Только что обновившись с Exchange 2003 до Exchange 2010, я пытаюсь создать сертификат, который можно использовать как внутри, так и за пределами (персоналом).
Ранее с Exchange 2003 нам не требовался сертификат для внутреннего использования, поэтому мы просто создали сертификат из нашего внутреннего CA с CN нашего внешнего имени хоста для OWA.
Однако в Exchange 2010 Outlook использует RPC поверх HTTPS для внутренних целей. Если я чего-то не упускаю, похоже, что внутренний ЦС с сервером Windows не позволяет создавать сертификаты с SAN. Сертификат для внутреннего использования должен быть создан доверенным центром сертификации, которым является центр сертификации Windows.
Но для того, чтобы домашние компьютеры персонала могли подключаться через RPC через HTTPS, кажется, что невозможно настроить Outlook для подключения, так как он не работает с ошибкой сертификата. 0x00000010 (FLAG_CERT_CN_INVALID)
Это было бы исправлено, если бы я мог включить внешний CN как SAN.
Поскольку лишь небольшая группа сотрудников желает использовать Outlook где угодно, мы бы предпочли не приобретать сертификат SSL с внешним доверием. Возможно ли это, или нам нужно потратить немного денег для достижения этой цели?
Центр сертификации Windows, безусловно, может выдать сертификат с альтернативным именем субъекта, вам просто нужно немного настроить сервер сертификатов.
Выполните следующие команды одну за другой в cmd.exe (вам необходимо повысить уровень в Windows Server 2008 или более поздней версии).
certutil -setreg policy\EditFlags +EDITF_ATTRIBUTESUBJECTALTNAME2
net stop certsvc
net start certsvc
Вам, вероятно, следует пробежать Рекомендации по безопасности для разрешения SAN в сертификатах в TechNet, прежде чем вы это сделаете, чтобы кое-что знать.
Вам необходимо включить SAN на сервере CA:
certutil -setreg policy\EditFlags +EDITF_ATTRIBUTESUBJECTALTNAME2
net stop certsvc
net start certsvc