Abbiamo due host Active Directory (AD), ead01.domain.com
e ead02.domain.com
; abbiamo anche un dominio di servizio corrispondente, a eadauth.domain.com
che round-robin tra questi host AD (tramite DNS).
Abbiamo un'applicazione ColdFusion (CF funziona su Java) che si collega al dominio del servizio tramite la porta sicura 636. Dopo aver aggiornato la nostra versione di Java alla 1.60_91 dalla 1.6.0_81, gli handshake SSL ora restituiscono occasionalmente questo errore:
jrpp-83, SEND TLSv1 ALERT: fatal, description = bad_certificate
jrpp-83, WRITE: TLSv1 Alert, length = 2
jrpp-83, called closeSocket()
jrpp-83, handling exception: javax.net.ssl.SSLHandshakeException: server certificate change is restricted during renegotiation
La rinegoziazione non sicura è stata disabilitata nella versione 1.6.0_85 .
ead01.domain.com
ha un certificato SAN con queste voci
SubjectAlternativeName [
DNSName: ead01.domain.com
DNSName: eadauth.domain.com
]
e ead02.domain.com
ha:
SubjectAlternativeName [
DNSName: ead02.domain.com
DNSName: eadauth.domain.com
]
Le mie domande sono: dovremmo generare e associare un nuovo certificato con SAN come segue su entrambi host?
SubjectAlternativeName [
DNSName: ead01.domain.com
DNSName: ead02.domain.com
DNSName: eadauth.domain.com
]
Ci sono dei lati negativi in questa configurazione? Altre opzioni che potremmo prendere in considerazione, oltre a disabilitare la rinegoziazione non sicura?