Você precisa habilitar as SANs no servidor da CA:
certutil -setreg policy\EditFlags +EDITF_ATTRIBUTESUBJECTALTNAME2
net stop certsvc
net start certsvc
Tendo acabado de atualizar do Exchange 2003 para o Exchange 2010, estou tentando criar um certificado que possa ser usado interna e externamente (pela equipe).
Anteriormente, com o Exchange 2003, não precisávamos de um certificado para uso interno, portanto, simplesmente criamos um certificado de nossa CA interna, com o CN de nosso nome de host externo para o OWA.
No entanto, com o Exchange 2010, o Outlook também está usando o RPC sobre HTTPS internamente. A menos que eu esteja perdendo alguma coisa, parece que a CA interna com o servidor Windows não permite a criação de certificados com SANs. O certificado para uso interno precisa ser criado por uma CA confiável, que é a CA do Windows.
Mas para permitir que PCs domésticos da equipe se conectem via RPC por HTTPS, parece impossível configurar o Outlook para se conectar, pois ele falha com o erro de certificado 0x00000010 (FLAG_CERT_CN_INVALID)
Isso seria corrigido se eu pudesse incluir o CN externo como SAN.
Como há apenas um pequeno grupo de funcionários querendo usar o Outlook em qualquer lugar, preferimos não ter que comprar um certificado SSL confiável externamente. Isso é possível, ou precisamos gastar algum dinheiro para atingir esse objetivo?
Uma CA do Windows certamente pode emitir um certificado com um Nome alternativo de assunto, você só precisa fazer um pequeno ajuste no servidor de certificado.
Execute os seguintes comandos, um após o outro, em cmd.exe
(você precisará elevar o Windows Server 2008 ou posterior).
certutil -setreg policy\EditFlags +EDITF_ATTRIBUTESUBJECTALTNAME2
net stop certsvc
net start certsvc
Você provavelmente deve executar as Práticas recomendadas de segurança para permitir SANs em certificados no TechNet antes de você, para que algumas coisas estejam cientes.