SSL證書SAN解決替代名稱

Question

我目前正在努力確保Wildfly 10應用程序服務器只接受SSL失敗。服務器在我的本地網絡中。服務器是我的私人域的一部分。我已經從我的CA發佈了SSL SAN證書並配置了Wildfly來使用證書。我將我的CA作爲可信CA安裝在我的Firefox瀏覽器中。當我通過SSL請求Wildfly的一個頁面時，只有它的基本名稱（主機名無域名），Firefox會報告一個安全連接。但是，當我嘗試通過完全合格的域名請求頁面時，它會報告一個有害的證書。證書是通過我的CA嚮導創建的，所以拼寫錯誤的內容標籤應該不是問題。我仔細檢查了值。

我使用的是SAN certifiate，這樣既要求（wfly10-SSL，wfly10-ssl.mydomain.local）應報告爲安全連接。當我檢查證書時，它報告兩個名稱都是有效的。

沒有任何人有一個想法，我要去的地方錯了嗎？

私人領域：mydomain.local
服務器名稱（原味）：wfly10-SSL
服務器的域名（FQDN）：wfly10-ssl.mydomain.local

證書內容（部分）：
通用名稱/ CN = wfly10-ssl.mydomain.local
主題備用名稱/ SAN = DNS = wfly10-SSL

https://wfly10-ssl:8443/ - > SSL OK
https://wfly10-ssl.mydomain.local:8443/ - > SSL失敗，certifica wfly10-SSL

最好的問候， CB

Answer 1

時，有一個SAN可用的CN被忽略：TE只對有效。這是根據本說明書RFC 6125：

客戶端必須不尋求CN-ID的基準標識符的匹配，如果所呈現的標識符包括DNS-ID，SRV-ID，URI-ID，或任何應用程序 - 客戶端支持的特定標識符類型。

也this comment看到Firefox的源代碼。