Rustls项目中实现通配符证书支持的技术方案

在Rustls项目中，开发者经常需要处理通配符证书（wildcard certificates）的场景。通配符证书是一种特殊类型的SSL/TLS证书，允许单个证书保护主域名及其所有子域名（例如*.example.com可以匹配a.example.com、b.example.com等）。

默认实现的局限性

Rustls提供的ResolvesServerCertUsingSni是一个实现了ResolvesServerCert特性的示例实现，但它仅支持精确匹配DNS名称，不支持通配符匹配。这意味着如果尝试直接添加*.example.com这样的通配符证书，会因为DNS名称验证失败而无法使用。

自定义解决方案

要实现对通配符证书的支持，开发者需要自定义实现ResolvesServerCert特性。以下是实现思路：

1. 证书存储：在自定义结构中维护一个CertifiedKey列表，包含所有可用的证书（包括通配符证书）。

2. 匹配逻辑：在resolve方法中，遍历所有证书，使用verify_is_valid_for_subject_name方法验证请求的域名是否匹配当前证书（包括通配符匹配）。

3. 性能优化：对于拥有大量证书的场景，可以考虑使用更高效的数据结构（如字典树）来优化查找性能。

实现示例

use rustls::server::{ResolvesServerCert, ClientHello};
use rustls::sign::CertifiedKey;
use webpki::DNSNameRef;

struct WildcardCertResolver {
    certificates: Vec<CertifiedKey>,
}

impl ResolvesServerCert for WildcardCertResolver {
    fn resolve(&self, client_hello: ClientHello) -> Option<CertifiedKey> {
        let server_name = client_hello.server_name()?;
        let dns_name = DNSNameRef::try_from_ascii_str(server_name).ok()?;
        
        self.certificates.iter().find(|cert| {
            cert.cert[0]
                .verify_is_valid_for_subject_name(dns_name)
                .is_ok()
        }).cloned()
    }
}

注意事项

1. 性能考虑：线性搜索所有证书的方式在证书数量较多时会影响性能，应根据实际场景选择合适的优化策略。

2. 证书链顺序：确保证书链顺序正确，第一个证书应该是终端实体证书（包含通配符），后面是中间CA证书。

3. 安全验证：依赖verify_is_valid_for_subject_name方法可以确保符合标准的证书验证流程，包括通配符规则验证。

通过这种自定义实现方式，开发者可以在Rustls项目中灵活地支持通配符证书，满足各种复杂的域名管理需求。