今天我遇到了ERR_SSL_KEY_USAGE_INCOMPATIBLE
错误:
This site can't be reached
The webpage at https://... might be temporarily down or it may have moved permanently to a new web address.
ERR_SSL_KEY_USAGE_INCOMPATIBLE
字符串
的数据
你知道为什么会这样吗?我该怎么解决?
今天我遇到了ERR_SSL_KEY_USAGE_INCOMPATIBLE
错误:
This site can't be reached
The webpage at https://... might be temporarily down or it may have moved permanently to a new web address.
ERR_SSL_KEY_USAGE_INCOMPATIBLE
字符串
的数据
你知道为什么会这样吗?我该怎么解决?
2条答案
按热度按时间sqyvllje1#
根据您提供的标记,此SSL错误发生在Google Chrome浏览器上,涉及IIS (Internet Information Services)和SSL证书。
ERR_SSL_KEY_USAGE_INCOMPATIBLE
错误明确表示Chrome使用或识别SSL证书的方式存在问题,可能是由于IIS中的错误配置或证书本身的问题。This thread报告了类似的问题:
我们找到了一个修复。删除位于
C:\users\(username)\AppData\Local\Google\Chrome\User Data\Local State
中的用户的本地状态文件。删除后,问题就消失了。让我知道这对你是否有效。编辑:确认这也发生在MacOS上。需要转到
Library/Application Support/Google
/并从其删除Local State
文件。并且:
此问题的根本原因是一个Chrome变体,您可以在版本115、116和117的Chrome发行说明中了解更多信息,这些说明可在Google's previous release notes中阅读。
搜索“Require X.509 key usage extension for RSA certificates chaining to local roots”的注解,阅读Google分享的关于此更改的简介。
您无法调整标记来恢复此变体,但Chrome提供了策略
RSAKeyUsageForLocalAnchorsEnabled
,以便在您更新证书时暂时禁用此变体。解释它的作用以及为什么它不会危及Chrome的安全性。
删除Chrome的用户数据目录中的
Local State
文件是一个故障排除步骤。正如Giovanni Esposito在评论中指出的那样:“这只是一个(可怕的)解决方案,因为你每次都需要这样做”
True。ERR_SSL_KEY_USAGE_INCOMPATIBLE错误的实际解决方案是根据Chrome的要求,使用正确的密钥使用扩展更新SSL证书。使用
RSAKeyUsageForLocalAnchorsEnabled
策略仅提供了一个缓解措施,允许在证书达到标准时继续操作。删除
Local State
文件的作用:Chrome会运行一个名为“变量”的实验,它本质上是对新功能或更改的A/B测试。删除
Local State
文件会将这些变量重置为默认状态。Local State
文件保存Chrome的临时状态信息,包括一些未通过标准设置界面公开的设置和状态。如果文件损坏,可能会导致错误。删除它会强制Chrome创建一个新的
Local State
文件,这可以解决此类错误。为什么它不会 * 危及安全性:
Local State
文件不直接链接到您的个人浏览数据,如历史记录、书签或保存的密码。它包含有关浏览器状态的信息,但不存储个人标识符或加密密钥等敏感信息。Chrome将在下次启动时重新生成
Local State
文件,恢复默认状态,而不会出现可能导致问题的变化。关于
RSAKeyUsageForLocalAnchorsEnabled
政策:此
RSAKeyUsageForLocalAnchorsEnabled
策略可供管理员预览未来版本的行为,默认情况下将启用此检查。此时,此策略将暂时供需要更多时间更新的管理员使用。未通过此检查的连接将失败,并出现错误
ERR_SSL_KEY_USAGE_INCOMPATIBLE
。出现此错误的站点可能配置了错误的证书。现代ECDHE_RSA密码套件使用“
digitalSignature
“密钥使用选项,而传统RSA解密密码套件使用“keyEncipherment
“密钥使用选项。如果不确定,管理员应在用于HTTPS的RSA证书中包含这两个选项。字符串
相同的线程包括实际的soution:
我们也遇到了同样的问题,解决方案是创建一个新的自签名证书,该证书具有或使用密钥用法创建:
"Digital Signature, Certificate Signing, Off-line CRL Signing, CRL Signing (86)"
,之后我们所有的内部网站现在都可以在Chrome中工作。您应该使用该使用密钥创建它,并且它应该来自OpenSSL,v3版本。
x1c 0d1x的数据
1rhkuytd2#
找到了修复方法.删除“本地状态”后,我们的问题不断出现。所以我们将其缩小到组策略。
修复:转到
C:\Windows\System32\GroupPolicy\
并删除此文件夹中的所有文件和文件(不是根文件夹,只是子文件夹)然后,在CMD中运行
gpupdate/ force
。这对我们很有效。