从Exchange 2003升级到Exchange 2010之后,我试图创build一个可以在内部和外部(由员工)使用的证书。
以前在Exchange 2003中,我们不需要内部使用的证书,所以我们只需从内部CA创build一个证书,并使用OWA的外部主机名的CN。
但是,使用Exchange 2010,Outlook也在内部使用RPC over HTTPS。 除非我错过了某些东西,否则看起来好像带有Windows服务器的内部CA不允许使用SAN创build证书。 内部使用的证书需要由Windows CA所信任的CA创build。
但是为了允许员工的家用PC通过HTTPS通过RPC进行连接,似乎不可能configurationOutlook来连接,因为证书错误0x00000010 (FLAG_CERT_CN_INVALID)
如果我可以将外部CN包含为SAN,这将得到纠正。
由于只有一小部分员工希望在任何地方使用Outlook,我们宁可不必购买外部信任的SSL证书。 这是可能的,还是我们需要花一些现金来实现这个目标?
您必须在CA服务器上启用SAN:
certutil -setreg policy\EditFlags +EDITF_ATTRIBUTESUBJECTALTNAME2 net stop certsvc net start certsvc Windows CA当然可以使用主题备用名称来颁发证书,您只需在证书服务器上进行一些调整即可。
在cmd.exe中cmd.exe运行以下命令(您需要在Windows Server 2008或更高版本上升级)。
certutil -setreg policy\EditFlags +EDITF_ATTRIBUTESUBJECTALTNAME2 net stop certsvc net start certsvc
您应该先运行安全最佳实践,以便在执行之前允许 TechNet 上的证书中的SAN ,但有些事情需要注意。