Zertifikate für den Exchange 2010 Client Zugriff beinhalteten mehrere Subject Names. Standardmäßig werden sogenannte SAN Zertifikate von Server 2008 Certificate Authorities nicht unterstützt.
Damit die CA ein SAN Zertifikat ausstellen kann muss folgender Befehl von einer Eingabeaufforderung mit administrativen Rechten ausgeführt werden:
certutil –setreg policy\EditFlags +EDITF_ATTRIBUTESUBJECTALTNAME2
Anschließend müssen die CA Dienste neu gestartet werden. Am besten mit "net stop certsvc && net start certsvc”.
Will man jetzt einen Certificate Request über die MMC einreichen erscheint folgender Fehler:
“The request contains no Certificate template information. 0x80094801 (-2146875391) Denied by Policy Module 0x80094801, the request does not contain a Certificate template extension or the Certificate Template request attribute.”
Man muss den Request über die Certificate Web Services einreichen, standardmäßig läuft die auf der CA unter /certsrv, in unserem Fall also: http://dc01.ntsystems.local/certsrv. Dort wählt man Request a Certificate, advanced certificate request und submit a certificate using a (…) file. In das Textfeld wird der gesamte Inhalt der .req Datei kopiert, bei Certificate Template wird Web Server ausgewählt. Wenn der Request erfolgreich war, kann man die .cer Datei herunterladen und in Exchange den Request fertigstellen (Complete Pending Request).
Alternativ kann der Request mit “certutil” eingereicht werden, wobei mit dem Parameter “/attrib” das Template gewählt wird.
Beispiel: certreq.exe -submit -attrib "CertificateTemplate:WebServer" c:\certreq.req
tom
live vom ntSystems techDAY :)