问题:
服务器:服务器证书中的主题备用名称(SAN):* test.example.com
客户端:从客户端提供的服务器名称指示符(SNI):mytest.example.com
结果:握手失败!
虽然对于类似的场景,
服务器证书中的主题备用名称 (SAN):* .example.com
客户端:从客户端提供的服务器名称指示符(SNI):mytest.example.com
结果:握手成功!
询问:
我需要为SAN * test.example.com 成功握手。 我猜 Openbsd 必须有一个选项来使第一个匹配(现在失败)有效。有人可以帮我解决这个问题。
RFC 必须说什么:(RFC 6125 Sec: 6.4.3) 客户端可以匹配一个显示的标识符,其中通配符不是标签的唯一字符(例如,baz*.example.net 和baz.example.net和 b z.example.net 将分别匹配 baz1.example.net 和 foobaz.example.net 和 buzz.example.net)。但是,客户端不应该尝试匹配一个提供的标识符,其中通配符嵌入在国际化域名 [IDNA-PROTO] 的 A-label 或 U-label [IDNA-DEFS] 中。
提前致谢。