davfs2にワイルドカード証明書(webDAV)を受け入れさせる
WebDAVを介してファイルを共有する複数のサーバーがあります。接続は、すべてのサーバーでTLSと同じワイルドカード証明書を使用して保護されます。それぞれのサーバーを指すさまざまなサブドメインがあります。ただし、davfs2にワイルドカード証明書を受け入れさせることができず、次のように文句を言い続けます。/sbin/mount.davfs: the server certificate does not match the server name
だから例えば私は持っています:
ServerA.mydomain.com ServerB.mydomain.com
すべてに* .mydomain.comとa SAN for mydomain.com)をカバーする証明書があります
もちろん、mydomain.comをwebDAVに使用すると、証明書で明示的にカバーされているため、すべて正常に機能します。
すべてのサブドメインをSANとして証明書に追加することはできますが、マシンを起動する(または停止する)たびに証明書を再発行し続けることができません。
では、davfs2にワイルドカード証明書を受け入れさせる方法はありますか?
この問題は、実際にはwebDAVがワイルドカードを処理する方法とは関係ありませんが、X509証明書拡張の処理方法とはすべて関係があります。
RFC 5280(セクション4.2) によると、サブジェクト代替名は誤った名称であることが判明したため、アプリケーションは、クリティカルとしてマークされているかどうか(非としてマークされている場合)に認識しない拡張機能を拒否する必要があります。重要な場合は無視できます)が、アプリケーションが拡張機能を認識する場合は、それを使用する必要があります。
これが意味するのは、webDAVがSubjectAltNameに遭遇すると、それをチェックし、それだけをサーバー名と照合するということです。ワイルドカードが含まれている一般名は完全に無視されます。サブジェクト代替名は、代替名または追加名を提供しません。すべての識別名を提供する必要があります。
したがって、ワイルドカードを含むすべてのドメイン名をSANに入れます。