我遇到一种情况,即主机的SSL证书配置了错误的CN名称。更糟糕的是,许多客户端连接到该服务。现在需要更改证书中的CN名称。
这就是我正在考虑的。请让我知道我是否缺少某些东西:
为新的CN生成另一个证书,然后将其导入到JKS [Java Key Store]。通过拥有两个证书,其想法是让客户按照自己的节奏无缝地迁移到新证书。一旦所有客户端迁移,我们将从密钥库中删除旧证书。我尝试过这种方法。但是,当我使用新的CN访问服务时,出现“ 证书中的主机名不匹配”错误。我仍然可以访问旧的CN。
另一种方法我正在考虑拥有多域证书。在这种方法中,我将为旧CN生成一个具有SAN名称的新证书,其中CN为新名称。我希望这将允许客户端使用两个CN名称使用该服务。但是,只有当所有客户端开始使用新CN时可以删除引用旧CN的SAN时,此选项才可行。