Bildiğimiz üzere Exchange 2007 ve Exchange 2010 da default olarak kurulum sonrası self-signedsertifika üretiliyordu. Ancak 1 senelik üretilen bu sertifikanın süresi dolduğu için artık çalışmayacaktı. Exchange2007’de yeni bir sertifika oluşturmak biraz da olsa zahmetli ve exchange management shell komutlarına dayalı idi.Exchange 2010’da ise durum biraz daha farklı ve pratik. Exchange Management Console üzerinden sertifikaüretilebilir hale geldi.

Bende burada size yeni versiyon olan Exchange 2010 da sertifika nasıl oluşturulur onu göstermeye çalışacağım. Oluşturacağımız sertifikaları, ister OWA’da ister IMAP’ de dilersek POP da kullanabileceğiz. Tabi bunun için sertifikaoluştururken CAS rolüne sahip olan sunucuların isimlerinide alternate name e yazmak sertifikamızı kullanırken yaşayacağımız uyarı problemlerini çözecektir.

 

Exchange Management Console’da Server Configuration altında yukarıda ki resimde görüldüğü üzere ExchangeCertificates tabını görebiliyoruz. Sertifikaları buradan oluşturup yönetimininide bu konsol aracılığı ile yapabilmekteyiz.

 

Yukarıda ki resimde görüldüğü gibi, Server Configuration altında sunucu ismimize sağ tıkladığımızda; İçeride ki CA sunucusuna sertifika isteğinde bulunabilir, yada bir sertifika server dan elde ettiğimiz sertifikayı exchange server üzerine import edebilmekteyiz.

Biz burada New Exchange Certifika deyip devam edelim.

 

Burada friendly name i giriyoruz. Yani webmail.cozumpark.com gibi.

 

Devam ettiğimizde wilcard certificate i enable edip etmeyeceğimizi bize soruyor. Bu şu demek; eğer birden fazla subdomainimiz var ise bu sertifikanın o domainlerle beraber kullanılabileceğini söylüoyr.

Ör: *.cozumpark.com yaparsak olabilecek tümsub-domainleri kapsar.

 

Devam ettiğimizde, Client Sccess server ( Outlook Web App ) altında ki domain intranet yani local de ki sertifikaismi cpexc.mstr.com olacak,

Outlook Web Apps is on the Internet altında ki domain name ise mail.mstr.com olarak belirleyebiliyoruz. Yani dışarıdan mail.mstr.com yazdığımızda herhangi bir sertifika uyarısı ile bu durumda karşılaşmayacağız.Bunu ne için kullanacağız; ör: biz mail serverımızn ismini dışarıda kullanmak istemeyiz bunun yerine webmail,mail gibi isimler kullanmak isteriz. Bu durumda yukarı da ki ayarları izleyeceğiz.

 

Bu ekranda, sertifikamızın web servisleri ve Outlook Anywhere da da kullanabileceğini ve bunun için external adreside belirtebiliyoruz.

Autodiscover ı da enable ettikten sonra basit ve kolay bir şekilde dışarıdan mail sunucumuza authentication sağlayabilmekteyiz.

 

Burada ise sertifika domainlerimizi yazıyoruz. Default common name ne olacaksa ( sertifika üzerinde görülecek isim ) onu buradan ekliyoruz. Ayrıca buraya CAS rolüne sahip diğer mail sunucularımıza eklememizde fayda var.

 

Sertifika server a sertifika talebinde bulunacağımız için burda ki location ve organization bilgilerini giriyoruz ve certificate request file path ini nereye atacağını belirtiyoruz. Bu uzantı .req ‘dir.

 

Burada sertifika talebini request file olarak kaydediyoruz.

 

Certificate request file path burada gözüküyor. Devam ediyoruz.

 

Özeti görüyoruz.

 

Ve sertifika isteğimiz belirttiğimiz ayarlar ile oluşturuldu. Sıra geldi bu isteği sertifika server a işlemek ve sertifikayıoluşturmak.

 

Yine EMC üzerinde Server Configuration altında sertifika isteğimizi görebiliyoruz. Ancak sertifika onaylamadığımız için henüz OK ve onaylı durumda değil.

 

Sertifika request ımızı kaydettiğimiz yeri kontrol ediyoruz.

 

Certificate Authority, Web Enrollment sayfasını yukarıda ki gibi açıyoruz ve Request a certificate’e tıklıyoruz.

 

Burada, advanced certificate request e tıklıyoruz.

 

Submit a certificate request by using a base… e tıklıyoruz.

 

Sertifika talebini kaydettiğimiz yere gidip talep dosyasını notepad ile açıp, request bilgisini kopyalıyoruz.

 

Web Enrollment sayfasına gelip, yukarıda ki gibi kopyaladığımız istek bilgilerini buraya yapıştırıyoruz.

Certificate template olarak Web Server seçiyoruz ve submit e tıklıyoruz.

 

Sertifikayı onayladık şimdi Download certificate ve download certificate chain deyip oluşturulan sertifikayı kaydediyoruz.

 

Sertifikamızı uygun bir yere kaydediyoruz.

 

Sertifikamızı kaydettiğimiz yerde görüyoruz.

 

Tekrar Exchange Management Console a gelip, oluşturduğumuz sertifikaya sağ tıklayıp, “Complete Pending Request” e tıklıyoruz.

 

Kaydettiğimiz sertifikayı Exchange sunucusunda bir yere kopyalayıp bu ekranda konumu gösterip ilerliyoruz.

 

Özet ve finish diyoruz.

 

Sertifika düzgün bir şekilde oluşturulduğunu görebiliyoruz ancak self signed konumu False yani pasif durumda.

 

Sertifikamıza sağ tıklayıp, “Assign Services to Certificate” e tıklıyoruz.

 

Buradan sertifikayı hangi mail sunucumuza assign edeceğimizi seçiyoruz.

 

Exchange 2007 kullananlar bu ekranı kısmen hatırlayacaklar. Burada sertifikamıza hangi servisleri assign edeceğimizi belirtiyoruz. Exchange 2007 de bunu EMS üzerinde “ Enable-ExchangeCertificate –Thumbprint –services “SMTP,IIS,IMAP,POP” komutuyla yapabiliyorduk.

 

Daha önce Exchange 2010 kurulurken oluşturduğu default bir SMTP sertifikası vardı. Bunun üzerine yazacağını söylüyor. Yes diyoruz.

 

Ve artık sertifikamızın oluşturma süreci başarıyla bitti. Böylelikle bütün mail alışverişlerimizi SSL sertifikamız üzerinden sağlayacağız.

Başka bir makalede görüşmek üzere…

–

Buğra KESKİN