Bry*_*yan 5 certificate iis-7 active-directory exchange-2010 ssl-certificate
刚刚从 Exchange 2003 升级到 Exchange 2010,我正在尝试创建一个可以在内部和外部(由员工使用)的证书。
以前在 exchange 2003 中,我们不需要内部使用的证书,所以我们只是从内部 CA 创建了一个证书,其中包含 OWA 的外部主机名的 CN。
但是在 Exchange 2010 中,outlook 也在内部使用 RPC over HTTPS。除非我遗漏了什么,看起来好像带有 Windows 服务器的内部 CA 不允许使用 SAN 创建证书。供内部使用的证书需要由受信任的 CA 创建,即 Windows CA。
但是为了允许员工的家用 PC 通过 RPC over HTTPS 进行连接,似乎无法配置 Outlook 进行连接,因为它失败并显示证书错误0x00000010 (FLAG_CERT_CN_INVALID)
如果我可以将外部 CN 作为 SAN 包含在内,这将得到纠正。
由于只有少数员工想要在任何地方使用 Outlook,我们宁愿不必购买外部信任的 SSL 证书。这是可能的,还是我们需要花费一些现金来实现这个目标?
您必须在 CA 服务器上启用 SAN:
certutil -setreg policy\EditFlags +EDITF_ATTRIBUTESUBJECTALTNAME2
net stop certsvc
net start certsvc
Windows CA 当然可以颁发带有主题备用名称的证书,您只需要对证书服务器进行一些调整。
依次运行以下命令cmd.exe(您需要在 Windows Server 2008 或更高版本上升级)。
certutil -setreg policy\EditFlags +EDITF_ATTRIBUTESUBJECTALTNAME2
net stop certsvc
net start certsvc
您可能应该先通过安全最佳实践来允许在 TechNet上的证书中使用SAN,以便了解一些注意事项。