Tenemos dos hosts de directorio activo (AD), ead01.domain.com
y ead02.domain.com
; también tenemos un dominio de servicio correspondiente, en eadauth.domain.com
que redondea los robins entre estos hosts AD (a través de DNS).
Tenemos una aplicación ColdFusion (CF se ejecuta en Java) que se conecta al dominio de servicio a través del puerto seguro 636. Después de actualizar nuestra versión de Java a 1.60_91 desde 1.6.0_81, los protocolos SSL ahora ocasionalmente devuelven este error:
jrpp-83, SEND TLSv1 ALERT: fatal, description = bad_certificate
jrpp-83, WRITE: TLSv1 Alert, length = 2
jrpp-83, called closeSocket()
jrpp-83, handling exception: javax.net.ssl.SSLHandshakeException: server certificate change is restricted during renegotiation
La renegociación insegura se inhabilitó en 1.6.0_85 .
ead01.domain.com
tiene un certificado SAN con estas entradas
SubjectAlternativeName [
DNSName: ead01.domain.com
DNSName: eadauth.domain.com
]
y ead02.domain.com
tiene:
SubjectAlternativeName [
DNSName: ead02.domain.com
DNSName: eadauth.domain.com
]
Mis preguntas son: ¿Deberíamos generar y vincular un nuevo certificado con SAN como se indica a continuación en ambos hosts?
SubjectAlternativeName [
DNSName: ead01.domain.com
DNSName: ead02.domain.com
DNSName: eadauth.domain.com
]
¿Hay algún lado negativo en esta configuración? ¿Alguna otra opción que podamos considerar, aparte de desactivar la renegociación insegura?