問題:
サーバー: サーバー証明書のサブジェクト代替名 (SAN): * test.example.com
クライアント: クライアント側から指定されたサーバー名インジケーター (SNI): mytest.example.com
結果:握手失敗!
同様のシナリオですが、
サーバー証明書のサブジェクト代替名 (SAN): * .example.com
クライアント: クライアント側から指定されたサーバー名インジケーター (SNI): mytest.example.com
結果:握手成功!
クエリ:
SAN * test.example.comのハンドシェイクを成功させる必要があります。 Openbsd には、最初の一致 (現在は失敗しています) を有効にするオプションが必要だと思います。誰かがこれで私を助けてくれませんか。
RFC の説明: (RFC 6125 Sec: 6.4.3) クライアントは、ワイルドカード文字がラベルの唯一の文字ではない提示された識別子に一致する場合があります (例: baz*.example.net およびbaz.example.net ) b z.example.net は、それぞれ baz1.example.net と foobaz.example.net と bud.example.net に一致すると見なされます)。ただし、クライアントは、国際化ドメイン名 [IDNA-PROTO] の A ラベルまたは U ラベル [IDNA-DEFS] 内にワイルドカード文字が埋め込まれている、提示された識別子との照合を試みるべきではありません。
前もって感謝します。