Win-ACME项目中Exchange混合部署证书导入脚本的域名解析问题分析

在Windows Server环境中使用Win-ACME工具自动化管理SSL/TLS证书时，许多Exchange管理员会选择通过ImportExchangeHybrid.ps1脚本实现证书的自动部署。近期发现当使用Sectigo等CA机构颁发的证书时，该脚本会出现域名解析失败的问题，导致Exchange服务证书部署中断。

问题现象

当证书主题(Subject)采用"Sectigo风格"的多字段格式时（如CN=hostname.domain, O=Organisation Name, S=State, C=CC），脚本执行会抛出参数转换错误。错误信息显示脚本无法将包含组织信息的完整主题字段转换为Exchange所需的SmtpDomain类型。

技术原理

原始脚本通过简单的字符串分割逻辑提取域名：

$Certificate.Subject.split("=")[1]

这种方法仅适用于CN=hostname.domain这类简单主题格式。对于复合主题，会错误地将, O等后续字段包含在域名中，违反了SmtpDomain类型的格式要求。

解决方案

优化后的解析逻辑采用双重分割策略：

$Certificate.Subject.split(",")[0].split("=")[1]

1. 首先按逗号分割主题字段，提取CN字段部分
2. 再对CN字段按等号分割获取实际域名值

这种处理方式具有以下优势：

• 兼容Let's Encrypt的简单主题格式
• 正确处理Sectigo等CA的复合主题格式
• 符合Exchange对SmtpDomain类型的格式要求

影响范围

该问题影响所有使用以下配置的环境：

• 通过Win-ACME获取非Let's Encrypt证书
• 证书主题包含多字段信息
• 使用v2.2.8及之前版本的ImportExchangeHybrid.ps1脚本

最佳实践建议

1. 对于生产环境，建议升级至Win-ACME v2.2.9或更高版本
2. 如需手动修改脚本，建议对域名值进行trim处理以消除潜在空格：

$Certificate.Subject.split(",")[0].split("=")[1].Trim()

3. 测试证书时，建议同时准备简单主题和复合主题两种测试用例

该修复已被官方采纳并合并到主分支，体现了开源社区协作解决实际问题的典型流程。管理员在遇到类似证书部署问题时，应仔细分析证书主题格式与脚本处理逻辑的匹配度。