更新SSL证书时是否需要包含`.local`地址?

我即将续订SSL证书,以便与Microsoft Exchange Server 2013一起使用。我正在查看即将过期的当前SSL证书,以检查当前包含的地址,以便我知道在新的SSL证书中指定的内容。

当前地址:

DNS Name=mail.example.com DNS Name=autodiscover.example.com DNS Name=exchangeserver.example.local 

我的问题是,我还包括exchangeserver.example.local地址还是只包含一些旧的历史原因? 根据我的理解,你现在不应该在SSL证书中包括.local地址,但是如何检查当我切换到新的SSL证书时是否不包括这将导致任何问题?

有什么办法来检查是否有任何东西正在使用.local地址连接?

如果您使用公共CA续订此证书,您的请求将被拒绝,或者具有.local DNS名称的SAN条目将被剥离。

从CA /浏览器论坛基线要求 (7.1.4.2):

[…]截至生效date,CA应不会签发超过2015年11月1日的有效期的证书,其中subjectAlternativeName扩展名或Subject commonName字段包含保留IP地址或内部名称 。 自2016年10月1日起,CA应撤销所有主题替代名称扩展名或主题commonName字段包含保留IP地址或内部名称的未到期证书。

Exchange服务器使用的证书必须包含服务器可能被调用的所有名称; 如果您的服务器被configuration为使用不同的URL用于内部和外部Web服务, 并且内部URL使用“corp.local”后缀(我假设是您的Active Directory域的DNS名称),那么是的,您的交换证书也需要这个名字。

如果有疑问,可以要求Exchange生成新的证书请求(通过Exchange控制面板或通过Exchange命令行pipe理程序); 它会自动包含所有必需的SAN。


您可以使用以下命令检查Exchange虚拟目录的当前configuration:

 Get-OwaVirtualDirectory | fl InternalUrl, ExternalUrl Get-EcpVirtualDirectory | fl InternalUrl, ExternalUrl Get-OABVirtualDirectory | fl InternalUrl, ExternalUrl Get-ActiveSyncVirtualDirectory | fl InternalUrl, ExternalUrl Get-WebServicesVirtualDirectory | fl InternalUrl, ExternalUrl Get-PowerShellVirtualDirectory | fl InternalUrl, ExternalUrl Get-OutlookAnywhere | fl InternalHostname, ExternalHostname