Я должен включать '.local' адреса, когда я возобновляю сертификат SSL?
Я собираюсь возобновить сертификат SSL, который будет использоваться с Microsoft Exchange Server 2013. Я просматриваю текущий сертификат SSL, который собирается истечь для проверки, какие адреса в настоящее время включаются в него так, чтобы я знал, что указать в новом сертификате SSL.
Текущие адреса:
DNS Name=mail.example.com
DNS Name=autodiscover.example.com
DNS Name=exchangeserver.example.local
Мой вопрос, делают меня все еще для включения exchangeserver.example.local обратитесь или это только включено по некоторой старой исторической причине? Моим пониманием Вас не должен включать .local адреса на сертификатах SSL в эти дни, но как я могу проверить, вызовет ли не включая это какие-либо проблемы, когда я переключаюсь на новый сертификат SSL?
Есть ли любой способ проверить, использует ли что-нибудь в настоящее время .local адресовать к подключению?
Если вы обновляете этот сертификат с помощью общедоступного центра сертификации, ваш запрос будет либо отклонен, либо запись SAN с DNS-именем .local будет удалена.
Из форумов CA / Browser. Базовые требования (7.1.4.2):
[...] Также с Даты вступления в силу CA НЕ ВЫДАЕТ сертификат со сроком действия до 1 ноября 2015 года с Расширение subjectAlternativeName или поле CommonName темы , содержащий зарезервированный IP-адрес или внутреннее имя . Начиная с 1 октября 2016 г., центры сертификации ДОЛЖНЫ отозвать все сертификаты, срок действия которых не истек. Расширение subjectAlternativeName или поле Subject commonName содержит Зарезервированный IP-адрес или внутреннее имя.
Сертификат, используемый сервером Exchange, должен включать все имена, с которыми этот сервер может быть вызван; если ваш сервер настроен на использование разных URL-адресов для внутренних и внешних веб-служб, и , если внутренние URL-адреса используют суффикс "corp.local" (который, как я предполагаю, является DNS-именем для вашего домена Active Directory ), то да, вашему сертификату Exchange тоже понадобится это имя.
Если есть сомнения, просто попросите Exchange сгенерировать новый запрос сертификата (либо через панель управления Exchange, либо через командную консоль Exchange); он автоматически включит все необходимые сети SAN.
Вы можете проверить текущую конфигурацию виртуальных каталогов Exchange, используя следующие команды:
Get-OwaVirtualDirectory | fl InternalUrl, ExternalUrl
Get-EcpVirtualDirectory | fl InternalUrl, ExternalUrl
Get-OABVirtualDirectory | fl InternalUrl, ExternalUrl
Get-ActiveSyncVirtualDirectory | fl InternalUrl, ExternalUrl
Get-WebServicesVirtualDirectory | fl InternalUrl, ExternalUrl
Get-PowerShellVirtualDirectory | fl InternalUrl, ExternalUrl
Get-OutlookAnywhere | fl InternalHostname, ExternalHostname