На вскидку - это "торчащие" в инет адреса компьютеров.
Лучше все же сделать .loc
если сертификат нужен локально - то и распространить чего через центр сертификации Microsoft active directory. Все внутренние клиенты будут ему доверять. Пускать внешних клиентов внутрь - это плохо. самоподписанному сертификату (в т.ч. CA) внешние клиенты доверять не будут, а подписанный доверенным корневым центром сертификации стоит денег, однако. каждый такой сертификат. а уж подписать корневой сертификат стоит столько... что лучше не стоит.
Так что внутри - все равно будет самоподписанный корень. а в этом случае - не все ли равно, как называется домен ? хоть .loc, хоть local - да и имя не будет играть роли - этим CA можно подписать ВСЕ. и dns-имя там будет иметь нулевое значение.
Я сам с этим столкнулся. уже год выпиливаю старый домен, меняю его на .loc. и то не смогу до конца выпилить.
ЗЫ. также, есть вещи типа "внутренний просмотр" и "внешний просмотр" - одни и те же dns-имена при резолве будут давать разные имена, в зависимости от адреса запрашивающего. так что вполне можно поставить почтовый сервер внутрь, и назвать его mail.companyname.ru, обеспечив доступ как клиентам локальной сети, так и "внешним" сотрудникам. Это также может пригодиться при планировании домена, ибо я не могу предоставить ситуацию, при которой понадобилось бы использовать в качестве имени домена реально зарегистрированный домен.
ЗЫ2. рекомендую ознакомиться:
раз и
два 
