刚刚从 Exchange 2003 升级到 Exchange 2010,我正在尝试创建一个可供内部和外部(由员工)使用的证书。
以前使用 Exchange 2003 时,我们不需要内部使用的证书,因此我们只需从内部 CA 创建证书,并使用 OWA 的外部主机名的 CN。
但是,在 Exchange 2010 中,Outlook 也在内部使用 RPC over HTTPS。除非我遗漏了什么,否则 Windows 服务器的内部 CA 似乎不允许使用 SAN 创建证书。内部使用的证书需要由受信任的 CA 创建,Windows CA 就是其中之一。
但为了允许员工家用电脑通过 HTTPS 上的 RPC 进行连接,似乎无法配置 Outlook 进行连接,因为它会因证书错误而失败0x00000010(标志_CERT_CN_无效)
如果我可以将外部 CN 作为 SAN 包含在内,则可以纠正这个问题。
由于只有少数员工希望在任何地方使用 Outlook,我们宁愿不购买外部信任的 SSL 证书。这可行吗,还是我们需要花一些钱来实现这个目标?
答案1
您必须在 CA 服务器上启用 SAN:
certutil -setreg policy\EditFlags +EDITF_ATTRIBUTESUBJECTALTNAME2
net stop certsvc
net start certsvc
答案2
Windows CA 当然可以颁发具有主题备用名称的证书,您只需要在证书服务器上进行一些调整即可。
依次运行以下命令cmd.exe(您需要在 Windows Server 2008 或更高版本上提升权限)。
certutil -setreg policy\EditFlags +EDITF_ATTRIBUTESUBJECTALTNAME2
net stop certsvc
net start certsvc
你应该跑过去允许证书中使用 SAN 的安全最佳实践在执行此操作之前,请先在 TechNet 上查看一些需要注意的事项。