ใบรับรองสำหรับเซิร์ฟเวอร์ Gitlab ไม่ถูกต้องสำหรับชื่อสำรองของหัวเรื่อง

บริษัทของฉันมีใบรับรองสำหรับ https://data.ddl.atซึ่งมี SAN (Subject Alternative Name) สำหรับ gitlab.ddl.at. เซิร์ฟเวอร์ Gitlab นี้เป็นเซิร์ฟเวอร์ภายใน และชื่อโดเมนจะได้รับการแก้ไขโดยเซิร์ฟเวอร์ DNS ภายในของเราเท่านั้น สำหรับการอ้างอิง ยังมี SAN https://sicher.ddl.atซึ่งเป็นแบบสาธารณะและใช้ได้ในเบราว์เซอร์

ฉันได้กำหนดค่าใบรับรองนี้บนเซิร์ฟเวอร์ Gitlab และเมื่อฉันไปที่ gitlab.ddl.atใบรับรองได้รับการตรวจสอบโดยเบราว์เซอร์และถือว่าถูกต้อง

ปัญหาเกิดขึ้นเมื่อฉันพยายามใช้ Gitlab-Runner ฉันมีอันหนึ่งติดตั้งและลงทะเบียนบนเครื่องอื่น และหลังจากมีปัญหาบางอย่างในตอนแรก ฉันได้มันมาเชื่อมต่อกับอินสแตนซ์หลัก แต่งานก็ยังไม่สามารถเช็คเอาต์โมดูลย่อยได้ ตัวรันเนอร์กำลังได้รับ การตรวจสอบใบรับรองเซิร์ฟเวอร์ล้มเหลว.

ตอนนี้นี่คือสิ่งที่ฉันเชื่อว่าเป็นอาการของปัญหา: ถ้าฉันวิ่ง openssl s_client -เชื่อมต่อ data.ddl.at:443, ฉันเข้าใจ:

เชื่อมต่อแล้ว(00000005)
ความลึก=2 OU = GlobalSign Root CA - R3, O = GlobalSign, CN = GlobalSign
ตรวจสอบผลตอบแทน:1
ความลึก=1 C = BE, O = GlobalSign nv-sa, CN = GlobalSign Extended Validation CA - SHA256 - G3
ตรวจสอบผลตอบแทน:1
ความลึก=0 ธุรกิจหมวดหมู่ = องค์กรเอกชน หมายเลขซีเรียล = FN 374566h เขตอำนาจศาล C = AT เขตอำนาจศาล L = Wels เขตอำนาจศาลST = Oberoesterreich C = AT ST = Oberoesterreich L = Ruestorf ถนน = Erwin Greiner-Str. 4, OU = GIS, O = DDL GmbH, CN = data.ddl.at
ตรวจสอบผลตอบแทน:1
---
ห่วงโซ่ใบรับรอง
 0 s:businessCategory = องค์กรเอกชน, serialNumber = FN 374566h, เขตอำนาจศาล C = AT, เขตอำนาจศาลL = Wels, เขตอำนาจศาลST = Oberoesterreich, C = AT, ST = Oberoesterreich, L = Ruestorf, street = Erwin Greiner-Str. 4, OU = GIS, O = DDL GmbH, CN = data.ddl.at
   i:C = BE, O = GlobalSign nv-sa, CN = GlobalSign Extended Validation CA - SHA256 - G3
 1 วินาที:C = BE, O = GlobalSign nv-sa, CN = GlobalSign Extended Validation CA - SHA256 - G3
   i:OU = GlobalSign Root CA - R3, O = GlobalSign, CN = GlobalSign
---
ใบรับรองเซิร์ฟเวอร์
[...]

และในตอนท้าย: ตรวจสอบรหัสส่งคืน: 0 (ตกลง)

ตอนนี้เมื่อฉันวิ่ง openssl s_client -เชื่อมต่อ gitlab.ddl.at:443, ฉันเข้าใจ:

เชื่อมต่อแล้ว(00000005)
ความลึก=0 ธุรกิจหมวดหมู่ = องค์กรเอกชน หมายเลขซีเรียล = 374566h เขตอำนาจศาล C = AT เขตอำนาจศาลL = Wels เขตอำนาจศาลST = Oberoesterreich C = AT ST = Oberoesterreich L = Ruestorf ถนน = Erwin Greiner-Stra\C3\9Fe 4, OU = GIS, O = DDL GmbH, CN = data.ddl.at
ตรวจสอบข้อผิดพลาด: num=20: ไม่สามารถรับใบรับรองผู้ออกในท้องถิ่น
ตรวจสอบผลตอบแทน:1
ความลึก=0 ธุรกิจหมวดหมู่ = องค์กรเอกชน หมายเลขซีเรียล = 374566h เขตอำนาจศาล C = AT เขตอำนาจศาลL = Wels เขตอำนาจศาลST = Oberoesterreich C = AT ST = Oberoesterreich L = Ruestorf ถนน = Erwin Greiner-Stra\C3\9Fe 4, OU = GIS, O = DDL GmbH, CN = data.ddl.at
ตรวจสอบข้อผิดพลาด:num=21:ไม่สามารถตรวจสอบใบรับรองแรก
ตรวจสอบผลตอบแทน:1
---
ห่วงโซ่ใบรับรอง
 0 s:businessCategory = องค์กรเอกชน, serialNumber = 374566h, เขตอำนาจ C = AT, เขตอำนาจศาลL = Wels, เขตอำนาจศาลST = Oberoesterreich, C = AT, ST = Oberoesterreich, L = Ruestorf, street = Erwin Greiner-Stra\C3\9Fe 4, OU = GIS, O = DDL GmbH, CN = data.ddl.at
   i:C = BE, O = GlobalSign nv-sa, CN = GlobalSign Extended Validation CA - SHA256 - G3
---
ใบรับรองเซิร์ฟเวอร์
[...]

โดยข้อผิดพลาดแรกคือ ไม่สามารถรับใบรับรองผู้ออกในท้องถิ่น.

ฉันได้ลองสิ่งนี้กับสาธารณะแล้ว sicher.ddl.atโดยมีข้อผิดพลาดเดียวกันกับ gitlab.ddl.at.

ใบรับรองที่ได้รับนั้นมีไว้สำหรับ data.ddl.atแต่มี SAN gitlab.ddl.atสิ่งนี้ไม่ควรทำให้ถูกต้องหรือไม่ ผมทำอะไรผิดหรือเปล่า?