Я собираюсь обновить сертификат SSL для использования с Microsoft Exchange Server 2013. Я просматриваю текущий сертификат SSL, срок действия которого истекает, чтобы проверить, какие адреса в настоящее время включены в него, чтобы я знал, что указать в новом сертификате SSL .
Текущие адреса:
DNS Name=mail.example.com
DNS Name=autodiscover.example.com
DNS Name=exchangeserver.example.local
Мой вопрос: нужно ли мне включать exchangeserver.example.local адрес или это только по какой-то старой исторической причине? Насколько я понимаю, вы не должны включать .local адреса на сертификатах SSL в наши дни, но как я могу проверить, не вызовет ли отсутствие этого включения каких-либо проблем при переключении на новый сертификат SSL?
Есть ли способ проверить, использует ли что-нибудь в настоящее время .local адрес для подключения?
Если вы продлеваете этот сертификат в общедоступном ЦС, ваш запрос будет либо отклонен, либо запись SAN с .local DNS-имя будет удалено.
Из Форумы CA / Browser Базовые требования (7.1.4.2):
[...] Также с Даты вступления в силу CA НЕ ДОЛЖЕН выпускать сертификат с Датой истечения срока действия позже 1 ноября 2015 года с расширением subjectAlternativeName или полем Subject commonName. содержащий зарезервированный IP-адрес или внутреннее имя. С 1 октября 2016 г. центры сертификации ДОЛЖНЫ аннулировать все сертификаты с истекшим сроком действия, у которых расширение subjectAlternativeName или поле Subject commonName содержит зарезервированный IP-адрес или внутреннее имя.
Сертификат, используемый сервером Exchange, должен включать все имена, с которыми сервер может быть вызван; если ваш сервер настроен на использование разных URL-адресов для внутренних и внешних веб-служб, и если внутренние URL-адреса используют суффикс «corp.local» (который, как я предполагаю, является DNS-именем для вашего домена Active Directory), то да, вашему сертификату Exchange также потребуется это имя.
В случае сомнений просто попросите Exchange сгенерировать новый запрос сертификата (либо через панель управления Exchange, либо через командную консоль Exchange); он автоматически включит все необходимые сети SAN.
Вы можете проверить текущую конфигурацию виртуальных каталогов Exchange, используя следующие команды:
Get-OwaVirtualDirectory | fl InternalUrl, ExternalUrl
Get-EcpVirtualDirectory | fl InternalUrl, ExternalUrl
Get-OABVirtualDirectory | fl InternalUrl, ExternalUrl
Get-ActiveSyncVirtualDirectory | fl InternalUrl, ExternalUrl
Get-WebServicesVirtualDirectory | fl InternalUrl, ExternalUrl
Get-PowerShellVirtualDirectory | fl InternalUrl, ExternalUrl
Get-OutlookAnywhere | fl InternalHostname, ExternalHostname