Soru Konu Alternatif İsimler ile dahili SSL sertifikası oluşturmak mümkün mü?


Yalnızca Exchange 2003'ten Exchange 2010'a yükseltildikten sonra, hem dahili hem de harici olarak kullanılabilen bir sertifika oluşturmaya çalışıyorum (personel tarafından).

Daha önce exchange 2003 ile birlikte, dahili kullanım için bir sertifikaya ihtiyaç duymadık, bu yüzden dahili CA'mızdan bir dış sertifika oluşturduk.

Exchange 2010 ile birlikte, görünümde de HTTPS üzerinden RPC kullanıyor. Bir şey kaçırmadığım sürece, Windows sunucusuna sahip iç CA'nın SAN'lara sahip sertifikaların oluşturulmasına izin vermediği anlaşılıyor. Dahili kullanım sertifikası, Windows CA'nın bulunduğu güvenilir bir CA tarafından oluşturulmalıdır.

Ancak, çalışanların ev bilgisayarlarının HTTPS üzerinden RPC aracılığıyla bağlanmasına izin vermek için, Outlook'un sertifika hatasıyla başarısız olduğu için bağlanmasını yapılandırmak mümkün görünmüyor. 0x00000010 (FLAG_CERT_CN_INVALID)

Harici CN'yi bir SAN olarak ekleyebilirsem, bu durum düzeltilebilir.

Outlook'u herhangi bir yerde kullanmak isteyen sadece küçük bir avuç dolusu personel olduğu için, dışarıdan güvenilen bir SSL sertifikası almak zorunda kalmamayı tercih ediyoruz. Bu mümkün mü, yoksa bu hedefe ulaşmak için biraz para harcamamız gerekecek mi?


5
2017-09-12 19:19


Menşei




Cevaplar:


CA sunucusunda SAN'ları etkinleştirmeniz gerekir:

certutil -setreg policy\EditFlags +EDITF_ATTRIBUTESUBJECTALTNAME2
net stop certsvc
net start certsvc

6
2017-09-12 19:30





Bir Windows CA kesinlikle bir Konu Alternatif Adı ile bir sertifika verebilir, sadece sertifika sunucusunda küçük bir çimdik yapmanız gerekir.

Aşağıdaki komutları birbiri ardına sırayla çalıştırın. cmd.exe (Windows Server 2008 veya sonraki sürümlerde yükseltmeniz gerekir).

certutil -setreg policy\EditFlags +EDITF_ATTRIBUTESUBJECTALTNAME2
net stop certsvc
net start certsvc

Muhtemelen geçmelisin Sertifikalarda SAN'lara izin vermek için en iyi güvenlik uygulamaları Yapmadan önce TechNet'te, bazı şeylerin farkında olmak için.


6
2017-09-12 19:32