将我们的数据库系统从11g升级到12c后,我们无法向其中一个网络服务器发出https请求。 经过大量的谷歌搜索和反复试验,我们非常确定错误是由于我们的远程证书。钱包不包含服务器证书,只有CA存在(在某处读取,ora12不再像钱包中的常规证书那样)
我发现的证书唯一特别之处:
没有CN ,它只有几个SAN指定。
使用11g请求就像魅力一样,但12c不再允许证书。我们发现utl_http_request()得到了一个新参数," https_host"它与服务器证书(1)的公共名称相匹配,而不是说有关主题备用名称的任何内容。无论我们为此参数选择哪个值,调用都会失败并显示ORA-24263。
我无法理解为什么oracle应该忽略SAN,因为根据 2011 中的RFC6125(2)它们是非常强制性的:
但是,主题字段为空是完全可以接受的,只要证书包含主题备用名称(" subjectAltName")扩展名,其中包含至少一个subjectAltName条目,因为[.. ]
有类似问题的人吗?
如何解决此错误?
由于
答案 0 :(得分:1)
联系Oracle支持部门,因为这是一个已知的错误。我怀疑Bug 25734963:UTL_HTTP中的SNI支持 注意:还有其他一些如Bug 26040483和26190856,但至少有一个会发生冲突,因此您可能需要请求合并补丁。