SSL SAN 证书无法解析替代名称

【问题标题】:SSL SAN certificate fails in resolving alternative nameSSL SAN 证书无法解析替代名称
【发布时间】:2017-05-14 18:50:58
【问题描述】:

我目前正在尝试确保 Wildfly 10 应用程序服务器仅接受 SSL。服务器在我的本地网络中。该服务器是我私人域的一部分。我已经从我的 CA 颁发了 SSL SAN 证书,并将 Wildfly 配置为使用该证书。我在 Firefox 浏览器中将我的 CA 安装为受信任的 CA。当我通过 SSL 从 Wildfly 请求仅具有其基本名称(没有域的主机名)的页面时,Firefox 报告安全连接。但是,当我尝试通过完全限定的域名请求页面时,它会报告一个模棱两可的证书。该证书是通过我的 CA 的向导创建的,因此拼写错误的内容标签应该不是问题。我仔细检查了这些值。

我正在使用 SAN 证书,因此两个请求(wfly10-ssl、wfly10-ssl.mydomain.local)都应报告为安全连接。当我检查证书时,它报告这两个名称都是有效的。

有人知道我哪里出错了吗?

私有域:mydomain.local
服务器名称(普通):wfly10-ssl
服务器名称(fqdn):wfly10-ssl.mydomain.local

证书内容(部分):
通用名称 / CN = wfly10-ssl.mydomain.local
主题备用名称/SAN = DNS=wfly10-ssl

https://wfly10-ssl:8443/ -> SSL OK
https://wfly10-ssl.mydomain.local:8443/ -> SSL 失败,证书仅对 wfly10-ssl 有效

最好的问候, CB

【问题讨论】:

    标签: ssl certificate ssl-certificate wildfly wildfly-10


    【解决方案1】:

    当有可用的 SAN 时,CN 会被忽略。这是根据规范RFC 6125

    如果提供的标识符包括 DNS-ID、SRV-ID、URI-ID 或客户端支持的任何特定于应用程序的标识符类型,则客户端不得为 CN-ID 的参考标识符寻找匹配项。

    另请参阅 Firefox 源代码中的 this comment

    【讨论】:

    • 所以我必须在证书的 SAN 部分声明所有可能的匹配项。感谢您的帮助
    猜你喜欢
    • 1970-01-01
    • 2012-01-16
    • 2013-05-17
    • 2012-02-03
    • 2012-12-25
    • 1970-01-01
    • 2014-11-16
    • 2010-11-30
    • 1970-01-01
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode