对于绑定到虚拟服务的通配符证书,可能会观察到 NSX Advanced Load Balancer 不信任通配符证书错误。
以下是 NSX Advanced Load Balancer 不信任的通配符证书示例。
虚拟服务与通配符 SSL 证书关联,该证书的公用名称 (CN) 设置为 *.abc.example.com,主体备用名称 (SAN) 值设置为 abc.example.com。尽管 NSX Advanced Load Balancer 信任对 abc.example.com 的 HTTPS 访问,但不信任 globaldev.abc.example.com 域。*abc.example.com 和 abc.example.com 的 DNS 解析返回配置的虚拟服务的 IP 地址。
解决方案
示例中使用的证书是通配符证书,其 SAN 字段的 DNS 名称设置为 abc.example.com。
要解决该问题,请设置带有星号 (*) 的 SAN 字段,如下所示。在修改 SAN 字段后,客户端浏览器将该证书作为通配符证书进行验证。
DNS 名称 - *.abc.example.com。
其他信息
有关在证书具有 SAN 字段时如何验证域的更多信息,请参见主体备用名称:兼容性。
如果 SSL 证书具有主体备用名称 (SAN) 字段,SSL 客户端应忽略公用名称值,并在 SAN 列表中查找匹配项。这就是 DigiCert 始终在证书中反复将公用名称作为第一个 SAN 的原因。