Exchange Server 2007’nin kurulması sonrasında Outlook Web Access (OWA) üzerinde güvenliğin arttırılması için hazır gelen bir sertifika ile karşılaşacaksınız. Default gelen bu sertifika ile güvenlik seviyeniz bir kademe daha üst seviyeye taşınmış oluyor. Daha önceki Exchange Server sürümlerinde default gelen OWA sayfasına seksen numaralı porttan sertifikasız olarak ulaşıyorduk yani default gelen bir sertifika bulunmuyordu.
Fakat Exchange Server 2007 üzerinde default gelen bu sertifikanın Local ya da public bir CA’den alacağınız domain inizin adını taşıyan bir sertifika ile değiştirilmesi gerekebilir. Örneğin sertifika süresi bir yıl olduğu için bu süre bir süre sonra dolacak ve sertifika geçersiz olacaktır. Diğer bir örnek ise gelen sertifikanın OWA URL’nizin adını taşımamasından dolayı sayfaya ulaşılmak istenildiğinde güvenilmeyen bir sayfa uyarısı kullanıcılarınızın karşısına çıkabilir.
Bu makalemde bu sorunları aşmak için Local bir CA’dan alacağımız sertifika ile yenileme işlemini nasıl gerçekleştirmeniz gerektiğine değineceğim. Aynı işlemleri Public bir CA’den alacağınız sertifika ile de yapmanız mümkün.
Makalede çalışacağımız ortam aşağıdaki gibi, iki tane DC (syd-dc1, syd-dc2), bir tane CA (syd-dc1), iki tane exchange server 2007 (syd-dc1, syd-ex2), bir tane client PC:
Şekil-1
SYD-DC1 üzerinde ki default sertifikaya get-exchangecertificate komutu ile göz atalım:
Şekil-2
SYD-Ex2 üzerinde ki default sertifikaya get-exchangecertificate komutu ile göz atalım:
Şekil-3
Bu durumda https://syd-exc2.adatum.com/owa adresinden (internal adres) OWA’ya ulaşıp sertifikaya baktığımızda sertifikanın güvenilmediğini ve expire olduğunu görebiliriz.
Şekil-4
Yapı ile ilgili bu ön bilgilerden sonra adımlara geçelim ve ilk olarak Client Access Server (CAS) üzerindeki External adresi etkinleştirelim.
1. Exchange Management Console > Server Configuration > Client Access > SYD-EX2 > OWA üzerinde çift klikleyelim ve açılan pencerede General tabında External URL alanına kullanıcılarınızın dışardan ulaşırken yazacakları adresi yazalım. Ben örneğimde http://mail.emreaydin.com adresini kullanıyorum.
Şekil-5
2. Exchange Management Shell’de aşağıdaki komutu kullanırken sertifikanızın içerisine sayfanıza ulaşırken kullanılabilecek tüm isimleri girebilirsiniz, örneğin, mail, emreaydin.com, adatum.com, mail.emreaydin.com gibi. Komutun çalıştırılması sonrasında C:\ altına certrequest.req isimli bir dosya yaratılacaktır.
New-ExchangeCertificate -DomainName syd-ex2,syd-ex2.adatum.com,mail.emreaydin.com,adatum.com,emreaydin.com,mail -SubjectName “c=tr,o=Emre Aydın Corp, cn=mail.emreaydin.com” -PrivateKeyExportable:$True -GenerateRequest:$True -Path “C:\CertRequest.req”
Şekil-6
3. Syd-Ex2 üzerindeyken browser’da https://syd-dc1/certsrv adresine ulaşın ve gelen ilk sayfadaki Request a certificate’e klikleyin.
Şekil-7
4. Gelen ikinci sayfada advanced certificate request’e, üçüncü sayfada ise Submit a certificate request by using a base… ile başlayan linke klikleyin.
5. Gelen son sayfada Browse for a file to insert’e klikleyip daha önce oluşturduğunuz certrequest.req dosyasını gösterin.
6. Aynı sayfada Certificate Template başlığı altında Web Server’ı seçin ve Submit’i klikleyin.
Şekil-8
7. Certificate Issued sayfasında Download certificate ve Download certificate chain linklerine klikleyip sertifikaları c:\ altına kayıt edin. Bu işlemlerden sonra artık sertifika isteğini yapmış ve bu isteğin sonunda sertikayı CA’dan almış durumdayız. Şimdi bu sertifikayı Exchange Server içerisine import etmeye sıra geldi.
8. Yarattığınız sertifikayı SYD-Ex2’ye import etmek için aşağıdaki komutu çalıştırın ve Thumbprint değerini kayıt edin.
Import-ExchangeCertificate -Path “C:\certnew.cer” –FriendlyName “Exchange Certificate”
Şekil-9
9. Sertikayı import ettikten sonra enable etmek için aşağıdaki komutu çalıştırın ve sertifikayı hangi protokoller için kullanacağınızı da belirtin. Bu makalede, pop,smtp,imap,iis için yarattığım sertifikayı kullanacağım. Dizaynınıza göre her bir servis için farklı bir sertifika kullanabilirsiniz.
Enable-ExchangeCertificate -thumbprint <Thumbprint Değeri> -Services:”POP,SMTP,IMAP,IIS”
10. Tüm bu işlemlerden sonra SYD-Ex2 üzerinde get-exchangecertificate komutunu tekrar çalıştıralım ve yarattığımız sertifikayı görelim:
Şekil-10
11. Süresi dolmuş, geçerliliğini yitirmiş eski sertifikanın thumbprint değerini kayıt edin. Bu makalede, 49E5… ile başlayan sertifika Exchange Server 2007 üzerinde default gelen sertifikadır. Sertifikayı kaldırmak için aşağıdaki komutu kullanın:
remove-ExchangeCertificate –thumbprint <Thumbprint Değeri>
Şekil-11
12. Yarattığınız sertifikayı client PC’lere policy aracılığı ile ya da manuel olarak yükleyin.
Şekil-12
13. https://mail.emreaydin.com/owa adresine ulaşıldığında artık sertifikanın doğrulanmaması ile ilgili bir uyarı mesajı almayacaksınız. Sertifikanızla ilgili daha fazla detayı görmek isterseniz Exchange Management Shell’de get-ExchangeCertificate | fl * komutunu çalıştırabilirsiniz.
Şekil-13
Bu konuyla ilgili sorularınızı alt kısımda bulunan yorumlar alanını kullanarak sorabilirsiniz.
Referanslar
