SSL证书在解析替代名称时失败

Question

我目前正试图保护Wildfly 10应用服务器的安全，使其只接受SSL。服务器在我的本地网络中。服务器是我的私有域的一部分。我已经从我的CA颁发了一个SSL SAN证书，并将Wildfly配置为使用该证书。我在Firefox浏览器中将CA作为可信CA安装。当我通过SSL向Wildfly请求页面时，只需使用它的basename (主机名没有域)，Firefox就会报告一个安全的连接。但是当我试图通过一个完全限定的域名请求一个页面时，它会报告一个矛盾的证书。证书是通过从我的CA创建的向导创建的，因此拼写错误的内容标记不应成为问题。我仔细检查了数值。

我正在使用SAN认证，因此这两个请求(wfly10-ssl、wfly10-ssl.mydomain.local)都应该报告为安全连接。当我检查证书时，它会报告这两个名称都是有效的。

有人知道我哪里出了问题吗？

私有域: mydomain.local

服务器名称(普通)：wfly10-ssl

服务器名(fqdn)：wfly10-ssl.mydomain.local

证书内容(部分)：

公共名称/ CN = wfly10-ssl.mydomain.local

Subject Alternative Name / SAN = DNS=wfly10-ssl

https://wfly10-ssl:8443/ -> SSL确定

https://wfly10-ssl.mydomain.local:8443/ -> SSL失败，证书仅适用于: wfly10-ssl。

向你问好，CB

Answer 1

当有SAN可用时，CN将被忽略。这是根据规范RFC 6125

如果所提供的标识符包括DNS-ID、SRV、URI-ID或客户端支持的任何特定于应用程序的标识符类型，则客户端不得为CN的引用标识符寻找匹配。

还请参阅火狐源代码中的这句话。