Bei zertifikatsbasierten VPN-Verbindungen werden in der Regel die Subjects (Antragsteller) der verwendeten Zertifikate als lokale und entfernte Identität verwendet. Diese werden in der VPN-Konfiguration in Form von (oftmals komplexen) ASN.1 Distinguished Names (DN) hinterlegt. In der VPN-Verhandlung wird dann die konfigurierte lokale Identität zur Auswahl des eigenen Zertifikates benutzt und an die Gegenstelle übermittelt, während die konfigurierte entfernte Identität mit der empfangenen Identität der Gegenstelle und mit dem Subject des empfangenen Zertifikates verglichen wird.
Die lokale und die entfernte Identität müssen in der VPN-Konfiguration bisher immer vollständig angegeben werden. Dies ist zum einen fehleranfällig, und zum anderen ist es manchmal gewünscht, nur einen Teil des Subjects angeben zu müssen. Praktisch ist dies beispielsweise, um bei einem Zertifikatswechsel oder bei gleichzeitiger Verwendung mehrerer paralleler Zertifikatshierarchien verschiedene Zertifikate mit ähnlichem Subject automatisch zu akzeptieren.
Um dies zu ermöglichen, kann ein flexiblerer Identitätsvergleich verwendet werden. Die in den konfigurierten Identitäten enthaltenen Komponenten eines ASN.1-Distinguished Name (DN) (Relative Distinguished Names – RDNs) müssen in den relevanten Subjects dabei nur enthalten sein. Die Reihenfolge der RDNs ist dabei beliebig. Darüber hinaus können die Werte der RDNs die Wildcards "?" und "*" beinhalten. Werden die Wildcards als Teil des RDNs benötigt, müssen sie in Form von "\?" bzw. "\*" angegeben werden. Beispiele:
- Subject = '/CN=Max Mustermann/O=*ACME*', DN = '/CN=Max?Muster*'
- Subject = '/CN=Max Mustermann/O=*ACME*', DN = '/O=\*ACME\*'
