当我更新 SSL 证书时,是否需要包含“.local”地址?

当我更新 SSL 证书时,是否需要包含“.local”地址?

我即将续订用于 Microsoft Exchange Server 2013 的 SSL 证书。我正在查看即将到期的当前 SSL 证书,以检查其中当前包含的地址,以便我知道在新的 SSL 证书中要指定什么。

当前地址:

DNS Name=mail.example.com
DNS Name=autodiscover.example.com
DNS Name=exchangeserver.example.local

我的问题是,我是否仍要包含exchangeserver.example.local地址,还是仅出于某些历史原因才包含地址?据我所知,.local现在您不应该在 SSL 证书中包含地址,但是如何检查在切换到新的 SSL 证书时不包含地址是否会导致任何问题?

有什么方法可以检查当前是否有任何东西正在使用该.local地址进行连接?

答案1

如果您使用公共 CA 更新此证书,您的请求将被拒绝,或者具有.localDNS 名称的 SAN 条目将被删除。

来自CA/浏览器论坛基本要求(7.1.4.2):

[...] 此外,自生效日起,CA 不得颁发到期日期晚于 2015 年 11 月 1 日且带有 subjectAlternativeName 扩展名或 Subject commonName 字段的证书 包含保留 IP 地址或内部名称自 2016 年 10 月 1 日起,CA 应撤销所有未过期的证书,这些证书的 subjectAlternativeName 扩展或 Subject commonName 字段包含保留 IP 地址或内部名称。

答案2

Exchange 服务器使用的证书必须包含可能调用该服务器的所有名称;如果您的服务器配置为对内部和外部 Web 服务使用不同的 URL,如果内部 URL 使用“corp.local”后缀(我假设这是您的 Active Directory 域的 DNS 名称),那么是的,您的 Exchange 证书也需要该名称。

如果有疑问,只需要求 Exchange 生成新的证书请求(通过 Exchange 控制面板或通过 Exchange 命令行管理程序);它将自动包含所有必需的 SAN。


您可以使用以下命令检查 Exchange 虚拟目录的当前配置:

Get-OwaVirtualDirectory | fl InternalUrl, ExternalUrl
Get-EcpVirtualDirectory | fl InternalUrl, ExternalUrl
Get-OABVirtualDirectory | fl InternalUrl, ExternalUrl
Get-ActiveSyncVirtualDirectory | fl InternalUrl, ExternalUrl
Get-WebServicesVirtualDirectory | fl InternalUrl, ExternalUrl
Get-PowerShellVirtualDirectory | fl InternalUrl, ExternalUrl
Get-OutlookAnywhere | fl InternalHostname, ExternalHostname

相关内容