我目前正在尝试保护Wildfly 10应用程序服务器仅接受SSL。服务器在我的本地网络中。该服务器是我的私人域名的一部分。我已从我的CA颁发了SSL SAN证书,并将Wildfly配置为使用该证书。我在我的Firefox浏览器中将我的CA安装为可信CA.当我通过SSL仅通过其基本名称(没有域名的主机名)从Wildfly请求页面时,Firefox会报告一个安全连接。但是,当我尝试通过完全合格的域名请求页面时,它会报告一个暧昧的证书。证书是通过我的CA向导创建的,因此拼写错误的内容标记应该不是问题。我仔细检查了这些值。
我正在使用SAN认证,因此两个请求(wfly10-ssl,wfly10-ssl.mydomain.local)都应报告为安全连接。当我检查证书时,它会将这两个名称报告为有效。
有人知道我哪里出错吗?
私有域名:mydomain.local
服务器名称(普通):wfly10-ssl
服务器名称(fqdn):wfly10-ssl.mydomain.local
证书内容(部分):
通用名称/ CN = wfly10-ssl.mydomain.local
主题备选名称/ SAN = DNS = wfly10-ssl
https://wfly10-ssl:8443/ - > SSL OK
https://wfly10-ssl.mydomain.local:8443/ - > SSL失败,证书仅对以下内容有效:wfly10-ssl
祝你好运, CB
答案 0 :(得分:2)
当SAN可用时,将忽略CN。这是根据规范RFC 6125:
如果提供的标识符包括DNS-ID,SRV-ID,URI-ID或客户端支持的任何特定于应用程序的标识符类型,则客户端不得寻求CN-ID的引用标识符匹配。
另请参阅Firefox源代码中的this comment。