通过TailScale (Wireguard)交换服务器并创建有效的证书

Question

这是一个场景。Exchange服务器运行在局域网上。客户端通过IIS提供的HTTPs连接通过ActiveSync与服务器交互。IIS正在使用适合本地域的SAN证书。*.corpdomain.com就是一个例子。我试图允许通过TailScale (Wireguard)访问iOS客户端的服务器。出现的问题是，当通过Wireguard隧道建立连接时，客户端设备由于所联系的服务器名称和证书上可用的SAN不匹配而导致连接失败。当使用Wireguard隧道时，将向计算机名或on隧道ip地址发出连接请求。这将导致所需的连接路由。问题是，如何处理请求的服务器名称与证书上的SAN之间的不匹配。似乎唯一的选择是将连接请求中使用的机器名称或机器IP添加到证书上的SAN列表中，这是唯一的选项。不过，这似乎不对。CA会批准非FQDN的SAN吗？我可不这么想。至于IP，我不能保证是静态的。再加上这一点似乎也不明智。IIS中是否有其他机制能够为基于SNI的公共站点提供单独的证书？我不知道如何最好地解决这里的证书问题。

Answer 1

Exchange证书中必须包含的主机名是客户端应用程序连接到Exchange时使用的主机名。

正式文件是这样说的：

因此，您可以尝试将主机名添加到证书中。