Chrome如何手动验证IP地址的HTTPS证书有效性？

1. 问题背景与技术挑战

在企业内网或测试环境中，许多HTTPS服务通过IP地址直接部署，而非使用域名。然而，Chrome浏览器对基于IP地址的HTTPS证书验证极为严格。当服务器证书未将IP地址包含在Subject Alternative Name (SAN)字段中时，Chrome会阻止访问，并提示NET::ERR_CERT_COMMON_NAME_INVALID。

此限制源于现代安全策略：IP地址不具备唯一性和可管理性，易被滥用。因此，即使证书由私有CA签发且技术上有效，Chrome仍默认不信任此类配置。

对于拥有5年以上经验的IT从业者而言，核心挑战在于：如何在不修改DNS结构的前提下，实现对IP HTTPS服务的安全、持久信任？这涉及证书链验证、CA信任机制、浏览器策略控制等多个层面。

2. 常见错误类型与诊断流程

• NET::ERR_CERT_COMMON_NAME_INVALID：证书CN或SAN中无匹配IP
• ERR_CERT_AUTHORITY_INVALID：签发CA未被系统/浏览器信任
• ERR_CERT_DATE_INVALID：证书已过期或时间未生效
• ERR_SSL_PROTOCOL_ERROR：协议版本或加密套件不兼容

3. 手动验证证书有效性的标准流程

1. 从目标IP获取原始证书（可通过OpenSSL命令）：

echo | openssl s_client -connect 192.168.1.100:443 2>/dev/null | openssl x509 -outform PEM > server.crt

1. 检查证书是否包含IP作为SAN条目：

openssl x509 -in server.crt -text -noout | grep -A1 "Subject Alternative Name"

1. 验证证书签名链完整性：

openssl verify -CAfile ca-chain.pem server.crt

1. 比对证书指纹（SHA-256）以确保防篡改：

openssl x509 -in server.crt -fingerprint -sha256 -noout

1. 确认有效期范围：

openssl x509 -in server.crt -noout -dates

4. 解决方案一：导入企业CA至操作系统信任库

若使用私有CA签发IP证书，需将根CA证书安装到操作系统的可信根证书存储区。

Linux (CentOS/RHEL):

sudo cp root-ca.crt /etc/pki/ca-trust/source/anchors/
sudo update-ca-trust extract

Windows: 使用certmgr.msc导入至“受信任的根证书颁发机构”。

macOS:

sudo security add-trusted-cert -d -r trustRoot -p ssl -k /Library/Keychains/System.keychain root-ca.crt

完成导入后重启Chrome，部分站点可自动通过验证。

5. 解决方案二：启用Chrome策略以允许IP SAN证书

适用于企业环境统一管理。通过组策略或本地策略注册表启用AllowInsecureLocalIps或配置证书例外。

创建策略文件路径（Linux示例）：

/etc/opt/chrome/policies/managed/policy.json

内容如下：

{
  "AuthNegotiateDelegateWhitelist": "192.168.1.*",
  "AuthServerWhitelist": "192.168.1.*",
  "CertificateTransparencyMode": 1,
  "ManualDataCollectionAllowed": true
}

注意：Chrome 107+已逐步弃用对IP SAN的支持，除非明确配置并启用相关实验性标志。

6. 解决方案三：使用命令行参数绕过警告（仅限调试）

开发或临时调试场景下，可用启动参数临时忽略安全警告：

google-chrome \
  --ignore-certificate-errors \
  --allow-insecure-localhost \
  --unsafely-treat-insecure-origin-as-secure="https://192.168.1.100"

该方法不推荐用于生产环境，因会全局降低安全性。

更精细的方式是结合--host-rules映射IP为假域名：

google-chrome \
  --host-resolver-rules="MAP 192.168.1.100 dev-server.internal" \
  --ssl-version-min=tls1.2 \
  https://dev-server.internal

前提是证书中包含dev-server.internal作为SAN域名。

7. 高级方案：构建混合SAN证书支持IP与伪域名

最佳实践是在生成证书时同时包含IP和内部域名：

SAN = DNS:dev-server.internal, IP:192.168.1.100

使用OpenSSL配置文件（如openssl.cnf）定义扩展：

[ v3_ca ]
subjectAltName = @alt_names

[ alt_names ]
DNS.1 = dev-server.internal
IP.1 = 192.168.1.100

然后签发证书：

openssl req -x509 -newkey rsa:4096 -keyout key.pem -out cert.pem \
  -days 365 -nodes -config openssl.cnf -extensions v3_ca

配合本地Hosts文件解析，即可实现Chrome完全信任。

8. 可视化流程：IP HTTPS信任建立过程

9. 安全建议与长期运维策略

• 避免长期依赖--ignore-certificate-errors等危险参数
• 推动内部PKI体系支持IP SAN证书签发
• 使用内部DNS + 私有证书实现标准化访问
• 定期轮换证书并监控到期时间
• 在防火墙或反向代理层终止TLS，前端使用域名暴露服务
• 利用Let's Encrypt配合动态DNS实现公网测试环境信任
• 对关键系统启用HSTS预加载机制（需域名）
• 审计所有自签名证书的使用范围与权限边界
• 记录每次手动信任操作的日志与责任人
• 培训团队理解PKI原理与浏览器安全模型差异