Exchange Server

Exchange 2019 Sertifika Yapılandırması

Güncelleme: Exchange Server 2019 CU12 ve Exchange Server 2016 CU23 ile birlikte artık ara yüzden sertifika işlemleri yapamıyorsunuz. Bunun için son bölüme ekleme yaptım.

Daha fazla sertifika konusu ile ilgili bilgi için aşağıdaki makaleyi inceleyebilirsiniz;

Bundan önceki makalelerimizde Exchange Kurulumu, Accepted Domain yapılandırması, Address Policy ve Send Connector yapılandırmasını anlatmıştık. Bu makalemizde ise yine genel yapılması gerekli olan adımlardan sertifika işlemini ele alıyor olacağız. Exchange ilk kurulum anında kendi üzerindeki default sertifika ile çalışır. Bizim sisteme güvenilir bir sertifika sunucusundan sertifika alarak tanıtıp yayına geçirmemiz gerekir. Biz makale ortamımızda adımlarımızı lokalde yer alan bir sertifika sunucusundan alacağımız sertifika ile yapıyor olacağız. Adımlarımıza geçelim.

Öncelikle https://localhost/ecp https://makinaismi/ecp veya https://127.0.0.1 veya sizin dns üzerinde tanımlı olan bir kaydınız varsa login bilgilerini girerek bu adla oturum açalım.

clip_image002

Sertifika eklemek için yönetim konsolumuzda Servers linkinden Certificates kısmına girelim. Bu ekranda bahsetmiş olduğumuz default sertifikalar yer almakta. Biz kendi sertifikamızı ekleyip yayımlayacağımız için“+” butonuna tıklayalım.

clip_image004

Açılan ekranımızda bir sertifika oluşturma işlemini yapıp yapmayacağımız veya sertifika sunucusundan sertifika oluşturup oluşturmayacağımız sorulmakta. Biz bir sertifika sunucusundan sertifikamızı oluşturacağımız için ilk seçenek olan Create a request for a certificate from certification authority seçimini yaparak Next ile sonraki adıma ilerliyoruz.

clip_image006

Bu ekranımızda sertifikamızda kullanılacak olan isim bilgisini giriyoruz. Biz sistemimizde maillere posta.rizasahan.com adını kullanarak giriş yapacağımız için bu ismi vererek Next ile sonraki adıma ilerliyoruz.

clip_image008

Biz wildcard bir sertifika kullanmayacağımız için bu ekranda Next ile ilerliyoruz. Wildcard sertifika nedir konusunda aklınıza takılan olur ise aşağıdaki sozluk.cozumpark.com adresinden alınan tanım size yardımcı olacaktır.

Wildcard Sertifika : Yıldız sertifika olarak ta anılan wildcard sertifika bir domain için birden çok sertifika ihtiyacı olması halinde kullanılan bir sertifika türüdür.

Örneğin webmail.cozumpark.com, mail.cozumpark.com, autodiscover.cozumpark.com, www.cozumpark.com v.b. yani bir den çok A kaydı için sertifika kullanacak isek bu durumda bunları ayrı ayrı almak veya SAN dediğimiz Subject Alternative Name yani bir sertifika içerisinde birden çok isim olması durumundan daha ucuza gelecektir.

Zaten baktığınız zaman eğer 3 veya 4 isim gerekli ise SAN mantıklı ancak daha fazla isim gerekli ise bu durumda wildcard yani *.cozumpark.com gibi bir sertifika alabilirsiniz.

Ancak bunu bir dez avantajı fiyat dışında yani iç ve dış domain isimleri farklı ortamlarda bu sertifikayı kullanamıyoruz. Çünkü iç ve dış domain farklı olduğu durumda örneğin Exchange server gibi bir ürün için hem iç domain ismi hem de dış domain ismi kullanılıyor olmalı. Wildcard da ise tek bir isim olduğu için bu kullanılamıyor. İki tane wildcard almanızda çözüm değil çünkü tek bir servise tek bir sertifika atayabiliyoruz.

