自己署名ワイルドカード証明書を OpenWRT (LEDE) ルーター LUCI (uHTTPd) システムに割り当てました。この証明書に署名した CA は、信頼できる証明機関としてすべてのブラウザーに追加されました。
Internet Explorer、Edge、Chrome では正常に動作しますが、Firefox 58.0.2 では動作しません。Firefox 58.0.2 では、同じエラー ページにこのドメインに対して証明書が発行されたことが示されているにもかかわらず、SSL_ERROR_BAD_CERT_DOMAIN エラーがスローされます。
ホストに対して直接証明書を発行すると (ワイルドカードなし)、FF でも正常に動作します。
この問題の原因は何でしょうか?
答え1
証明書には次の「サブジェクト別名」(SAN) があります。
- DNS:*.メインサーバー.ローカル
- DNS:*.メインサーバー
- DNS:*.mgmt.ctb.co.at
- IP:192.168.0.254
- IP:192.168.0.9
- IP:192.168.10.254
- IP:192.168.11.254
- IP:192.168.12.254
- DNS:mgmt.ctb.co.at
- DNS:メインサーバー.local
Firefoxはエントリ2を好みません。TLDmainserverと中止そこには次のエントリがありますないチェックされているので、fw1.mgmt.ctb.co.atエントリ 3 と一致することはありません。
私たちのドメインでは、SAN の順序を変更し、すべての FQDN を先頭に配置することで同様の問題を解決しました。エントリ 2 を最後に移動する必要があります。