Ortamınıza yeni bir Exchange Server eklediğinizde ya da hiç Exchange Server bulunmayan bir ortama Exchange sunucu kurup üzerine sertifika eklediğinizde
“Güvenlik sertifikasındaki ad geçersiz ya da sitenin adıyla eşleşmiyor” “The name on the security certificate is invalid or does not match the name of the site” şeklinde bir hata alırsınız.
Bu hatayı aldığınız sertifika Wildcard da olabilir SAN de olabilir. Her iki durumda yapılması gerekenleri bu makalede anlatacağım.
Öncelikle hatanın neden oluştuğuna bakalım.
Resim-1
Resim-2
Exchange Server 2013 kurulduğu zaman üzerinde self sign olan kendi sertifikası bulunmaktadır ve bu sertifika IIS ve SMTP servislerine hizmet etmektedir. Siz kendi sertifikanızı kullanmak istediğinizde örneğin mail.fatihteke.com ya da eposta.mshowto.org bu sertifikayı bir dış firmadan alıp kullanıcıların cep telefonlarından ya da domainde olmayan cihazlardan hata almamasını istersiniz. Godady, Türk Trust, Symantec, Digicert, Comodo gibi üreticilerin ürettikleri sertifikalar Global olduğu için dış ortamda bulunan cihazlar tarafından da güvenilmektedir.
Kullanıcınız Outlook’u çalıştırdığı zaman Exchange Server ile iletişim kuracak ve oradaki sertifikayı kontrol edecektir. Sertifikanız içeriden bir CA den üretilmiş ya da yukarıda bahsettiğim gibi Global bir üretici tarafından sunulmuş olabilir. Bu durumda ilk seçenek OK işareti ile işaretlenmiş olacaktır. Eğer sertifikanın süresi geçmemiş ise ikinci seçenek te OK işaretini alacaktır. Fakat yukarıdaki resimlerde olduğu gibi isim ile ilgili problem alındığında bu sertifikanın yanlış alınmış olduğu anlamına gelmemektedir.
Outlook sertifikayı Exchange Server’dan aldığında kontrollerini yapmaya başlar. Bu kontrollerde sertifika üreticisi, tarih ve sertifika ile Exchange Server’ın isimlerinin eşleşip eşleşmediğidir. Sertifika içerisinde Exchange sunucunun adı bulunmadığı zaman yukarıdaki hata alınabilir. Fakat geçtiğimiz yıla kadar Global sertifikalar içerisine local isimler eklenebiliyordu mesela Exchange01.local gibi fakat artık bu isimlerin eklenmesi kaldırılmıştır. Bu sebeple artık local sunucu isimleri sertifikalar içerisinde yer almayacaktır.
Peki bu sorunu aşmak için ne yapılmalıdır?
Bu sorunu aşmak için Exchange Server üzerinde bazı tanımları değiştirmemiz gerekmektedir. Bunlar;
SAN Sertifika için;
Autodiscover Virtual Directory bilgileri,
Wildcard Sertifika için ise;
Autodiscover Virtual Directory bilgileri, Outlook Provider bilgisidir.
Eğer yapınızda Exchange 2010 var ise aşağıdaki komutu kullanabilirsiniz. Eğer yapınızda sadece Exchange Server 2013 var ise başka bir komut kullanmanız gerekir. Exchange 2013 için olan komutu aşağıda belirttim.
Exchange Server 2010 ve/veya Exchange Server 2010 ve 2013 Hybrid yapılarda bulunan SAN sertifikası için;
Set-autodiscovervirtualdirectory –identity “Autodiscover (Default Web Site)” –externalURL “https://mail.fatihteke.com/autodiscover/autodiscover.xml” -internalurl “https://mail.fatihteke.com/autodiscover/autodiscover.xml”
Komutu ile autodiscover Virtual Directory’lerin internal ve external bilgileri girilmelidir. Devamında ise
Set-ClientAccessServer EXC2013 -AutoDiscoverServiceInternalUri “https://mail.fatihteke.com/autodiscover/autodiscover.xml” komutunu kullanınız.
Not: Adres kısmını kendi domaininiz için değiştiriniz.
Exchange Server 2010 dan migrate edilmemiş yapıda sadece Exchange Server 2013 bulunan yapılar için;
Set-ClientAccessServer EXC2013 -AutoDiscoverServiceInternalUri “https://mail.fatihteke.com/autodiscover/autodiscover.xml” komutunu kullanınız.
Eğer Wildcard sertifika kullanıyorsanız yukarıdaki komutların devamında;
Set-OutlookProvider EXCH -CertPrincipalName msstd:*.fatihteke.com
Komutu kullanarak Outlook provider’ı belirtiniz.
Resim-3
Bu konuyla ilgili sorularınızı alt kısımda bulunan yorumlar alanını kullanarak sorabilirsiniz.
Referanslar
bu işlem sonunda local dns de autodiscovery.localdns.x bir işlem yapmaya gerek var mı? Exchange 2010 sunucu ve Officelerde hata almaya devam ediyorum.