有時候我們需要使用多域名證書，比如Exchange Server的服務(wù)它是只能使用一個證書的，當(dāng)它為多個域名提供郵件服務(wù)的時候，這個證書就需要是多域名的，不然證書沒包含的域名的用戶連接服務(wù)器的時候會報證書域名不符的安全警告。

圖1. 證書域名不符警告

1. 在需要安裝證書的電腦上，使用記事本，輸入如下內(nèi)容（記得主域名和結(jié)尾多域名處改成自己的內(nèi)容，注意最后一個域名結(jié)尾沒有&符號）然后以ANSI編碼保存成request.inf文件

[Version]
Signature="$Windows NT$"

[NewRequest]
; 核心設(shè)置（Core settings）
Subject = "CN=mydomain.com"    ; 主域名 (Primary domain)
KeySpec = 1
KeyLength = 2048
Exportable = TRUE                   ; 指定私鑰可導(dǎo)出 (Make private key exportable)
MachineKeySet = TRUE                ; 私鑰保存在計算機(jī)密鑰庫 (Store key in machine key store)
SMIME = FALSE
ProviderName = "Microsoft RSA SChannel Cryptographic Provider"
ProviderType = 12
RequestType = PKCS10
HashAlgorithm = sha256

[Extensions]
; 多域名擴(kuò)展：請根據(jù)需要添加更多 DNS 別名 (Subject Alternative Name, SAN)
2.5.29.17 = "{text}"
_continue_ = "dns=mail.a.com&"
_continue_ = "dns=mail.b.org&"
_continue_ = "dns=mail.c.com&"
_continue_ = "dns=mail.d.com"

2. 以管理員權(quán)限運(yùn)行命令提示符或者PowerShell，切換到上述文件保存的路徑，運(yùn)行命令：

certreq -new request.inf request.csr

這時候會在該目錄下生成request.csr文件。

3. 使用上面生成的CSR文件的內(nèi)容到證書提供商處生成新的證書，下載生成的證書后，會取得一個證書提供商提供的cer或者crt文件，將之放置到剛才我們生成CSR文件相同的目錄下，切換到第二步用過的命令行環(huán)境，運(yùn)行如下命令來安裝證書：

certreq -accept cert_file_name.crt

如果命令幾秒后無錯誤地完成了，那么證明成功了，在Exchange Server或者IIS里應(yīng)該能看到這個證書了。

4. 以管理員權(quán)限運(yùn)行certlm.msc，默認(rèn)的證書安裝路徑在Personal->Certificates下面，找到它，如下圖所示的證書圖標(biāo)左上角帶一把小鑰匙圖標(biāo)的這種，就是帶私鑰的證書了。
   
   圖2. 帶私鑰的證書圖標(biāo)示例
   
   點(diǎn)右鍵按提示就可以導(dǎo)出帶私鑰的PFX格式的證書了，這種格式的證書就可以到處安裝了，不過注意安全，并不主張導(dǎo)出私鑰。