Microsoft CA生成具有主题备用名称（SAN）的证书

bijiafeng

证书用于保护客户端和服务器之间的通信，以确保传输的数据不受影响。当网站托管机密信息时，实现SSL是一种安全性最佳实践。

证书由证书提供者或证书颁发机构（CA）颁发。要申请证书，请将证书签名请求（CSR）发送到CA。此CSR包含需要保护的主机名，电子邮件地址和公司信息。CA在验证信息之后，批准并生成证书。然后可以使用此证书来保护通信。

商业CA颁发的证书将被大多数Web浏览器自动信任，但是要付出一定的代价。为了降低成本而不损害安全性，许多组织实施了内部CA层次结构。内部CA可用于在域或林中内部部署证书。这些证书将由其所有加入域的系统自动信任。对于域外的系统，需要手动过程来信任这些证书。

什么是SAN证书？

主题备用名称（SAN）  允许您指定要由单个SSL证书保护的主机名列表。SAN证书通常在需要使用单个IP地址在单个服务器上托管多个启用SSL的站点的情况下很有用。

使用内部CA的SAN证书

随着Exchange Server 2007/2010的到来，SAN证书变得越来越流行，有时需要进行配置。但是，如果您希望从内部CA颁发SAN证书，则可能无法这样做。这是因为默认情况下，基于Windows的证书颁发机构不允许颁发SAN证书。

要允许内部CA颁发SAN证书，您必须修改证书颁发机构的默认颁发策略以接受CSR中的“使用者备用名称”属性。

导航到证书颁发机构服务器的命令提示符，然后发出以下命令：

certutil -setreg policy\EditFlags +EDITF_ATTRIBUTESUBJECTALTNAME2

发出上述命令后，将需要重新启动证书服务，以使更改生效。
重新启动证书服务后，您将能够从内部CA生成SAN证书。
请记住，在执行SAN证书的Web注册时，必须在“ 属性”窗口中以以下格式指定主题备用名称（SAN）

san:dns=webmail.domainc.com&dns=mail.domainc.com&dns=autodiscover.domainc.com

Microsoft不建议使用企业根CA发行SAN。因此，理想情况下，我们应该使用由根CA授权的中间CA来处理SAN证书请求。