Chrome 根存储不读取注入到 Windows 受信任根存储中的自签名证书

问题描述 投票:0回答:0

我们正在运行自己的证书颁发机构。基于https://smallstep.com/docs/step-ca。并且在此 CA 上启用了 CRL。

我已确保将根和中介的公共证书注入到本地 Windows 客户端受信任的根存储中。

问题是,如果我们不在 Windows 注册表中禁用 ChromeRootStoreEnabled,叶证书将被 Chrome 标记为无效( NET::ERR_CERT_UNABLE_TO_CHECK_REVOCATION 由 Google Chrome 抛出)。

如果我们在 Windows 注册表中禁用 ChromeRootStoreEnabled(按照此处所述将其设置为 1 > https://chromeenterprise.google/policies/#ChromeRootStoreEnabled)就没问题了。

所以我使用

chrome://net-export
工具进行了一些故障排除,以在访问受 CA 颁发的叶证书保护的网站时创建网络日志。

这是净导出日志 > https://gist.github.com/LarsBingBong/7205e4cac9da91b4adcae9fd6d26d034

因此,当启用 Chrome 根存储时,Chrome 似乎不喜欢或实际上无法读取注入到 Windows 受信任根存储中的根和中介的公共证书。 我如何才能查明为什么 Google Chrome 没有从 Windows 受信任的根存储区读取这些证书?

根据以下内容:

The Chrome Certificate Verifier considers locally-managed certificates during the certificate verification process. This means if an enterprise distributes a root CA certificate as trusted to its users (for example, by a Windows Group Policy Object), it will be considered trusted in Chrome.

以上来自 > https://blog.chromium.org/2022/09/announcing-launch-of-chrome-root-program.html

所以谷歌浏览器应该读取注入到 Windows 可信根存储中的证书。我试过注入酒吧。将证书放入计算机和 Windows 受信任根存储中的个人存储。

关于如何解决 Google Chrome 浏览器问题的任何帮助:

  • 不看酒吧。来自 Windows Trusted Root Store 的证书或
  • 不喜欢证书的数据

认为两者之一或以上是罪魁祸首。


我们正在运行:

  • 谷歌浏览器 v111
  • 视窗 10 和 11
  • 证书数据可以在附件net-export日志中找到。如果您想使用例如分析这些证书crt.sh

谢谢你,我期待着你的来信。


注意我确实尝试在 Google 社区中发布此内容。但是,我不断收到 You've reached limit for posting。请稍后再试。。尝试从两个不同的谷歌帐户。此外,通过将其发布在 stackoverflow 上,我希望能够接触到更广泛的受众。

google-chrome certificate ca
© www.soinside.com 2019 - 2024. All rights reserved.