对于绑定到虚拟服务的通配符证书，可能会观察到 NSX Advanced Load Balancer 不信任通配符证书错误。

以下是 NSX Advanced Load Balancer 不信任的通配符证书示例。

虚拟服务与通配符 SSL 证书关联，该证书的公用名称 (CN) 设置为 *.abc.example.com，主体备用名称 (SAN) 值设置为 abc.example.com。尽管 NSX Advanced Load Balancer 信任对 abc.example.com 的 HTTPS 访问，但不信任 globaldev.abc.example.com 域。*abc.example.com 和 abc.example.com 的 DNS 解析返回配置的虚拟服务的 IP 地址。

解决方案

示例中使用的证书是通配符证书，其 SAN 字段的 DNS 名称设置为 abc.example.com。

要解决该问题，请设置带有星号 (*) 的 SAN 字段，如下所示。在修改 SAN 字段后，客户端浏览器将该证书作为通配符证书进行验证。

DNS 名称 - *.abc.example.com。

其他信息

有关在证书具有 SAN 字段时如何验证域的更多信息，请参见主体备用名称：兼容性。

如果 SSL 证书具有主体备用名称 (SAN) 字段，SSL 客户端应忽略公用名称值，并在 SAN 列表中查找匹配项。这就是 DigiCert 始终在证书中反复将公用名称作为第一个 SAN 的原因。