SSL 인증서 에러(No subject alternative DNS name matching)

SSL 인증서 에러(No subject alternative DNS name matching)

---

내부에서 외부PG사로 Sync를 했을 때 아래와 같이 에러가 발생한다.

INFO [16:43:19] [1.2.3.4] getOrderInfo(227) http Sync : https://woni.woni.com/mileage/Sync
DEBUG [16:43:19] [1.2.3.4] getOrderInfo(247) Sync URL : https://woni.woni.com/mileage/tmoneySync
ERROR [16:43:19] [1.2.3.4] httpConnection(102) httpConnection Exception : java.security.cert.CertificateException: No subject alternative DNS name matching woni.woni.com found.
ERROR [16:43:19] [1.2.3.4] getOrderInfo(251) [FATAL] SYNC Error : java.security.cert.CertificateException: No subject alternative DNS name matching woni.woni.com found.

URL에 보면 HTTPS로 외부 PG사로 요청했을 때 발생했고 DNS matching이 안되는 것으로 봐서 인증서 부분을 확인했다.
확인했을 때 인증서 발급자체를 WhildCard인증서(*.woni.com)이 아닌 www.woni.com으로 인증서를 받았기 때문에 발생하는 것으로 보여진다.

예를들면 이렇다.
www.woni.com 를 인증서를 발급받았는데 apache또는 nginx에서 도메인을 woni.woni.com에다가 인증서를 적용하면 문제가 발생한다고 보면 될 것 같다.

❯ openssl s_client -connect www.woni.com:443
CONNECTED(00000005)
depth=0 CN = woni.com
verify error:num=20:unable to get local issuer certificate
verify return:1
depth=0 CN = woni.com
verify error:num=21:unable to verify the first certificate
verify return:1

write W BLOCK
❯  openssl s_client -connect woni.woni.com:443
CONNECTED(00000005)
depth=2 C = US, ST = New Jersey, L = Jersey City, O = The USERTRUST Network, CN = USERTrust RSA Certification Authority
verify return:1
depth=1 C = GB, ST = Greater Manchester, L = Salford, O = Sectigo Limited, CN = Sectigo RSA Domain Validation Secure Server CA
verify return:1
depth=0 CN = www.woni.com
verify error:num=10:certificate has expired

notAfter=Jul 29 23:59:59 2022 GMT
verify return:1
depth=0 CN = www.woni.com
notAfter=Jul 29 23:59:59 2022 GMT
verify return:1
write W BLOCK

여기서 의문이 들었던건 저 하위 도메인을 생성하고 접근 했을 때 웹에서 봤을 때는 인증서에 대한 이슈가 따로 보이지 않았다.
접속도 잘되었었고 인증서도 잘 들어간것처럼 보였으나 실질적으로 openssl을 이용해 확인했을 때 Connected는 되었지만 실제 서버로그에서는 에러가 발생한 것으로 보였다.
그래서 결국 www.woni.com의 도메인에 하위 URL로 분기하여 사용했을 땐 에러가 발생하지 않은 것으로 봐서는 인증부분에 문제가 있는건 확실해보였다.

끝.

 

--- 2024년 12월 내용 추가

생각보다 이 글을 보시는 분들이 많아서 위 내용을 정정합니다.

위 내용을 보면 depth=0 부분을 보면 woni.woni.com 을 했는데도 www로 보여진다.

애초에 와일드카드 인증서가 아니라 www 인증서로받아서 발생하는에러입니다.

업체 측에서 와일드카드 인증서로 재발급 후 해결되었습니다.