Ich verwende ein OpenVPN-Gateway, das unter zwei verschiedenen Hostnamen erreichbar ist (einer von außen, einer intern). Aus diesem Grund habe ich ein Zertifikat mit einem Feld für den alternativen Antragstellernamen erstellt, das beide Hostnamen enthält. Der Betreff (DN) des Zertifikats hat den internen Hostnamen.
Wenn ich dieses Zertifikat für HTTPS verwende, funktioniert alles wie erwartet - das Zertifikat wird für jeden Hostnamen als gültig akzeptiert.
Mit der OpenVPN- verify-x509-name
Option wird das Serverzertifikat jedoch abgelehnt, es sei denn, ich gebe den internen Namen an (wie im DN).
Gibt es eine Möglichkeit, die Überprüfung des Betreffnamens von OpenVPN so zu gestalten, dass sie wie ein Webbrowser funktioniert, dh dass ein übereinstimmender Betreffname akzeptiert wird?
quelle