无法信任ASP.NET SSL开发人员证书

基础概念

SSL（Secure Sockets Layer）证书用于在Web服务器和客户端之间建立加密连接，确保数据传输的安全性。开发人员证书通常用于开发和测试环境，以便在不使用正式证书的情况下启用HTTPS。

类型

自签名证书：由个人或组织自行签发，不经过权威认证机构（CA）验证。
受信任的CA证书：由权威认证机构签发，浏览器和操作系统默认信任这些证书。

应用场景

开发环境：在开发和测试阶段，使用自签名证书可以快速启用HTTPS。
生产环境：在生产环境中，使用受信任的CA证书以确保用户信任和数据安全。

问题原因

无法信任ASP.NET SSL开发人员证书通常是由于以下原因：

自签名证书：浏览器和操作系统默认不信任自签名证书。
证书链不完整：证书链中的某个证书缺失或无效。
证书过期：证书已过期，需要重新生成和安装。

解决方法

安装受信任的CA证书：
- 购买并安装由权威认证机构签发的SSL证书。
- 参考链接：腾讯云SSL证书购买

在浏览器中添加例外：
- 对于开发环境，可以在浏览器中手动添加例外，信任自签名证书。
- 操作步骤：
  1. 打开浏览器，访问使用自签名证书的网站。
  2. 点击浏览器地址栏中的锁形图标，选择“证书”。
  3. 在“详细信息”选项卡中，点击“复制到文件”。
  4. 按照向导将证书导入浏览器信任存储。

检查证书链：
- 确保证书链完整，所有中间证书都已正确安装。
- 使用工具如 openssl 检查证书链：
- 使用工具如 openssl 检查证书链：

更新证书：
- 如果证书已过期，需要重新生成新的证书并安装。
- 使用 openssl 生成新的自签名证书：
- 使用 openssl 生成新的自签名证书：

示例代码

以下是一个简单的ASP.NET Core配置自签名证书的示例：

public class Startup
{
    public void ConfigureServices(IServiceCollection services)
    {
        services.AddControllers();
    }

    public void Configure(IApplicationBuilder app, IWebHostEnvironment env)
    {
        if (env.IsDevelopment())
        {
            app.UseDeveloperExceptionPage();
        }

        app.UseHttpsRedirection();

        app.UseRouting();

        app.UseAuthorization();

        app.UseEndpoints(endpoints =>
        {
            endpoints.MapControllers();
        });
    }
}

在 Program.cs 中配置自签名证书：

public static IHostBuilder CreateHostBuilder(string[] args) =>
    Host.CreateDefaultBuilder(args)
        .ConfigureWebHostDefaults(webBuilder =>
        {
            webBuilder.UseKestrel(options =>
            {
                options.Listen(IPAddress.Any, 5001, listenOptions =>
                {
                    listenOptions.UseHttps(GenerateSelfSignedCertificate());
                });
            });
            webBuilder.UseStartup<Startup>();
        });

private static X509Certificate2 GenerateSelfSignedCertificate()
{
    var cert = new X509Certificate2();
    using (RSA rsa = RSA.Create(2048))
    {
        var request = new CertificateRequest("CN=localhost", rsa, HashAlgorithmName.SHA256, RSASignaturePadding.Pkcs1);
        var sanBuilder = new SubjectAlternativeNameBuilder();
        sanBuilder.AddDnsName("localhost");
        request.CertificateExtensions.Add(sanBuilder.Build());
        var certificate = request.CreateSelfSigned(DateTimeOffset.Now.AddDays(-1), DateTimeOffset.Now.AddDays(365));
        cert.Import(certificate.Export(X509ContentType.Pfx));
    }
    return cert;
}