Заставьте davfs2 принимать групповой сертификат (webDAV)
У меня есть несколько серверов, которые обмениваются файлами через webDAV. Соединения защищены с помощью TLS и одинакового группового сертификата на всех серверах. У меня есть разные субдомены, указывающие на соответствующие серверы. Однако я не могу заставить davfs2 принимать мои сертификаты подстановочных знаков, он продолжает жаловаться: /sbin/mount.davfs: the server certificate does not match the server name
Так, например, у меня есть:
ServerA.mydomain.com ServerB.mydomain .com
у всех есть сертификат, который охватывает * .mydomain.com и SAN для mydomain.com
Конечно, все работает нормально, если я использую mydomain.com для webDAV, потому что этот явно указано в сертификате.
Я мог бы добавить все свои субдомены как SAN к сертификату, но я не могу продолжать перевыпускать сертификаты каждый раз, когда я поднимаю (или снимаю) машину.
Так есть ли способ заставить davfs2 принимать групповые сертификаты?
1 ответ
Проблема на самом деле не имеет никакого отношения к тому, как webDAV обрабатывает подстановочные знаки, но все, чтобы сделать с тем, как обрабатываются расширения сертификата X509.
Как оказалось, Подчиненное Альтернативное Имя является неправильным употреблением, согласно RFC 5280 (разделите 4.2) , приложение ДОЛЖНО отклонить любые расширения, которые это не распознает, отмечены ли они как очень важные (если они отмечены как некритические, они МОГУТ быть проигнорированы), но если приложение распознает расширение, это ДОЛЖНО использоваться.
то, Что это означает, - то, что, когда webDAV встречается с SubjectAltName, он проверяет что и только это против имени сервера. Общее название с моим подстановочным знаком в нем полностью проигнорировано. Подчиненное Альтернативное Имя не обеспечивает альтернативные или дополнительные имена, оно должно обеспечить ВСЕ имена идентификации.
Таким образом ставит все доменные имена включая подстановочный знак в SAN.