Ancak çözüm olarak SSL Offload için bir cihaz kullanıp bu cihaz üzerinde wildcard kullanıp içeride ise Exchange Server’ lara internal CA den alınmış sertifika kullanabilirsiniz.

clip_image010

Yapılandırılacak olan sertifikanın hangi sunucuda konumlanacağınız seçmemiz gerekmekte. Bizim ortamımızda bir sunucumuz var farklı yapılandırmalarda birden çok sunucu olabilir. Browse… butonuna tıklayarak sunucumuzu seçelim.

clip_image012

EXCHANGE isimli sunucumuzu seçerek OK butonuna tıklayalım.

clip_image014

Sunucumuz seçili duruma geldi. Next ile sonraki adıma geçebiliriz.

clip_image016

Specift the domains ekranında Exchange Server üzerindeki servislere ulaşım yapılacak olan adresleri belirlememiz gerekiyor. Ben tüm servisleri için “posta.rizasahan.com” adını kullanacağım. Bu işlemi dış dünya için yapacağımdan dolayı sonu intranet olan servisler hariç geri kalanları yapılandıracağım. Sırası ile başlayalım. Öncelikle Outlook Web App servisini çift tıklayarak açalım.

clip_image018

Karşımıza bir tanımlama yapılmamış boş bir ekran gelmekte.

clip_image020

Boş olan kutucuğa “posta.rizasahan.com” bilgisini giriyorum. İşlemim tamamlandığı için OK butonu ile bu adımı onaylıyorum.

clip_image022

Ayını işlemi AutoDiscover servisi için yapıyorum.

clip_image024

Bundan sonraki kullanacak olduğum adımları yine aşağıdaki resim ekranlarındaki gibi yapılandırıyorum.

clip_image026

clip_image028

clip_image030

clip_image032

Pop servisi için gelen ekrandaki default değeri siliyoruz.

clip_image034

Posta.rizasahan.com tanımımızı burada da yapıyoruz.

clip_image036

IMAP servisi için gelen ekrandaki default değeri siliyoruz.

clip_image038

Posta.rizasahan.com tanımımızı burada da yapıyoruz.

clip_image040

Son olarak Outlook Anywhere ayarımızı yapıyoruz.

clip_image042

Dış dünyaya hitap edecek olan servislerimizde gerekli ayarları tamamladığımıza göre Next ile sonraki adıma geçebiliriz.

clip_image044

Gerekli ayarları yaptıktan sonra kullanılacak olan intranet ve internet servis bilgilerimiz aşağıdaki gibi bizlere sunuldu. Bunlar üzerinde bir değişiklik yapmayacağımız için Next ile sonraki adıma geçebiliriz. Bundan sonraki süreçte sertifika oluşturma adımlarına geçiyor olacağız.

clip_image046

Bu ekranımızda oluşturulacak olan sertifika için aşağıdaki bilgileri eksiksiz olarak doldurmamız gerekmekte. Bilgileri doldurduktan sonra Next ile sonraki adıma geçelim.

clip_image048

Sertifika sağlayıcıdan sertifika alabilmemiz için gerekli olan REQ dosyası oluşturma işleminin son adımlarına yaklaştık. Bizden network üzerinde bir yol istenmekte. Ben Exchange sunucumun C: diskinde bir alana kayıt yapacağım için \\localhost\c$\Sertifika\sertifika şeklinde bir yol belirleyip son kısma ise sertifika req dosyası için ismimi veriyorum. Sizin paylaşıma açık olan bir alanınız var ise oranın yolunu vermeniz mümkün. Bu adımdan sonra Finish ile sonraki aşamaya geçebiliriz.

clip_image050

Bu işlemden sonra artık istek bekleyen bir sertifikamız var. Elde ettiğimiz req dosyası ile sertifika sunucudan bir sertifika elde edip bekleme durumundaki sertifikamız üzerinde bunu sisteme tanıtmamız gerekmekte.

clip_image052

Bu aşamada makalemizin üst kısmında belirttiğimiz gibi lokalde var olan bir sertifika sunucusu kullanıyor olacağız. Gerçek hayatta bu işi comodo v.s. gibi güvenilir bir sertifika sunucudan yapmak en mantıklı yöntem olacaktır. Ben Windows Server üzerindeki sertifika servisi konsoluma login oldum. Bu aşamadan elde edilen REQ dosyamızla bir sertifika elde edeceğimiz için öncelikle Request a certificate linkine tıklayalım.

clip_image054

Bir sonraki ekranda advanced certificate request linkine tıklayalım.

clip_image056

Bu ekranımızda ise Submit a certificate request by using a base-64-encoded CMC or PKCS #10 file, or submit a renewal request by using a base-64-encoded PKCS #7 file. Linkine tıklayalım.

clip_image058

Exchange sunucumuz vasıtası ile oluşturduğumuz REQ dosyamızı açalım.

