我为 OpenWRT (LEDE) 路由器 LUCI (uHTTPd) 系统分配了一个自签名通配符证书。签署此证书的 CA 已作为受信任的证书颁发机构添加到所有浏览器中。
它在 Internet Explorer、Edge 和 Chrome 上运行良好,但在 Firefox 58.0.2 上却不行,因为 Firefox 58.0.2 会抛出错误 SSL_ERROR_BAD_CERT_DOMAIN,即使在同一错误页面上指出该证书是为该域颁发的。
如果我直接为主机颁发证书(无通配符),那么它在 FF 中也可以正常工作。
什么可能导致该问题?
答案1
您的证书具有以下“主题备用名称”(SAN):
- DNS:*.主服务器.本地
- DNS:*.主服务器
- DNS:*.mgmt.ctb.co.at
- IP:192.168.0.254
- IP:192.168.0.9
- IP:192.168.10.254
- IP:192.168.11.254
- IP:192.168.12.254
- DNS:mgmt.ctb.co.at
- DNS:主服务器.本地
Firefox 不喜欢条目 2,因为它认为mainserverTLD 和中止那里;以下条目是不是检查过,因此您的fw1.mgmt.ctb.co.at永远不会匹配条目 3。
我通过重新排序 SAN 并将所有 FQDN 放在首位解决了我们域中的类似问题;您应该将条目 2 移到末尾。