找不到与ex.ample.com匹配的主题备用DNS名称

Question

对于在ex.ample.com上运行的应用程序，我有来自StartSSL / StartCom的以下证书：

Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number: 163069 (0x27cfd)
        Signature Algorithm: sha1WithRSAEncryption
        Issuer: C=IL, O=StartCom Ltd., OU=Secure Digital Certificate Signing, CN=StartCom Class 1 Primary Intermediate Server CA
        Validity
            Not Before: Nov 27 21:26:01 2010 GMT
            Not After : Nov 29 15:32:05 2011 GMT
        Subject: description=303703-Sv1xMdnmzg6garMt, C=NL, O=Persona Not Validated, OU=StartCom Free Certificate Member, CN=ex.ample.com/emailAddress=postmaster@ex.ample.com
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
            RSA Public Key: (2048 bit)
                Modulus (2048 bit):
                    ....
                Exponent: 65537 (0x10001)
        X509v3 extensions:
            X509v3 Basic Constraints: 
                CA:FALSE
            X509v3 Key Usage: 
                Digital Signature, Key Encipherment, Key Agreement
            X509v3 Extended Key Usage: 
                TLS Web Server Authentication
            X509v3 Subject Key Identifier: 
                31:68:B2:7B:A2:7C:79:54:B7:3E:66:FD:12:04:18:FC:FB:9B:34:64
            X509v3 Authority Key Identifier: 
                keyid:EB:42:34:D0:98:B0:AB:9F:F4:1B:6B:08:F7:CC:64:2E:EF:0E:2C:45

            X509v3 Subject Alternative Name: 
                DNS:ex.ample.com, DNS:ample.com
            X509v3 Certificate Policies: 
                Policy: 1.3.6.1.4.1.23223.1.2.2
                  CPS: http://www.startssl.com/policy.pdf
                  CPS: http://www.startssl.com/intermediate.pdf
                  User Notice:
                    Organization: StartCom Ltd.
                    Number: 1
                    Explicit Text: Limited Liability, see section *Legal Limitations* of the StartCom Certification Authority Policy available at http://www.startssl.com/policy.pdf

            X509v3 CRL Distribution Points: 
                URI:http://www.startssl.com/crt1-crl.crl
                URI:http://crl.startssl.com/crt1-crl.crl

            Authority Information Access: 
                OCSP - URI:http://ocsp.startssl.com/sub/class1/server/ca
                CA Issuers - URI:http://www.startssl.com/certs/sub.class1.server.ca.crt

            X509v3 Issuer Alternative Name: 
                URI:http://www.startssl.com/
    Signature Algorithm: sha1WithRSAEncryption
        .....

我已正确安装此证书。它在我使用Firefox访问应用程序时有效。 当我使用Java的HttpURLConnection从中检索页面时，我收到以下错误：

Caused by: java.security.cert.CertificateException: No subject alternative DNS name matching ex.ample.com found.
    at sun.security.util.HostnameChecker.matchDNS(HostnameChecker.java:208)
    at sun.security.util.HostnameChecker.match(HostnameChecker.java:94)
    at sun.security.ssl.X509TrustManagerImpl.checkIdentity(X509TrustManagerImpl.java:285)
    at sun.security.ssl.X509TrustManagerImpl.checkServerTrusted(X509TrustManagerImpl.java:271)
    at sun.security.ssl.ClientHandshaker.serverCertificate(ClientHandshaker.java:1012)
    ... 14 more

我不明白为什么会这样。 ex.ample.com是证书中的公用名（CN），也列在SAN中。 我已经在我的信任库中导入了StarSLL的证书，所以这不是问题所在。

Answer 1

我们最近遇到了这个问题，这是一场噩梦，因为我们只能在生产服务器中重现它，而调试访问权限接近于零。其余环境运行良好。我们的堆栈是 JDK 1.8.x+、JBoss EAP 7+、Java Spring Boot 应用程序和作为身份提供者的 Okta（从 Okta 恢复众所周知的配置时 SSL 握手失败，其中 okta 在 AWS 云中可用 - 虚拟服务器）。

最后，我们发现（没人知道为什么）我们使用的 JBoss EAP 应用服务器有一个额外的 JVM 系统属性：

jsse.enableSNIExtension = false

这会阻止建立 TLS 连接，我们能够通过在其他环境中添加相同的系统属性/值来重现该问题。因此，解决方案很简单，删除不需要的属性和价值。

根据 Java 安全文档，对于 Java 7+，此属性默认设置为 true（请参阅 https://docs.oracle.com/javase/7/docs/technotes/guides/security/jsse/JSSERefGuide.html#InstallationAndCustomization）

<块引用>

• jsse.enableSNIExtension 系统属性。服务器名称指示 (SNI) 是 RFC 4366 中定义的 TLS 扩展。它支持与虚拟服务器的 TLS 连接，其中具有不同网络名称的多个服务器托管在单个底层网络地址上。 一些非常老的 SSL/TLS 供应商可能无法处理 SSL/TLS 扩展。在这种情况下，将此属性设置为 false 以禁用 SNI 扩展。

Answer 2

不确定您是否还在寻找答案。可能不是！

此处的问题是证书中的DNS条目与您在应用程序中提供的服务器/主机名不匹配。您的代码在某处有主机名验证。删除该位代码或将您提供的主机名更改为证书中的DNS名称。