Exchange 2010 Step by Step Sertifika Yönetimi

Exchange Server 2010 SSL Sertifika Yönetimi

Firmalar Sunucu Güvenliklerini artırmak ve dış iletişimlerini algoritma tabanlı şifreleme teknolojisiyle korumak için  bir sertifika yetkilisine ihtiyaç duymaktadırlar. Bu sertifikalara sahip olduğunuz sunucularda  isteğinize uygun olarak “Güvenli Yuva Katmanı (SSL) ve  “Güvenli Aktarım Katmanı (TLS) ‘i yapılandırma sağlayabilirsiniz.

Microsoft Exchange Server 2010  varsayılan olarak SSL güvenlik sertifikası ile beraber gelmektedir.Siz bu sertifikayı dilediğiniz bir Sertifika Otoritesi ( Ör: GlobalSign , VeriSign , Digicert vs gibi ) ile değiştirebilirsiniz.

Şimdi detaylarıyla Exchange 2010 da sertifika konusuna başlayalım…


Exchange Managment Console da Server Configuration a tıklıyoruz. Sagdaki menüden New Exchange Certificate seçiyoruz.

“New Exchange Certifika” tikladiğimizda karşımıza aşağıdaki ekran geliyor sertifikamiza friendly name tanimliyoruz. Friendly name tanimlamasi gerçekleştirdiktan sonra  “NEXT” diyerek devam diyoruz.


“Domain Scope” ekrani geliyor karşımıza “Enable wilcard certificate” burada şunu belirlemimizi istiyor eğer ortamimizda sub-domainimiz var ise oluşturacağımız sertifikanın sub-domainlerde de kullanılabileceğini söylüyor bir değişiklik yapmadan “NEXT” diyerek devam ediyoruz.


“Exchange Configuration” ekrani geliyor karşımıza oluşturacağımız sertifika isteğinin hangi servisler tarafindan kullanacağını belirliyoruz.

Client Access server ( Outlook Web App ) altında ki Outlook web App is on the Intrant seçeneği yani local de ki sertifika ismini belirtiyorum,Outlook Web Apps is on the Internet yani external sertifika ismini belirtiyorum.

Client Access server ( Exchange ActiveSync ) altında ki Exhange Active Sync is enabled mail.domain.com olarak tanimliyoruz.

Client Access server ( Web Services,Outlook Anywhere anda Autodiscover) oluşturacağımız sertifikamızın Web Servisleri ve Outlook Anywhere da kullanabileceğini ve bunun için external adreside belirtebiliyoruz.

Autodiscover da enable ederek oluşturduğumuz sertifikanin mail sunucumuza Authentication sağlayabiliriz.

Diğer servislerle ilgili tanımlamalari gerçekleştirdikten sonra “NEXT” diyerek devam ediyoruz.

Exchange Server Sertifikası ve Dikkat Edilmesi Gerekenler

Exchange Server üzerinde kullanılan ve kullanıcı erişimlerinde güvenli iletişimi sağlayan sertifikalar özellikle yaşanan problemlerin ana kaynağını oluşturmaktadır. Bu noktada özellikle kullanıcı-sunucu erişimlerinde kullanılacak sertifikalar için aşağıdaki formatta olmasına dikkat ederseniz en az hata ile Exchange yapınızı kullanmış olursunuz.

Bu bilgileri verirken özellikle Autodiscovery,OWA, RPC/HTTPs ve ActiveSync üzerinde yaşanan problemler’e çözüm olacak bir yapıyı paylaşacağım.

Bu yapıda sertifikanızı oluştururken aşağıdaki bilgilerin sertifika içerisinde olduğundan emin olun.

  • Subject Name (Common Name) kısmında ActiveSync erişiminde kullanılacak adresin FQDN‘inin olmasına dikkat edin.Bu aynı zamanda RPC/HTTPs içinde kullanılacaktır (örneğin: mail.mslinuxtrmailservers.com)
  • DNS Name = Internet Published OWA URL (OWA URL içerisinde yer alan FQDN ) (örneğin: webmail.mslinuxtrmailservers.com)
  • DNS Name = CAS machine NETBIOS name (CAS Sunucunun Netbios Adı) (örneğin: MSEXCCAS01)
  • DNS Name = CAS machine Full Computer  Name (CAS Sunucunun FQDN’i) (örneğin: MSEXCCAS01.mslinuxtrmailservers.local)
  • DNS Name = Internal Domain Name (FQDN ) (SMTP Domain Adı) (örneğin: mslinuxtrmailservers.local)
  • DNS Name = autodiscover.<InternalDomainName> (AutoDiscover için kullanılacak iç SMTP Domain adı) (örneğin: autodiscover.mslinuxtrmailservers.local)
  • DNS Name = autodiscover.<ExternalDomainName> (AutoDiscover için kullanılacak dış SMTP Domain adı) (örneğin: autodiscover.mslinuxtrmailservers.com)


