Ich habe einem OpenWRT (LEDE) Router LUCI (uHTTPd) System ein selbst signiertes Wildcard-Zertifikat zugewiesen. Die CA, die dieses Zertifikat signiert hat, wurde allen Browsern als vertrauenswürdige Zertifizierungsstelle hinzugefügt.
Es funktioniert einwandfrei unter Internet Explorer, Edge und Chrome, aber nicht unter Firefox 58.0.2, der den Fehler SSL_ERROR_BAD_CERT_DOMAIN ausgibt, obwohl auf derselben Fehlerseite angegeben wird, dass das Zertifikat für diese Domäne ausgestellt ist.
Wenn ich das Zertifikat direkt für den Host ausstelle (kein Platzhalter), funktioniert es auch in FF einwandfrei.
Was könnte dieses Problem verursachen?
Antwort1
Ihr Zertifikat hat folgende „Subject Alternative Names“ (SAN):
- DNS:*.mainserver.local
- DNS:*.mainserver
- DNS:*.mgmt.ctb.co.at
- IP:192.168.0.254
- IP:192.168.0.9
- IP:192.168.10.254
- IP:192.168.11.254
- IP:192.168.12.254
- DNS:mgmt.ctb.co.at
- DNS:Hauptserver.local
Firefox mag Eintrag 2 nicht, da er mainserver
eine TLD betrachtet undAbbrüchedort sind folgende Einträgenichtgeprüft, sodass Ihr fw1.mgmt.ctb.co.at
Eintrag niemals mit Eintrag 3 übereinstimmt.
Ich habe ein ähnliches Problem in unserer Domäne gelöst, indem ich die SANs neu geordnet und alle FQDNs an den Anfang gestellt habe. Sie sollten Ihren Eintrag 2 an das Ende verschieben.