Preciso incluir endereços '.local' quando renovar um certificado SSL?

Navegue suas respostas
1

Estou prestes a renovar um certificado SSL para ser usado com o Microsoft Exchange Server 2013. Estou visualizando o certificado SSL atual que está prestes a expirar para verificar quais endereços estão incluídos nele para que eu saiba o que especificar no novo certificado SSL.

Endereços atuais: 

DNS Name=mail.example.com
DNS Name=autodiscover.example.com
DNS Name=exchangeserver.example.local

A minha pergunta é se eu ainda incluir o endereço exchangeserver.example.local ou isso é incluído apenas por algum motivo histórico antigo? Pelo que entendi, você não deve incluir .local endereços em certificados SSL atualmente, mas como posso verificar se não incluir isso causará algum problema quando eu mudar para o novo certificado SSL?

Existe alguma maneira de verificar se alguma coisa está usando o endereço .local para se conectar?

    
por Jack 11.05.2015 / 15:19

2 respostas

2

Se você estiver renovando este certificado com uma autoridade de certificação pública, sua solicitação será rejeitada ou a entrada da SAN com o nome .local do DNS será removida.

De Requisitos de linha de base dos fóruns do CA / Browser (7.1. 4.2):

[...] Also as of the Effective Date, the CA SHALL NOT issue a certificate with an Expiry Date later than 1 November 2015 with a subjectAlternativeName extension or Subject commonName field containing a Reserved IP Address or Internal Name. Effective 1 October 2016, CAs SHALL revoke all unexpired Certificates whose subjectAlternativeName extension or Subject commonName field contains a Reserved IP Address or Internal Name.

    
por 11.05.2015 / 16:02
1

O certificado usado por um servidor Exchange deve incluir todos os nomes com os quais o servidor possa ser chamado; se o servidor estiver configurado para usar URLs diferentes para serviços da Web internos e externos, e , se as URLs internas usarem o sufixo "corp.local" (que estou assumindo como o nome DNS do Active Directory domínio), então sim, o certificado do Exchange também precisará desse nome.

Em caso de dúvida, basta solicitar ao Exchange para gerar uma nova solicitação de certificado (seja através do Painel de Controle do Exchange ou através do Shell de Gerenciamento do Exchange); ele incluirá automaticamente todas as SANs necessárias.

Você pode verificar a configuração atual dos diretórios virtuais do Exchange usando os seguintes comandos: 

Get-OwaVirtualDirectory | fl InternalUrl, ExternalUrl
Get-EcpVirtualDirectory | fl InternalUrl, ExternalUrl
Get-OABVirtualDirectory | fl InternalUrl, ExternalUrl
Get-ActiveSyncVirtualDirectory | fl InternalUrl, ExternalUrl
Get-WebServicesVirtualDirectory | fl InternalUrl, ExternalUrl
Get-PowerShellVirtualDirectory | fl InternalUrl, ExternalUrl
Get-OutlookAnywhere | fl InternalHostname, ExternalHostname
    
por 11.05.2015 / 15:24

Tags

Centos 6 - O postfix não enviará para o próprio domínio sem bandeira como bloquear todas as solicitações de URLs com o nome do dispositivo MSDOS usando o filtro isapi cve 2007-2897