Iis-7

是否可以使用主題備用名稱創建內部 SSL 證書

  • September 12, 2011

剛剛從 Exchange 2003 升級到 Exchange 2010,我正在嘗試創建一個可以在內部和外部(由員工)使用的證書。

在之前的 Exchange 2003 中,我們不需要證書供內部使用,因此我們只需從內部 CA 創建一個證書,並使用 OWA 的外部主機名 CN。

不過,對於 Exchange 2010,Outlook 也在內部使用 RPC over HTTPS。除非我遺漏了什麼,否則似乎帶有 Windows 伺服器的內部 CA 不允許使用 SAN 創建證書。供內部使用的證書需要由受信任的 CA 創建,即 Windows CA。

但是為了允許員工的家用電腦通過 RPC 通過 HTTPS 進行連接,似乎無法配置 Outlook 進行連接,因為它失敗並出現證書錯誤0x00000010 (FLAG_CERT_CN_INVALID)

如果我可以將外部 CN 作為 SAN 包括在內,這將得到糾正。

由於只有少數員工希望在任何地方使用 Outlook,我們寧願不必購買外部信任的 SSL 證書。這是可能的,還是我們需要花費一些現金來實現這個目標?

您必須在 CA 伺服器上啟用 SAN:

certutil -setreg policy\EditFlags +EDITF_ATTRIBUTESUBJECTALTNAME2
net stop certsvc
net start certsvc

Windows CA 當然可以頒發具有主題備用名稱的證書,您只需要在證書伺服器上進行一些調整。

依次執行以下命令cmd.exe(您需要在 Windows Server 2008 或更高版本上升級)。

certutil -setreg policy\EditFlags +EDITF_ATTRIBUTESUBJECTALTNAME2
net stop certsvc
net start certsvc

您可能應該先通過安全最佳實踐來允許在 TechNet 上的證書中使用 SAN,以了解一些事情。

引用自:https://serverfault.com/questions/310621