SSL SAN 证书无法解析备用名称
SSL SAN certificate fails in resolving alternative name
我目前正在尝试确保 Wildfly 10 应用服务器仅接受 SSL。服务器在我的本地网络中。服务器是我私人域的一部分。我已经从我的 CA 颁发了 SSL SAN 证书并配置 Wildfly 以使用该证书。我在我的 Firefox 浏览器中将我的 CA 安装为受信任的 CA。当我通过 SSL 从 Wildfly 请求一个仅包含其基本名称(没有域的主机名)的页面时,Firefox 报告安全连接。但是当我尝试通过完全限定的域名请求页面时,它会报告一个不明确的证书。该证书是通过我的 CA 的向导创建的,因此拼写错误的内容标签应该不是问题。我仔细检查了这些值。
我正在使用 SAN 证书,因此两个请求(wfly10-ssl、wfly10-ssl.mydomain.local)都应报告为安全连接。当我检查证书时,它报告两个名称均有效。
有人知道我哪里出错了吗?
私域:mydomain.local
服务器名称(普通):wfly10-ssl
服务器名称 (fqdn):wfly10-ssl.mydomain.local
证书内容(部分):
通用名称/CN = wfly10-ssl.mydomain.local
主题备用名称/SAN = DNS=wfly10-ssl
https://wfly10-ssl:8443/ -> SSL 正常
https://wfly10-ssl.mydomain.local:8443/ -> SSL 失败,证书仅适用于:wfly10-ssl
此致,
CB
当有 SAN 可用时,CN 将被忽略。这是根据规范 RFC 6125:
A client MUST NOT seek a match for a reference identifier of CN-ID if the presented identifiers include a DNS-ID, SRV-ID, URI-ID, or any application-specific identifier types supported by the client.
另请参阅 Firefox 源代码中的 this comment。
我目前正在尝试确保 Wildfly 10 应用服务器仅接受 SSL。服务器在我的本地网络中。服务器是我私人域的一部分。我已经从我的 CA 颁发了 SSL SAN 证书并配置 Wildfly 以使用该证书。我在我的 Firefox 浏览器中将我的 CA 安装为受信任的 CA。当我通过 SSL 从 Wildfly 请求一个仅包含其基本名称(没有域的主机名)的页面时,Firefox 报告安全连接。但是当我尝试通过完全限定的域名请求页面时,它会报告一个不明确的证书。该证书是通过我的 CA 的向导创建的,因此拼写错误的内容标签应该不是问题。我仔细检查了这些值。
我正在使用 SAN 证书,因此两个请求(wfly10-ssl、wfly10-ssl.mydomain.local)都应报告为安全连接。当我检查证书时,它报告两个名称均有效。
有人知道我哪里出错了吗?
私域:mydomain.local
服务器名称(普通):wfly10-ssl
服务器名称 (fqdn):wfly10-ssl.mydomain.local
证书内容(部分):
通用名称/CN = wfly10-ssl.mydomain.local
主题备用名称/SAN = DNS=wfly10-ssl
https://wfly10-ssl:8443/ -> SSL 正常
https://wfly10-ssl.mydomain.local:8443/ -> SSL 失败,证书仅适用于:wfly10-ssl
此致, CB
当有 SAN 可用时,CN 将被忽略。这是根据规范 RFC 6125:
A client MUST NOT seek a match for a reference identifier of CN-ID if the presented identifiers include a DNS-ID, SRV-ID, URI-ID, or any application-specific identifier types supported by the client.
另请参阅 Firefox 源代码中的 this comment。