Exchange Server - ADCS Sertifikasının Kurulumu



Selamlar. 

Exchange Server'ı kurduktan sonra sunucuda kullanılan SSL sertifikasının Self-signed Certificate olmasından dolayı Domain'deki diğer sunucular ve Client'lardan yapılan erişimlerde bağlantının güvenli olmadığına ve site sertifikasının geçersiz olduğuna dair uyarılar alacaksınız. 
Bu sorunu çözmek için yetkili bir sertifika dağıtıcısından geçerli bir sertifika edinip Exchange Server'a bunu yüklemeniz gerekiyor.
Bizim ortamımız Active Directory üzerinde olduğundan ve erişecek tüm client'lar domain'e join olduklarından dolayı Active Directory Certificate Services rolünü DC makinemize yükleyip Exchange makinesi için sertifika edineceğiz. Eğer client'larınız domain'den bağımsız olarak çalışıyorlar ise, bu durumda Public bir sertifika dağıtıcısından sertifika satın almanız daha iyi olacaktır.
DC'ye ADDS kurulumu yaparken CA ve CA Web Enrollment rol servislerini yüklemeniz yeterli olacaktır.
Kurulum için gereken diğer adımları default değerlerde bırakarak kuruluma devam edeceğim. Bu nedenle kurulum için başka screenshoot paylaşmaya gerek duymuyorum.
ADCS kurulumu tamamlandıktan sonra hem DC'ye hem de Domain'de bulunan diğer sistemlere gpupdate /force komutunu uygulayın.
Exchage'deki sertifikaları yönetmek için Exchange admin center (https://ExchangeServer/ecp) panelini açın. Servers kısmından certificates' e tıklayın. Daha sonra + simgesine tıklayın.
Karşınıza gelen ekranda 1. seçenek olan  "Create a request for a certificate from a certification authority" ile devam edin.
Sertifika için bir isim belirleyin. Bu isim, sadece ecp'deki certficates kısmında gözükecektir.
Talep edeceğiniz sertifikanın tüm domain hizmetleri için kullanılabilir olmasını istiyorsanız wildcard sertifika talebinde bulunabilirsiniz. Böylece hizmetleriniz için oluşturulan tüm subdomain'lerde bu sertifika ile SSL üzerinden gelinmesini sağlayabilirsiniz fakat buna gerek duymuyorum. İstediğim sertifikanın hangi adresler için geçerli olacağını ilerleyen adımlarda kendim belirleyeceğim.
Bu adımda sertifika talebinizin hangi Exchange sunucusunda tutulacağını belirleyebilirsiniz.
Bu adımda, hangi hizmetin hangi url üzerinden erişilebilir olduğunu belirterek, sadece o url'ler için sertifika talebinde bulunabilirsiniz. Internet ve Intranet adresleriniz farklı olabilir. Internet üzerinden kaynaklarınıza erişimin mümkün olması için Public DNS'iniz üzerinde ilgili adresler için kayıtlar oluşturmalısınız.
Bu adımda ise, sertifikanın üzerine yazılacak bilgileri belirleyeceğiz. Bu adım önemli çünkü burada belirttiğiniz bilgiler sertifika detaylarında görüntüleneceği için herkes tarafından okunabilir olacak. O nedenle anlamlı bilgiler içermesinde fayda var.
Bu adımda ise sertifika talep formunun nereye kaydedileceğini belirteceğiz. İlgili formu local makine üzerindeki C:\ dizinine kaydedeceğim.
Oluşturmuş olduğunuz sertifika talep formuyla ADCS makinesinden sertifika alacağız. Ücretli-Public sertifika hizmetleri için de sertifika talebi aynı yöntemle gerçekleştirilmektedir. Yani isterseniz aynı formla Public bir sertifika hizmeti sağlayıcısından da sertifika satın alabilirsiniz.
ADCS'in yüklü olduğu makinenin Web Enrollment sayfasına erişip sertifika talebinde bulunacağım. Bu sayfa varsayılan olarak ServerIP/certsrv url'inden yayınlanmaktadır.
Sertifika talebi için hazır formumuz olduğundan dolayı advanced certificate request seçeneği ile ilerleyeceğiz.
Gelen ekrana, daha önceden oluşturduğumuz talep formunun içeriğini yapıştırıp, Template kısmından da Web Server'ı seçip submit butonuna tıklayacağım.
Sertifikam hazır. Download Certificate yazısına tıklayarak ilgili sertifikayı indiriyorum.
Tekrar ecp ekranına dönüp ilgili sertifika talebim seçili iken Complete yazısına tıklıyorum.
Gelen ekrana indirmiş olduğum sertifikanın bulunduğu dizini yazıp OK butonuna tıklıyorum.
Sertifikamız sunucumuza Import edildi. Şimdi bu sertifikanın web arayüzünde kullanılmasını sağlayacağız. Bunun için sertifika seçili iken kalem simgesine tıklayıp sertifikanın hangi servisler için kullanılacağını belirteceğim.
Owa (Outlook Web App) ekranı ve Ecp (Exchange Control Panel) arka planda IIS'ten yararlandıkları için bu ekranda IIS seçeneğini seçip Save butonuna tıklayacağım. İsterseniz aynı sertifikayı SMTP, IMAP ve POP servisleri için de kullanabilirsiniz.
Artık daha güvenli. :)