Есть ли причина, Вы не можете установить службы сертификации внутренне, это позволит Вам создавать сертификат самим для xyz.int и если Ваши внутренние машины будут всеми на домене, то они будут уже доверять сертификату.
Затем можно просто получить надлежащие внешне сертификаты со знаком для внешних доменов.
Microsoft не рекомендует имена NetBIOS на сертификате UCC, но она не обязательно причиняет боль. Я не могу говорить специально для Sharepoint, но лучших практик для Exchange, Вы хотите следующее:
Вы могли бы рассмотреть добавление, что будет названиями дополнительных серверов CAS, которые Вы могли бы использовать в будущем, или название массива NLB, если Вы только используете единственный сервер теперь, так, чтобы Вы не должны были запрашивать новый сертификат от своего поставщика CA.