“Certificate Domains” ekraninda domain namelerimizi yazıyoruz. Default Common Name ne olacaksa ( Oluşturduğumuz sertifika üzerinde görülecek isim ) Set as common name diyerek onu belirliyoruz.


“Organization and Location” ekraninda sertifika talebinde bulunacağımız için burdaki gerekli bilgilerini giriyoruz ve “Certificate request file path” ini oluşturulacak sertifikani nereye kaydedileceğini belirtiyoruz.Bu için “Browse” tikliyoruz.


Ben sertifikami Local Disk C dizini altinda oluşturduğum “Cert” ismini verdiğim folder altina kaydedilmesini istiyorum.Oluşturulacak sertifikaya “Bjkcert” ismini vererek oluşturulacak sertifika talebini certificate request file olarak kaydediyoruz.


“Certificate Configuration” ekraninda oluşturulacak olan sertifikayla ilgili özet bilgi geliyor karşımıza “New” diyerek sertifikamizi oluşturuyoruz.


Finish ile bu işlemi tamamlıyoruz.


Oluşturdugumuz sertifika MMC a geldi.


Oluşturduğumuz sertifikamizin kaydettiğimiz yeri kontrol ediyoruz.Notepad ile açıp request bilgisini kopyalıyoruz.

Sertifikayı satın alacagımız kuruluşun web sayfasına login oluyoruz. Burada test olarak Digicert kullanılmıştır.


Login oluyorum.


Oluşturdugum Bjkcert dosyasının içeriğini sayfadaki CSR kısmına yapıştırıyorum.

CSR nedir?

CSR (Certificate Signing Request), webe açık sunucunuz tarafından üretilen, içerisinde web sunucunuza ve SSL Sertifikasını kullanacağınız web sitesine dair bir takım veriler içeren bir koddur. SSL Sertifika başvurusu sırasında, web sitenize ait bilgiler bu kod vasıtasıyla tespit edilmekte ve başvuru sonrasında ilgili güvenlik sertifika firması tarafından imzalanmaktadır.


Oluşturdugum csr dosyasına göre sertifika firmasının bana veriği sertifikayı download ediyorum.



Sıra geldi bu sertifikayı import etme işlemine. MMC Consolda Sagdaki menüden İmportExchange Certificate menüsüne tıklıyoruz.


Sertifikanın yeribni gösterip bir password girip Next ile devam ediyoruz.


Next ile ilerliyoruz.


İmport diyerek sertifikamızı import ediyoruz.


Sonrasında yapacagımız işlem ise import ettiğimiz bu sertifikayı assign etmek. Sertifika üzerine sag click yapıp Assign Services To Certificate seçiyoruz.


Sertifikayı kullanacagımız servisleri seçip Assign diyoruz.



Sertifikamız başarılı bir şekilde oluşturuldu ve Exchange Server üzerindeki kullanılan servislere assign işlemi başarıyla tamamlandi. Artik bütün mail alışverişlerimizi oluşturduğumuz SSL sertifikamız üzerinden sağlayabiliriz.

Aynı işlemleri (Sertifika oluşturma – İmport etme) sertifikayı satın aldıgınız firmaların toolları var. Bunlar vasıtasıylada yapabilirsiniz.

Faydalı olması dilegiyle…

Yazar: Osman BAGISLANAN

Http://www.mslinuxtr.com/yazarlar


(869)

the author

Netaş Aş. de Sistem Yöneticisi olarak çalışmaktayım. 2001 den bu yana BT sektöründeyim. Bu zamanın büyük bir kısmında Sistem Entegratörlüğü yapan Bilişim firmalarında proje ve sistem kurulum departmanlarında çalıştım. Birçok firmada Microsoft ürünleriyle ilgili sistem kurulum projelerinde bulundum. 2012 den bu yana kendi bloğum olan MSLİNUXTR de deneyimlerimi sizinle paylaşıyorum. Ayrıca 2013 başlarından bu yana da MSHOWTO ailesinin bir üyesiyim.

No comments yet.

Bir Cevap Yazın