Керл говорит, что «запрошенное имя домена не соответствует сертификату сервера», но, похоже, оно соответствует

Question

Я настроил сервер в своей локальной сети, но не могу найти и устранить проблемы с HTTPS-соединениями. Когда я использую curl -v для выполнения запроса, мне говорят, что «запрошенное имя домена не соответствует сертификату сервера».

Но сам вывод показывает, что домен совпадает: "reg.qa"

В чем здесь проблема?

$ curl -v https://reg.qa/
* Added reg.qa:443:172.18.0.4 to DNS cache
* About to connect() to reg.qa port 443 (#0)
*   Trying 172.18.0.4...
* Connected to reg.qa (172.18.0.4) port 443 (#0)
* Initializing NSS with certpath: sql:/etc/pki/nssdb
*   CAfile: /etc/pki/tls/certs/ca-bundle.crt
  CApath: none
* Server certificate:
*   subject: CN=reg.qa,OU=Web Test,O=MYORG,ST=CA,C=US
*   start date: Mar 11 20:53:04 2020 GMT
*   expire date: Mar 10 20:53:04 2025 GMT
*   common name: reg.qa
*   issuer: CN=reg.qa,OU=Web Test,O=MYORG,ST=CA,C=US
* NSS error -12276 (SSL_ERROR_BAD_CERT_DOMAIN)
* Unable to communicate securely with peer: requested domain name does not match the server's certificate.
* Closing connection 0
curl: (51) Unable to communicate securely with peer: requested domain name does not match the server's certificate.

Answer 1

• Ошибка NSS -12276 (SSL_ERROR_BAD_CERT_DOMAIN)

Насколько мне известно, более новые версии NSS требуют, чтобы в сертификате использовались альтернативные имена субъекта (SAN) для описания действительные домены. Использование общего имени (CN) устарело в течение многих лет, и несколько браузеров и TLS-стеков начали реализовывать это некоторое время go.