我们正在运行自己的证书颁发机构。基于https://smallstep.com/docs/step-ca。并且在此 CA 上启用了 CRL。
我已确保将根和中介的公共证书注入到本地 Windows 客户端受信任的根存储中。
问题是,如果我们不在 Windows 注册表中禁用 ChromeRootStoreEnabled,叶证书将被 Chrome 标记为无效( NET::ERR_CERT_UNABLE_TO_CHECK_REVOCATION 由 Google Chrome 抛出)。
如果我们在 Windows 注册表中禁用 ChromeRootStoreEnabled(按照此处所述将其设置为 1 > https://chromeenterprise.google/policies/#ChromeRootStoreEnabled)就没问题了。
所以我使用
chrome://net-export这是净导出日志 > https://gist.github.com/LarsBingBong/7205e4cac9da91b4adcae9fd6d26d034
因此,当启用 Chrome 根存储时,Chrome 似乎不喜欢或实际上无法读取注入到 Windows 受信任根存储中的根和中介的公共证书。 我如何才能查明为什么 Google Chrome 没有从 Windows 受信任的根存储区读取这些证书?
根据以下内容:
The Chrome Certificate Verifier considers locally-managed certificates during the certificate verification process. This means if an enterprise distributes a root CA certificate as trusted to its users (for example, by a Windows Group Policy Object), it will be considered trusted in Chrome.
以上来自 > https://blog.chromium.org/2022/09/announcing-launch-of-chrome-root-program.html
所以谷歌浏览器应该读取注入到 Windows 可信根存储中的证书。我试过注入酒吧。将证书放入计算机和 Windows 受信任根存储中的个人存储。
关于如何解决 Google Chrome 浏览器问题的任何帮助:
认为两者之一或以上是罪魁祸首。
我们正在运行:
谢谢你,我期待着你的来信。
注意我确实尝试在 Google 社区中发布此内容。但是,我不断收到 You've reached limit for posting。请稍后再试。。尝试从两个不同的谷歌帐户。此外,通过将其发布在 stackoverflow 上,我希望能够接触到更广泛的受众。