Я назначил самоподписанный wildcard-сертификат системе OpenWRT (LEDE) маршрутизатора LUCI (uHTTPd). CA, подписавший этот сертификат, был добавлен во все браузеры как доверенный центр сертификации.
Он отлично работает в Internet Explorer, Edge и Chrome, но не в Firefox 58.0.2, который выдает ошибку SSL_ERROR_BAD_CERT_DOMAIN, даже если на той же странице ошибки указано, что сертификат выдан для этого домена.
Если я выдаю сертификат напрямую для хоста (без подстановочных знаков), то он также отлично работает в FF.
Что может быть причиной этой проблемы?
решение1
Ваш сертификат имеет следующие «Альтернативные имена субъектов» (SAN):
- DNS:*.mainserver.local
- DNS:*.главныйсервер
- DNS:*.mgmt.ctb.co.at
- IP-адрес:192.168.0.254
- IP-адрес:192.168.0.9
- IP-адрес:192.168.10.254
- IP-адрес:192.168.11.254
- IP-адрес:192.168.12.254
- DNS:mgmt.ctb.co.at
- DNS:mainserver.local
Firefox не нравится запись 2, так как он рассматривает mainserverTLD ипрерываеттам; следующие записинетпроверено, поэтому ваш fw1.mgmt.ctb.co.atникогда не соответствует записи 3.
Я решил похожую проблему в нашем домене, изменив порядок SAN и поместив все FQDN на первое место; вам следует переместить запись 2 в конец.
Вопросы Firefox, представляющие интерес
- 1489045: Wildcard-сертификат не работает должным образом при использовании корпоративных корней
- 1196364: Правильная обработка wildcard-сертификатов для всех TLD
- 1757758: рассмотрите возможность игнорирования недопустимых записей в subjectAlternativeNames с помощью mozilla::pkix
- Список публичных суффиксов