Selamlar.
Exchange Server'ı kurduktan sonra sunucuda kullanılan SSL sertifikasının Self-signed Certificate olmasından dolayı Domain'deki diğer sunucular ve Client'lardan yapılan erişimlerde bağlantının güvenli olmadığına ve site sertifikasının geçersiz olduğuna dair uyarılar alacaksınız.
Bu sorunu çözmek için yetkili bir sertifika dağıtıcısından geçerli bir sertifika edinip Exchange Server'a bunu yüklemeniz gerekiyor.
Bizim ortamımız Active Directory üzerinde olduğundan ve erişecek tüm client'lar domain'e join olduklarından dolayı
Active Directory Certificate Services rolünü
DC makinemize yükleyip Exchange makinesi için sertifika edineceğiz. Eğer client'larınız domain'den bağımsız olarak çalışıyorlar ise, bu durumda Public bir sertifika dağıtıcısından sertifika satın almanız daha iyi olacaktır.
DC'ye
ADDS kurulumu yaparken
CA ve
CA Web Enrollment rol servislerini yüklemeniz yeterli olacaktır.
Kurulum için gereken diğer adımları default değerlerde bırakarak kuruluma devam edeceğim. Bu nedenle kurulum için başka screenshoot paylaşmaya gerek duymuyorum.
ADCS kurulumu tamamlandıktan sonra hem
DC'ye hem de Domain'de bulunan diğer sistemlere
gpupdate /force komutunu uygulayın.
Exchage'deki sertifikaları yönetmek için
Exchange admin center (
https://ExchangeServer/ecp) panelini açın.
Servers kısmından
certificates' e tıklayın. Daha sonra
+ simgesine tıklayın.
Karşınıza gelen ekranda 1. seçenek olan "
Create a request for a certificate from a certification authority" ile devam edin.
Sertifika için bir isim belirleyin. Bu isim, sadece
ecp'deki
certficates kısmında gözükecektir.
Talep edeceğiniz sertifikanın tüm domain hizmetleri için kullanılabilir olmasını istiyorsanız
wildcard sertifika talebinde bulunabilirsiniz. Böylece hizmetleriniz için oluşturulan tüm
subdomain'lerde bu sertifika ile
SSL üzerinden gelinmesini sağlayabilirsiniz fakat buna gerek duymuyorum. İstediğim sertifikanın hangi adresler için geçerli olacağını ilerleyen adımlarda kendim belirleyeceğim.
Bu adımda sertifika talebinizin hangi Exchange sunucusunda tutulacağını belirleyebilirsiniz.
Bu adımda, hangi hizmetin hangi url üzerinden erişilebilir olduğunu belirterek, sadece o url'ler için sertifika talebinde bulunabilirsiniz. Internet ve Intranet adresleriniz farklı olabilir. Internet üzerinden kaynaklarınıza erişimin mümkün olması için
Public DNS'iniz üzerinde ilgili adresler için kayıtlar oluşturmalısınız.
Bu adımda ise, sertifikanın üzerine yazılacak bilgileri belirleyeceğiz. Bu adım önemli çünkü burada belirttiğiniz bilgiler sertifika detaylarında görüntüleneceği için herkes tarafından okunabilir olacak. O nedenle anlamlı bilgiler içermesinde fayda var.
Bu adımda ise sertifika talep formunun nereye kaydedileceğini belirteceğiz. İlgili formu local makine üzerindeki
C:\ dizinine kaydedeceğim.
Oluşturmuş olduğunuz sertifika talep formuyla
ADCS makinesinden sertifika alacağız. Ücretli-Public sertifika hizmetleri için de sertifika talebi aynı yöntemle gerçekleştirilmektedir. Yani isterseniz aynı formla Public bir sertifika hizmeti sağlayıcısından da sertifika satın alabilirsiniz.
ADCS'in yüklü olduğu makinenin
Web Enrollment sayfasına erişip sertifika talebinde bulunacağım. Bu sayfa varsayılan olarak
ServerIP/certsrv url'inden yayınlanmaktadır.
Sertifika talebi için hazır formumuz olduğundan dolayı
advanced certificate request seçeneği ile ilerleyeceğiz.
Gelen ekrana, daha önceden oluşturduğumuz talep formunun içeriğini yapıştırıp,
Template kısmından da
Web Server'ı seçip
submit butonuna tıklayacağım.
Sertifikam hazır.
Download Certificate yazısına tıklayarak ilgili sertifikayı indiriyorum.
Tekrar
ecp ekranına dönüp ilgili sertifika talebim seçili iken
Complete yazısına tıklıyorum.
Gelen ekrana indirmiş olduğum sertifikanın bulunduğu dizini yazıp
OK butonuna tıklıyorum.
Sertifikamız sunucumuza
Import edildi. Şimdi bu sertifikanın web arayüzünde kullanılmasını sağlayacağız. Bunun için sertifika seçili iken kalem simgesine tıklayıp sertifikanın hangi servisler için kullanılacağını belirteceğim.
Owa (Outlook Web App) ekranı ve
Ecp (Exchange Control Panel) arka planda
IIS'ten yararlandıkları için bu ekranda
IIS seçeneğini seçip
Save butonuna tıklayacağım. İsterseniz aynı sertifikayı
SMTP,
IMAP ve
POP servisleri için de kullanabilirsiniz.
Artık daha güvenli. :)
