Iată scenariul. Serverul Exchange rulează pe un lan. Clienții interacționează cu serverul prin ActiveSync prin conexiuni HTTP deservite de IIS. IIS utilizează un certificat cu SAN-uri adecvate pentru domeniul local. Un exemplu ar fi *.corpdomain.com. Încerc să permit accesul la server prin TailScale (Wireguard) unui client iOS. Problema care apare este că atunci când se stabilește o conexiune prin tunelul Wireguard, dispozitivul client nu reușește conexiunea din cauza unei nepotriviri a numelui serverului contactat și a SAN-urilor disponibile pe certificat. Când utilizați tunelul Wireguard, cererea de conectare va fi făcută fie la numele mașinii, fie la adresa IP din tunel. Aceasta determină rutarea dorită a conexiunii. Întrebarea devine cum să gestionăm nepotrivirea dintre numele serverului solicitat și SAN-urile de pe certificat. Se pare că singura opțiune este să adăugați fie numele mașinii, fie IP-ul mașinii utilizat în cererea de conectare la lista de SAN-uri de pe certificat este singura opțiune. Nu pare în regulă totuși. O CA ar aproba un SAN care nu este un FQDN? Nu aș crede. În ceea ce privește IP-ul, nu am nicio garanție că este static. Nu pare înțelept să fie adăugat și asta. Există un alt mecanism în IIS care poate servi un certificat separat pentru un site comun bazat pe SNI? Nu sunt sigur cum să rezolv cel mai bine problema cert aici.
