当单击URL旁边的小划掉的锁定图标时，您将看到一个如下所示的框：

单击证书信息链接后，您将看到以下对话框：

它告诉哪个证书存储是正确的，它是受信任的根证书颁发机构存储。

您可以使用其他答案中列出的方法之一将证书添加到该存储，也可以使用：

certutil -addstore -user "ROOT" cert.pem

ROOT是前面提到的证书存储的内部名称。cert.pem是自签名证书的名称。

Linux系统

如果您使用的是Linux，也可以关注以下官方wiki页面：

在Linux上配置SSL证书。NSS共享数据库和LINUXNSS共享数据库如何

基本上：

单击带有X的锁定图标，选择证书信息转到“详细信息”选项卡单击导出。。。（另存为文件）

现在，以下命令将添加证书（其中YOUR_FILE是导出的文件）：

certutil -d sql:$HOME/.pki/nssdb -A -t "P,," -n YOUR_FILE -i YOUR_FILE

要列出所有证书，请运行以下命令：

certutil -d sql:$HOME/.pki/nssdb -L

如果它仍然不起作用，您可能会受到此错误的影响：问题55050:Ubuntu SSL错误8179

另外，在使用上述命令之前，请确保您拥有libnss3工具。

如果没有，请通过以下方式安装：

sudo apt-get install libnss3-tools # on Ubuntu
sudo yum install nss-tools # on Fedora, Red Hat, etc.

另外，您可以使用以下方便的脚本：

$ cat add_cert.sh
certutil -d sql:$HOME/.pki/nssdb -A -t "P,," -n $1 -i $1
$ cat list_cert.sh
certutil -d sql:$HOME/.pki/nssdb -L # add '-h all' to see all built-in certs
$ cat download_cert.sh
echo QUIT | openssl s_client -connect $1:443 | sed -ne '/BEGIN CERT/,/END CERT/p'

用法：

add_cert.sh [FILE]
list_cert.sh
download_cert.sh [DOMAIN]

故障排除

使用--auto-ssl客户端身份验证参数运行Chromegoogle chrome--自动ssl客户端身份验证

这对我有用：

使用Chrome，通过HTTPS点击服务器上的一个页面，然后继续浏览红色警告页面（假设你还没有这样做）。打开Chrome设置>显示高级设置>HTTPS/SSL>管理证书。单击“颁发机构”选项卡，然后向下滚动以在您为证书提供的“组织名称”下查找您的证书。选择它，单击“编辑”（注意：在最新版本的Chrome中，该按钮现在是“高级”而不是“编辑”），选中所有框并单击“确定”。您可能需要重新启动Chrome。

你现在应该在你的页面上获得漂亮的绿色锁。

编辑：我在新计算机上再次尝试了此操作，但仅从红色的不受信任证书页面继续，证书就没有显示在“管理证书”窗口中。我必须做到以下几点：

在具有不受信任证书的页面（https://用红色划掉）上，单击锁>证书信息。注意：在较新版本的chrome上，您必须打开“开发人员工具”>“安全”，然后选择“查看证书”。单击“详细信息”选项卡>“导出”。选择PKCS#7，单一证书作为文件格式。然后按照我的原始说明进入“管理证书”页面。单击“权限”选项卡>“导入”，然后选择将证书导出到的文件，并确保选择PKCS#7，单一证书作为文件类型。如果提示证书存储，请选择受信任的根证书颁发机构选中所有复选框并单击“确定”。重新启动Chrome。

对于MacOS上的Chrome，如果您准备了证书：

退出Chrome（cmd+Q）。启动Keychain Access应用程序并打开“证书”类别。将证书文件拖到Keychain Access窗口上，然后键入证书文件的密码。双击证书并展开“信任”列表。在“使用此证书时”行中，选择“始终信任”关闭此内容并键入密码。启动Chrome并清除所有缓存。检查一切是否正常。

