Blog

Exchange Server Federation Sertifikasının Yenilenmesi

Her ürün ve serviste olduğu gibi Exchange servisleri tarafından oluşturulan her sertifikanın bir süre sonra yenilenmesi gerekmektedir. Exchange 2007 ve sonraki sürümlerde, Exchange kurulumu sırasında SMTP, IMAP, POP, OWA, EAS, EWS ve UM gibi prokollerin iletişimin güvenliğini sağlamak için kurulum sırasında otomatik sertifikalar oluşturuyor.

Exchange Server’in otomatik olarak imzalanan sertifikaları default olarak tüm Exchange servisleri ile iletişimin güvenliğini sağlamakta büyük bir rol oynamaktadır.

Otomatik olarak imzalanan sertifikaları Microsoft Exchange 2010 ile beraber 5 yıla çıkartmıştı. Bu nedenle otomatik olarak imzalanan sertifikaları CA’dan aldığınız sertifiakalar gibi her yıl yenilemek durumunda kalmıyorsunuz. Sunucularınızda bulunan otomatik imzalı sertifikaların expire tarihlerini etkin bir şekilde izlemiyorsanız, bu sertifikaların süresinin dolması, bazı servislerin çalışmamasına sebep olabilir. Federation gateway sertifikasınında süresi 5 yıldır, 5 yıl sonunda bu sertifikayı yenilemezsiniz federation yapısının çalışmayabilir.

Federation sertifikasını, süresi dolmadan yenileme yapmazsanız eğer, federasyonu kaldırmanız ve yeniden ilişkilendirmeniz gerekecektir. Bu senaryo sertifika yenileme işlemine göre daha büyük bir olay. Federation yapısını yeniden oluşturmanın nedeni, federation sertifikasını federation üzerinde yapılan değişiklikleri doğrulamak için kullanmasıdır.

Federation Sertifikasının Yenileme İşlemi

Normal yollarla ilerleyeceğiz ve sertifikamızın süresi bitmeden yenileme işlemi yapmak istiyoruz. Aslında burda bir yenileme işlemi yapılmıyor, mevcut sertifikayı yenisine devrediyoruz.

Bu işlemi yaptığınızda eski sertifikayı “msExchFedOrgPrevPrivCertificate” adlı bir ADSI özniteliğine taşır ve yeni sertifikayı “msExchFedOrgPrivCertificate” olarak kaydeder.

Öncelikle sunucum üzerindeki Sertifikaları listelemek istiyorum, bu işlemi ECP veya EMS üzerinden yapabilirsiniz. EMS için aşağıdaki komut setini kullanmanız yeterli olacaktır.

Get-ExchangeCertificate

Sertifkalarımızın listesini aldıktan sonra, Federation Sertifikamızın bilgilerine bakalım.

Get-FederationTrust | fl Org*cert*

Federation sertifikamızı devretmeden önce, federation sertifikamızın durumunu görüntüleyebiliriz.

Test-FederationTrustCertificate | Fl

Yeni federation sertifikası oluşturmak için gerekli adımları uygulamaya başlayabiliriz.

Öncelikle sertifika üzerinde kullanılacak benzersiz bir anahtar tanımlayacı oluşturmamız gerekmektedir.

$ski = [System.Guid]::NewGuid().ToString(“N”)

Sertifikamızı devretmek için, yeni otomatik imzalı bir sertifika oluşturuyoruz. Komut tamamlandıktan sonra oluşturulan Thumbprint kodunu servis atamalarında kullanacağız.

New-ExchangeCertificate -FriendlyName "Microsoft Federation Gateway" -DomainName domainadiniz.com -Services Federation -KeySize 2048 -PrivateKeyExportable $true -SubjectKeyIdentifier $ski

Sertifika oluşturma işlemimizi tamamladı, ve oluşturulan sertifikamızda henüz hiç Service atanmamış durumda.

Sertifikamızın thumbrint kodu ile sertifikayı eşleştirdiğimiz zaman, yeni oluşturduğumuz sertifikayı sunucularımız üzerinde aktif olması biraz zaman alacaktır. Bu işlemden sonra DNS sunucunuz üzerinde girili olan TXT kaydını güncellemeniz gerekebilir.

Get-FederationTrust | Set-FederationTrust -Thumbprint “Thumbprint Code”

Yeni sertifikanız ve domaininiz ile ilgili TXT kaydını öğrenmek için aşağıdaki komut setini çalıştırmanız gerekmektedir.

Get-FederatedDomainProof -DomainName domainadiniz.com

Oluşturmuş olduğumuz sertifikanın durumunun görüntülememiz gerekmektedir ve Installed olarak görmemiz gerekiyor.

Şimdi ise sertifikamızın “OrgNextCertificate” değerinin tanımlandığını kontrol etmemiz gerekmektedir.

Şimdiki komutumuzla beraber refreshmetadata anahtarını kullanacağız. Meta veri belgesinin ve sertifikasının Microsoft Federation Gateway‘den yeniden istemiş olacağız.

Get-FederationTrust | Set-FederationTrust -RefreshMetadata

Şimdi ise yeni oluşturduğumuz Federation Sertifikasını yayınlayacağız. Bu işlemden önce DNS TXT kaydınızı güncellemediyseniz, öncelikle DNS güncelleme işlemini yapmanız gerekmektedir.

Get-FederationTrust | Set-FederationTrust -PublishFederationCertificate

İlgili Makaleler

2 Yorum

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu