*.mydomain の証明書があり、https://my-host.mydomainでホストに到達しようとしています。
詳細な出力は次のとおりです(少しスクランブルされています)。
curl https://my-host.mydomain --verbose
* Rebuilt URL to: https://my-host.mydomain/
* Trying 10.0.128.43...
* Connected to my-host.mydomain (10.0.128.43) port 443 (#0)
* Initializing NSS with certpath: sql:/etc/pki/nssdb
* CAfile: /etc/pki/tls/certs/ca-bundle.crt
CApath: none
* Server certificate:
* subject: CN=*.mydomain,OU=MyDomain,O=MyCompany,ST=AZ,C=US
* start date: Nov 09 01:39:29 2016 GMT
* expire date: Nov 09 01:39:29 2017 GMT
* common name: *.mydomain
* issuer: CN=my.other.domain.com,OU=MyDomain,O=MyCompany,ST=AZ,C=US
* NSS error -12276 (SSL_ERROR_BAD_CERT_DOMAIN)
* Unable to communicate securely with peer: requested domain name does not match the server's certificate.
* Closing connection 0
curl: (51) Unable to communicate securely with peer: requested domain name does not match the server's certificate.
*.bla が bla と一致しないと不平を言うケースをいくつか見てきましたが、私の場合はそうではありません。
私はワイルドで無意味な推測しか持っていません:
- 完全に別のドメインにいる発行者と何か関係があるのでしょうか?
- レベル 2 のワイルドカードを発行することは許可されていないのでしょうか? (例: *.ab は問題ありませんが、*.b は問題ありません)
*.other.domain.com に対して同じ方法で取得した証明書は正常に機能します。