对于Fedora、Ubuntu、Linux，如果您在使用gui添加证书以添加新的根权限时遇到example.com Not a Certification authority错误。如果您希望信任服务器自签名证书，它不能提及无效的授权。。。即使这是它自己。我只通过信任我的权限并使用该权限密钥对服务器证书进行签名来使其工作。

这是它接受的自签名CA证书。这是我找到绕过cert_authority_invalid的唯一方法，我花了几个小时试图让它接受一个自签名的端点证书，没有雪茄。只要声明为CA:TTRUE，用户界面将接受自签名授权。之后，chrome将接受由具有正确DN的密钥签名的所有证书，而无需单独添加它们。

openssl req-new-x509-extensions v3_req-days 8440-config ca.conf-key rockstor.key-out rockstor.cert

[req]
distinguished_name=dn
req_extensions=v3_req
prompt = no

[v3_req]
basicConstraints=CA:TRUE,pathlen:0
keyUsage = keyEncipherment, dataEncipherment
extendedKeyUsage = serverAuth, clientAuth
subjectAltName=@alt_names

[alt_names]
DNS.1 = ca.tdpowerskills.com

[dn]
C = US
ST = LA
L = Alexandria
O = TDPS Certification Authority
OU = LEARNOPS
CN = ca.tdpowerskills.com

openssl req-new-x509-extensions v3_req-days 8440-config config.conf-key rockstor.key-out rockstor.cert

[req]
distinguished_name=dn
req_extensions=v3_req
prompt = no

[v3_req]
basicConstraints=CA:FALSE
keyUsage = keyEncipherment, dataEncipherment
extendedKeyUsage = serverAuth, clientAuth
subjectAltName=@alt_names
issuerAltName=DNS:ca.tdpowerskills.com

[alt_names]
DNS.1 = big.tdps.app

[dn]
C = US
ST = LA
L = Alexandria
O = TDPS Certification Authority
OU = LEARNOPS
CN = ca.tdpowerskills.com

如果这不起作用：

chrome://restart实际重新启动尝试使用firefox获取有关错误的更多详细信息，它会更好地解释错误。。。当chrome会说ERR_CERTIFICATE_INVALID时，firefox会抛出：MOZILLA_PKIX_ERROR_CA_CERT_USED_AS_END_ENTITY。请记住，chrome现在需要Subject Alternate Name，并且几乎忽略CN。

对于其他人：

certutil-d sql:$HOME/.pki/nssdb-A-t“P，，”-n＜昵称＞-i＜my.crt＞//用于服务器支持certutil-d sql:$HOME/.pki/nssdb-A-t“C，，”-n＜昵称＞-i＜my.crt＞用于CAhttps://blogs.oracle.com/meena/about-trust-flags-of-certificates-in-nss-database-that-can-be-modified-by-certutil对于Firefox，添加异常证书的UI确实有效，一旦你这样做，它就会信任它。也许您在/etc/pki/tls/openssl.cnf中有一些时髦的设置，这些设置与您的配置合并在一起。也许您没有向配置或命令行添加扩展，例如v3_req注意，我的方法只需使用授权密钥签署证书并添加开发服务器的详细信息，就不需要CSR。CSR允许更多密钥用于实际安全。我尝试了一切，但chrome需要具有基本约束CA:true集的权限。服务器证书必须由有效的授权机构签名。。。即使这只是他们用CA签名的另一个证书：true。

从Chrome 58+开始，由于缺少SAN，我开始在macOS上获取证书错误。下面是如何再次获得地址栏上的绿色锁。

使用以下命令生成新证书：openssl请求\-新密钥rsa：2048\-2009年5月\-节点\-keyout服务器.key\-新的\-输出服务器.crt\-subj/CN=*.domain.dev\-请求SAN\-扩展SAN\-配置<（cat/System/Library/OpenSSL/OpenSSL.cnf\<（printf'[SAN]\nobjectAltName=DNS:*.domain.dev'））\-沙256\-720天将server.crt导入KeyChain，然后双击证书，展开“信任”，然后选择“始终信任”

刷新页面https://domain.dev在Google Chrome中，绿色锁又回来了。