У меня есть веб-сервер в моей интрасети, к которому можно получить доступ через subdomain.domain.com и просто subdomain. Сертификат SSL создан для subdomain.domain.com что приводит к предупреждению, как только я получаю доступ только subdomain через https.
Есть идеи, как это можно решить? (да, я мало что знаю о конфигурации ssl-сервера :-)
Вы можете просто добавить альтернативные имена к сертификату при подписании. Например, если вы используете OpenSSL и используете server_ca раздел при подписании (например, openssl ca -config my.conf -name server_ca -in server.req -out server.crt), убедитесь, что у вас есть раздел, подобный следующему, в файле конфигурации, который вы используете при подписании:
[server_ca]
...
x509_extensions = server_cert
[server_cert]
...
subjectAltName = @server_alt_names
[server_alt_names]
DNS.1 = subdomain.domain.com
DNS.2 = subdomain
Чтобы проверить свой сертификат, подключите его к openssl x509 -noout -text. Вы должны увидеть на выходе такую строку:
X509v3 Subject Alternative Name:
DNS:subdomain.domain.com, DNS:subdomain
Я видел комментарий о SNI, но если вы просто подпишете сертификат, SNI не будет иметь никакого значения (если оба имени должны указывать на одно и то же содержимое). Этот метод наверняка работает для Firefox и IE, но никак не для Chrome и wget. Фактически, CN в сертификате не имеет значения, даже если у вас есть имена, указанные в качестве альтернативных имен.