clip_image059

Notepad üzerinde açılan sertifika req dosyasının içeriğini kopyalayalım.

clip_image060

Kopyalanan kodu sertifika sunucusu üzerinde Saved Request alanına yapıştırdıktan sonra, Certificate Template olarak Web Server seçimini yapıp Submit butonuna tıklayalım.

clip_image062

Oluşturulan REQ kod ile sertifika sunucusundan bir Web Server sertifikası istedik. İstediğimiz sertifika oluşturularak bize sağlandı. Download certificate linkine tıklayarak sertifikamızı indirelim.

clip_image064

Sertifikamızı rahat ulaşım sağlayacağımız bir alana kayıt edelim. Bundan sonraki işlemler Exchange sunucu üzerinde devam edeceği için ben dosyamı Exchange sunucu üzerine kayıt ediyorum. Tabi ki web base olan bir yapı olduğundan sunucuyu her yerden yönetmek mümkün bunu göz ardı etmemek lazım.

clip_image065

Sertifikamızı başarılı şekilde kayıt edildi.

clip_image066

Sertifikamızı tıklayarak detaylarını görebiliriz. Kırmızı alanda görüldüğü gibi posta.rizasahan.com alan adı için hazırlanmış, iki yıl kullanım süresi olan, lokalde yer alan sunucu üzerinden elde edilmiş bir sertifika olduğu bilgileri görülmekte.

clip_image067

Buraya kadar olan adımları özetlemek gerekir ise, Exchange sunucu üzerinde sertifika tanımlaması için bir istek başlattık, sertifika için kullanılacak servis alan adı bilgilerini tanımladık, sertifika içerisinde yer alacak tanımlayıcı bilgileri girdik, bir req dosyası elde ettik, req dosyasını ortamımızda yer alan sertifika sunucu üzerinde sertifikaya çevirdik.

Şimdi Pending Request durumda olan sertifikamıza elde ettiğimiz sertifikayı tanıtmamız gerekiyor. Bu işlem için sertifikamız seçili durumdayken Complete linkine tıklayalım.

clip_image069

Network yolu üzerinden sunucumuzda bulunan CER uzantılı dosyamızın yolunu gösterelim ve OK butonuna tıklayalım.

clip_image071

Sertifikamız Invalid duruma geldi. Tanıttığımız sertifikamızı ilgili servislere yayımlamamız gerekmekte. Bu işlem için sertifikamıza çift tıklatalım.

clip_image073

Açılan General ekranda sertifika bilgilerimiz gözükmekte. Biz Services linkine tıklayalım.

clip_image075

Açılan ekranda sertifika kullanacak olan servisleri seçmemiz gerekmekte. Ben tüm servisleri kullanacağım için hepsini seçiyor ve Save butonuna tıklıyorum.

clip_image077

Mevcut sertifika üzerine bir yazma olacağı için uyarı geldi.Yes butonuna tıklayarak bunu geçelim.

clip_image079

Bu ekranlarda işimiz bitti Cancelile kapatabiliriz.

clip_image081

Sertifikamız hazır duruma geldi.

clip_image083

Outlook Web Access ekranına login olduğumuzda durum aşağıdaki gibi oldu.

clip_image085

Umarım yararlı olur. Bir başka makalede görüşmek dileğiyle.

Exchange Server 2019 CU12, Exchange Server 2016 CU23 sonrası için PS değişiklikleri aşağıdaki gibidir;

Import-ExchangeCertificate içerisindeki “FileName” parametresi artık yok. Onun yerine “FileData” kullanmanız gerekli.

Örnek

FileData ([Byte[]]$(Get-Content -Path “” -Encoding byte))

Export-ExchangeCertificate içerisindeki “FileName” parametresi artık yok.Onun yerine “FileData” kullanmanız gerekli.

Örnek

$cert = Export-ExchangeCertificate

Thumbprint

Password

BinaryEncoded

Set-Content -Path “” -Value $cert.FileData -Encoding byte

New-ExchangeCertificate içerisindeki “RequestFile” parametresi artık yok. Onun yerine “Set-Content” parametresini kullanabilirsiniz.

Örnek

$request = New-ExchangeCertificate

GenerateRequest

SubjectName “”

DomainName

Set-Content -Path “” -Value $request

Rıza ŞAHAN

www.rizasahan.com

İlgili Makaleler

Bir Yorum

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu