Estoy tratando de hacer algo similar a lo que se ha señalado en esta buena respuesta de Jonathon Reinhart .
Tengo un certificado de CA con Name Constrains ( RFC ):
Permitted
[1]Subtrees (0..0):
DNS Name=valid.com
Excluded=None
En realidad, me gustaría evitar que la CA firme cualquier otro certificado que pueda hacer un serverAuth, así que usé una lista blanca (¿sería posible tener un Excluded = * ? ¿cómo?)
Este certificado CA es de confianza para el navegador del usuario.
Ahora creo 2 certificados, uno con SAN: DNS Name=valid.com y el otro con SAN: DNS Name=fake.com , ambos firmados por la CA. Configuré mi DNS local para asociar estos dominios con localhost.
Luego, configuro el servicio web para usar el certificado "falso" y visito fake.com.
Me da un error "The certificate has an invalid name. The name is not included in the permitted list or is explicitly excluded." , lo cual es bueno, aunque por alguna razón Windows muestra el error en el certificado de CA:
Luego,configuroelserviciowebparausarelcertificado"válido" y visito valid.com, que se supone que se debe aceptar. Pero recibo exactamente el mismo error en las mismas condiciones.
¿Qué está mal aquí?