Exchange Server - Sertifika Konfigürasyonu
Merhaba.
Bu konuda Exchange Server'da kullandığımız alan adımız için geçerli bir sertifika edineceğiz.
Exchange Server üzerinde yapacağımız işlemler, public bir sertifika otoritesinden sertifika edinirken yapmamız gereken işlemlerle aynıdır. Bu örnekte kendi CA'mız üzerinden sertifika edineceğiz. DC makinesi üzerine ADCS rolünü yükleyeceğim ve sertifikayı bu CA üzerinden edineceğim.
CA rolünü Windows Server / VPN konuları içerisinde anlattığım için tekrar bu konu içerisinde anlatım yapmayacağım.
DC'ye CA ve CA Web Enrollment rol servislerini yükleyeceğim. Web Enrollment rol servisi, sertifika taleplerini web sayfası üzerinden iletmek için kullanılmaktadır. Bu konuda sertifika edinirken web sayfasını kullanarak sertifika edineceğiz. Bu nedenle ilgili rol servisini işaretlemeyi unutmayın.
DC makinesine ADCS rolünü yükledikten sonra Exchange admin center > servers > certificates'e gelip + simgesine tıklayın.
Create a request for a certificate from a certification authority seçeneği ile ilerleyin.
Edineceğiniz sertifikanın wildcard olmasını istiyorsanız root domain adresini yazarak ilerleyebilirsiniz. Wildcard sertifikalar, tüm subdomain'ler için geçerli olan sertifika türüdür. Biz sadece mail.vatanci.net için Web Server sertifikası edineceğiz.
Bir önceki konuda virtual directories yapısını anlatmıştım. Eğer gerekiyorsa Exchange hizmetleri için virtual directory'ler eklemelisiniz. Ben mail.vatanci.net için virtual directory'ler oluşturduğumdan dolayı domain adresleri otomatik olarak geldi. Ortamınızdaki yapıda hâlâ Intranet domain'ler görüyorsanız öncelikle virtual directory işlemlerinizi tamamlayın.
Aşağıdaki ekranda edinilecek sertifikanın hangi domain'leri kapsayacağı gözükmekte.
Bu ekranda gözüken Intranet domain'leriniz varsa üstlerine tıklayıp - butonu ile listeden çıkarın.
Sertifika edinmemiz için gereken dosyayı c:\cert.req lokasyonuna kaydedeceğim.
Serfika talebimizi oluşturduk. Şimdi bu talebimizi CA'e bildirelim.
DC makinemde yüklü olan CA'in Web Enrollment konsoluna erişeceğim. (URL: http://{server}/certsrv)
Request a certificate seçeneğiyle devam edin.
Advanced certificate request yazısına tıklayıp reqfile içeriğini submit edin.
Download certificate butonuna tıklayıp sertifika dosyasını indirin.
Tekrar Exchange admin center'a dönüp sağ tarafta yer alan Status kısmındaki Complete butonuna tıklayın.
İndirdiğiniz sertifika dosyasının lokasyonunu belirtin ve ok butonuna tıklayarak dosyayı Exchange sunucunuza import edin.
Dosyamız yüklendi.
İlgili sertifika adı seçiliyken kalem simgesine tıklayın. Services tab'ını açıp sertifikayı hangi servisler için kullanmak istediğinizi seçin. Ben tüm servisler için bu sertifikayı kullanacağım.
Status'ın invalid gözükmesinin sebebi, sistemlerin henüz CA'dan habersiz olmasından kaynaklanmakta. Eğer sizde de invalid olarak gözüküyorsa DC ve EXC makinelerinde gpupdate /force komutunu uygulayın. Ayrıca isterseniz bu aşamadan sonra self-signed sertifikayı silebilirsiniz.
Sonuç:
