我將自簽章通配符憑證指派給 OpenWRT (LEDE) 路由器 LUCI (uHTTPd) 系統。簽署此憑證的 CA 已作為受信任的憑證授權單位新增至所有瀏覽器。
它在 Internet Explorer、Edge 和 Chrome 上運作良好,但在 Firefox 58.0.2 上運作不佳,它會拋出錯誤 SSL_ERROR_BAD_CERT_DOMAIN,即使它在相同錯誤頁面上聲明憑證是為此網域頒發的。
如果我直接為主機頒發憑證(無通配符),那麼它在 FF 中也可以正常運作。
什麼可能導致此問題?
答案1
您的憑證具有以下「使用者備用名稱」(SAN):
- DNS:*.mainserver.local
- DNS:*.主伺服器
- DNS:*.mgmt.ctb.co.at
- IP:192.168.0.254
- IP:192.168.0.9
- IP:192.168.10.254
- IP:192.168.11.254
- IP:192.168.12.254
- DNS:mgmt.ctb.co.at
- DNS:主伺服器.local
Firefox 不喜歡條目 2,因為它認為是mainserverTLD 並且中止那裡;以下條目是不是已檢查,因此您的條目fw1.mgmt.ctb.co.at永遠不會匹配條目 3。
我透過重新排序 SAN 並將所有 FQDN 放在第一位解決了我們網域中的類似問題;您應該將條目 2 移至末尾。