Question

我有* .mydomain的证书，并尝试使用https://my-host.mydomain与主机联系。

这里有详细的输出（乱码）。

curl https://my-host.mydomain --verbose
* Rebuilt URL to: https://my-host.mydomain/
*   Trying 10.0.128.43...
* Connected to my-host.mydomain (10.0.128.43) port 443 (#0)
* Initializing NSS with certpath: sql:/etc/pki/nssdb
*   CAfile: /etc/pki/tls/certs/ca-bundle.crt
  CApath: none
* Server certificate:
*   subject: CN=*.mydomain,OU=MyDomain,O=MyCompany,ST=AZ,C=US
*   start date: Nov 09 01:39:29 2016 GMT
*   expire date: Nov 09 01:39:29 2017 GMT
*   common name: *.mydomain
*   issuer: CN=my.other.domain.com,OU=MyDomain,O=MyCompany,ST=AZ,C=US
* NSS error -12276 (SSL_ERROR_BAD_CERT_DOMAIN)
* Unable to communicate securely with peer: requested domain name does not match the server's certificate.
* Closing connection 0
curl: (51) Unable to communicate securely with peer: requested domain name does not match the server's certificate.

我看过几个案例，当人们抱怨* .bla不匹配bla时，但这不是我的情况。

我只有野性和荒谬的猜测：

它可以与发行人完全相关单独的域？
也许我不被允许发行2级通配符？（例如* .a.b没问题，但* .b不是）

证书，以* .other.domain.com获得的相同方式正常工作。

为什么CURL会为* .mycomp

0 个答案: