Exchange server kurulumu gerçekleştirdikten sonra internal veya external erişimler için hazır hale getirildiğinde, sunucuya uygun SSL sertifikasının yüklenmesi gerekmektedir. Outlook Web App ve ActiveSync URL adreslerinize güvenilir ve şifreli bir şekilde erişim sağlamak için Let’s Encyprt kullanabilirsiniz.
Let’s Encrypt Certificate Authority sayesinde ücretsiz SSL sertifikaları oluşturabilirsiniz. Bu makalede, Exchange Server 2019 için SSL sertifikalarını nasıl alacağınızı, kuracağınızı ve otomatik olarak yenilemeyi nasıl planlayacağınızı anlatmaya çalışacağım.
Gereksinimler
- Microsoft Exchange Sunucusu 2019
- Önceden kurulmuş bir Exchange sunucunuz olmalı ve internal ve external URL’ler önceden yapılandırılmış olmalıdır.
- SAN sertifikasına dahil edilecek ana bilgisayarlar için dahili ve harici DNS kayıtları
- Let’s Encrypt CA tarafından desteklenen bir ACME istemcisi .
Güvenilir bir SSL sertifikası yüklemeden önce Outlook Web App’in nasıl göründüğüne bir göz atalım.
Resim-1
Let’s Encrypt SSL SAN Sertifikası Nasıl Alınır ?
Win-acme istemcisini kullanarak Let’s Encrypt CA’dan sertifika almanın iki yolu vardır. interactive menu-driven method ve the command-line/unattended . Öncelik https://www.win-acme.com/ adresinden önerilen versiyonu download edip talep edeceğimiz sunucunun c:\ dizinine kopyalayalım. Siz farklı bir dizinde kullanabilirsiniz
Resim-2
Interactive Menu kullanımı
Interactive menü, özellikle ilk kez yapılıyorsa, SSL sertifikası talep etmede önerilen yöntemdir. Bunun nedeni, bu yöntemin size toolun neler yapabileceğini aşina olmanızı sağlayacak ipuçları ve açıklamalar vermesidir.
Başlamak c:\win-acme istemcisinin kurulu olduğu dizine giderek wacs.exe’yi yönetici olarak çalıştırın. Interactive bir menü ile karşılaşacaksınız.
Yeni bir sertifika oluşturmak için M harfine basarak devam ediyoruz.
Resim-3
Ardından, talep edilecek sertifikaya ait dns kayıtlarının nasıl ekleneceğini seçmeniz istenecektir. Manuel giriş için 2 yazıyoruz
Host kısmına destellab.com,autodiscover.destellab.com kayıtları kullanıldığından bu kayıtlar yazılıp devam edilmiştir.
Resim-4
SAN sertifikası için eklediğiniz etki alanlarının sahipliğini doğrulamak için kullanılabilen yöntemlerin listesi görmekteyiz
[http-01] önerilen doğrulama yöntemini kullanma seçeneğini belirlemek için 2 yazın
Resim-5
Talep ettiğiniz Sertifikanın imzalanması önerilen şifreleme algoritmasını seçerek devam ediyoruz.
RSA anahtarını seçmek için 2 girin
Resim-6
Talep Edilen sertifikayı kaydetmenin birden fazla yolu bulunmaktadır. Ancak bu örnekte Windows Sertifika Store kullanılmıştır. 4 yazın ve Enter’a basın.
Resim-7
General computer store 2 ‘yi seçerek devam ediyoruz.
Resim-8
Farklı bir şekilde kaydetmeye gerek kalmadığından 5. Seçeneği seçerek devam ediyoruz.
Resim-9
IIS’de https bağlantı noktası oluşturmak için 1 seçenek ile ilerliyoruz.
Resim-10
Default website için 1 seçeneği seçerek devam ediyoruz. Exchange Server Front-End siteleri Default Web Site ‘da yer almaktadır. Ardından bir kurulum adımı eklemeniz istendiğinde, harici bir komut dosyası veya program başlatmak için 2‘yi seçiyoruz.
Resim-11
ImportExchange.ps1 powershell script , win-acme ‘yi kurulum yaptığınız dizinde yer almaktadır. Bu script’in işlevi, sertifikayı OWA, SMTP ve IMAP gibi Exchange Hizmetlerine uygulamaktır.
‘{CertThumbprint}’ ‘IIS,SMTP,IMAP’ 1 ‘{CacheFile}’ ‘{CachePassword}’ ‘{CertFriendlyName}’
Sertifikanın hangi servislere uygulanacağını eklemek veya kaldırmak istiyorsanız ikinci parametre değerini değiştirmeniz yeterlidir. Diğer tüm parametre değerlerini varsayılan olarak bırakabilir Referans için aşağıdaki örneğe bakabilirsiniz.
Resim-12
Artık son aşamada herhangi bir kuruluma devam etmeyeceğimiz için öncelik 3 sonrasında hizmet koşullarını açmamak için no kabul etmek için yes diyerek artık doğrulama adımına geçebiliriz. Tabi problemler içinde mail adresimizi yazmayı unutmuyoruz.
Resim-13
Yukarıdaki bilgiler tamamlandıktan sonra sertifika doğrulama işlemi başlayacak ve 90 günde bir sertifikanın yenilenmesi için task scheduler ‘de sertifika yenileme görevi oluşacaktır.
Resim-14
task scheduler otomatik yenileme için oluşacak görevin çalıştırılması için bir kullanıcı belirtmek istemiyoruzsak n‘ye basıp ve Enter’a basarak devam ediyoruz.
Let’s Encrypt CA tarafından verilen SSL sertifikaları, veriliş tarihinden itibaren yalnızca 90 gün boyunca geçerlidir. Bu makalede, bir Exchange Server 2019 için Let’s Encrypt SSL sertifikasının nasıl yükleneceğinizi öğrendiniz bir sonraki makalede görüşmek üzere
