrok，然后通过ngrok.io公开它：

ngrok http https://localhost

ngok将启动并为您提供一个可以连接到的主机名，所有请求都将通过隧道传输回本地计算机。

我继续使用bjnord建议的方法，即：Google Chrome、Mac OS X和自签名SSL证书

博客中显示的内容不起作用。

然而，该博客的一条评论是金色的：

sudo安全添加可信证书-d-r trustRoot-k/Library/Keychains/Systemkeychain site.crt

你需要关注博客中关于如何获取cert文件的内容，然后你可以使用上面的命令，应该很好。

Windows:生成并自签名证书

这是一个在windows上生成根证书和实际域证书的“单文件”示例。编辑前四个变量，无需CMD进一步输入：

SET ROOT=my-root
SET NAME=demodomain
SET SUBJECT=/C=CH/O=My Demo Company
SET PASSWORD=ptGXHr3sudczSL9Q

:: Generate private key
openssl genrsa -des3 -out %ROOT%.key -passout pass:"%PASSWORD%" 2048
:: Generate root certificate 
openssl req -x509 -new -nodes -key %ROOT%.key -sha256 -days 3650 -out %ROOT%.crt -passin pass:"%PASSWORD%" -subj "%SUBJECT%"


openssl genrsa -out %NAME%.key 2048
openssl req -new -key %NAME%.key -subj "%SUBJECT%/CN=%NAME%" -out %NAME%.csr

(
echo authorityKeyIdentifier=keyid,issuer
echo basicConstraints=CA:FALSE
echo keyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment
echo subjectAltName = @alt_names
echo [alt_names]
echo DNS = %NAME%)>config.ext

openssl x509 -req -in %NAME%.csr -CA "%ROOT%.crt" -CAkey "%ROOT%.key" -CAcreateserial -out %NAME%.crt -days 1780 -sha256 -extfile config.ext -passin pass:"%PASSWORD%"

:: cleanup files used for certificate generation
del %NAME%.csr
del config.ext

如果您想在一个文件中包含完整的链，请在bat文件中添加以下内容：

:: build chain in certificate-file
echo %ROOT%.crt >> %NAME%.crt
Type "%ROOT%.crt" >> %NAME%.crt

如果要验证证书，请附加以下内容：

openssl verify -CAfile "%ROOT%.crt" -verify_hostname %NAME% %NAME%.crt

打开根证书my-root.crt并将其添加到windows证书存储（选择“受信任的根证书颁发机构”）：

Chrome中的最终结果：

通过此方法允许不安全的本地主机正常工作chrome://flags/#allow-不安全的本地主机

只需要将开发主机名创建为xxx.localhost。