场景如下。Exchange 服务器在局域网上运行。客户端通过 IIS 提供的 HTTPs 连接上的 ActiveSync 与服务器交互。IIS 正在使用适合本地域的 SAN 证书。例如 *.corpdomain.com。我试图允许 iOS 客户端通过 TailScale (Wireguard) 访问服务器。出现的问题是,当通过 Wireguard 隧道建立连接时,由于所联系的服务器名称与证书上可用的 SAN 不匹配,客户端设备连接失败。使用 Wireguard 隧道时,连接请求将发送到计算机名称或隧道上的 IP 地址。这会导致所需的连接路由。问题是,如何处理请求的服务器名称与证书上的 SAN 之间的不匹配。似乎唯一的选择是将连接请求中使用的计算机名称或计算机 IP 添加到证书上的 SAN 列表中。但这似乎不对。 CA 会批准非 FQDN 的 SAN 吗?我认为不会。至于 IP,我无法保证它是静态的。添加它似乎也不明智。IIS 中是否有其他机制能够根据 SNI 为公共站点提供单独的证书?我不确定如何最好地解决这里的证书问题。
答案1
您必须在 Exchange 证书中包含的主机名是客户端应用程序用于连接到 Exchange 的主机名。
官方文档是这么说的:
因此您可以尝试将主机名添加到您的证书中。