問題タブ [libressl]

TLS/SSL プロトコルを使用して websocket サーバーに接続するための次のソースがあります。

libressl マニュアルによると: https://man.openbsd.org/SSL_CTX_new.3

次に、実際のプロトコルを知る方法を知りたいですか?! サーバーとクライアントの間でネゴシエーションが行われた後、SSLV3 がプロトコルである、TLSV1 がプロトコルであるなどのメッセージが表示されるはずです。

私は TLS/SSL の初心者です。提案や情報をいただければ幸いです。

問題：

サーバー: サーバー証明書のサブジェクト代替名 (SAN): * test.example.com

クライアント: クライアント側から指定されたサーバー名インジケーター (SNI): mytest.example.com

結果：握手失敗！

同様のシナリオですが、

サーバー証明書のサブジェクト代替名 (SAN): * .example.com

クライアント: クライアント側から指定されたサーバー名インジケーター (SNI): mytest.example.com

結果：握手成功！

クエリ:

SAN * test.example.comのハンドシェイクを成功させる必要があります。 Openbsd には、最初の一致 (現在は失敗しています) を有効にするオプションが必要だと思います。誰かがこれで私を助けてくれませんか。

RFC の説明: (RFC 6125 Sec: 6.4.3) クライアントは、ワイルドカード文字がラベルの唯一の文字ではない提示された識別子に一致する場合があります (例: baz*.example.net およびbaz.example.net ) b z.example.net は、それぞれ baz1.example.net と foobaz.example.net と bud.example.net に一致すると見なされます)。ただし、クライアントは、国際化ドメイン名 [IDNA-PROTO] の A ラベルまたは U ラベル [IDNA-DEFS] 内にワイルドカード文字が埋め込まれている、提示された識別子との照合を試みるべきではありません。

前もって感謝します。

https://www.keycdn.com/blog/openssl-tutorial

上記のページの次のテキストは、私には意味がありません。

その前のテキストは、公開鍵ではなく秘密鍵を参照する必要があります。

次のコマンドは、私が理解したものです。

-pubin の使用方法に関する実用的な例を誰かに見せてもらえますか? ありがとう。

libressl次のバージョンの Alpine で使用しています。

次のopenssl.cnfファイルを使用しています

環境変数を使用して、異なる識別名で生成された証明書を取得しようとしています。これまでのところ、私が望むものを達成できませんでした:

インターネットで同様の問題を検索する仕事をしたと思いますが、正確な状況（および解決策）はまだ思いつきません。SAN を設定するときに環境変数を利用する方法を示す例はありますが、ユーザーが環境変数を介して DN を変更しようとするケースは見当たりませんでした。

次の質問があります。

1. 私が達成しようとしていること (つまり、構成ファイル内に異なる DN を持ち、環境変数を介してそれらを適切に選択すること) はまったく実行できませんか?
2. 前の質問に対する答えが「いいえ、達成できます」の場合、環境変数をどのように使用できますか?

上記の最小限の（機能しない）例のみを共有したことに注意してください。実際のケースでは、同じ CA の下にあるさまざまなサーバーとクライアントに対して、要求と x509 拡張オプションを適切にエンコードする、より長い構成ファイルがあります。完全な構成ファイルが必要な場合は、質問を更新して機密情報を削除し、完全な構成ファイルを貼り付けることができるようにお知らせください。

私はあなたの時間と助けに前もって感謝します.私は私の問題を解決するための指針や建設的なフィードバックを楽しみにしています.