Home > Exchange > Exchange 2010 Sertifika Oluşturma

Exchange 2010 Sertifika Oluşturma

            Merhaba,bu  makalemizde  Exchange  2010  üzerinde  sertifika  oluşturmayı  ve  bu  sertifikayı  bazı Exchange  servislerine  atamayı  göstereceğim.Exchange  2010  kurulduktan  sonra  default olarak  oluşan sertifika ile  şirket içindeki outlooklar  üzerinden   sorunsuz  bir  şekilde bağlanabilmekteyiz.Fakat gerek intranet ortamında gerekse internet ortamında web üzerinden yani OWA (Outlook Web Adress) üzerinden yapılan bağlantılarda sertifikanın güvenilir olmadığı ile ilgili uyarılar almaktayız.Bu uyarının gelmemesi için yeni bir sertifika oluşturmalıyız.Bunun yanında Exchange Outlook Anywhere özelliğini kullanmak içinde bu sertifikayı kullanabiliriz.

Yukarıdaki şekilde görülen sertifika, Exchange kurulduktan sonra otomatik olarak oluşan  sertifikadır.Bu sertifika sayesinde IMAP,POP,MAPI gibi outlook bağlantılarında sorunsuz olarak kullanılmaktadır fakat IIS gibi web üzerinden bağlanılan mail sistemleri(OWA) ya da  Outlook Anywhere gibi https rotokolünü kullanan servisler için yeni ve güvenilir bir sertifika oluşturmamız gerekmektedir.

Dış networkten https://owa.yktest.com  olan owa adresini girdiğim zaman gördüğünüz gibi sertifika ile ilgili uyarı vermektedir.”Continue to this website” dediğimiz zaman sertifika güvenilirliğini yok sayıp uygulamaya erişebiliriz.

Yukraıdaki şekilde görüldüğü gibi devam edip bağlansak bile uyarıyı görmeye devam ediyoruz.Şimdi bu uyarıyı görmemek için yeni bir sertifika oluşturmaya başlayalım.

Server Configuration altındaki sertifika bölümünden “New Exchange Certificate” diyerek sertifika oluşturmaya başlıyoruz.

Sertifikaya herhangi bir isim verip NEXT ile devam ediyoruz.

Subdomainleriniz varsa ya da OWA yı intranet.yktest.com ve internet.yktest.com şeklinde kullanmak isterseniz “Wildcard Certificate” özelliğini aktif etmelisiniz.Fakat bu pek tercih edilen bir yöntem değildir.Böyle bir durum için genellikle SAN (Subject Alternative Name) kullanılır.Birazdan buna da değineceğiz.Subdomainiz yoksa sizde benim gibi işaretlemeden geçebilirsiniz.

Yukraıdaki şekil sertifika oluşturma işleminin en önemli kısmı diyebiliriz.Çünkü bu ekranda oluşturacağımız sertifikayı hangi uygulamalar için kullanacağımızı belirteceğiz.

İlk olarak “Outlook Web App” için bilgileri giriyoruz.Dış networkte ve iç networkteki OWA isimlerini farklı vermenizde fayda var.İç networkte benim yaptığım gibi sunucu ismini kullanabilirsiniz.Dış network içi ise genelde mail.domainismi.com ya da owa.domainismi.com şeklinde tanımlar yapılır.

İkincil olarak Exchange ActiveSync için sertifikayı kullanabiliriz.Exchange ActiveSync mobil çözümler için kullanılan bir sistem çözümüdür.Exchange ActivSync sayesinde telefon üzerinden mail tanımlaması yaptıktan sonra aynı outlookta olduğu gibi contact ve takvim bilgileri de telefonunuza yüklenir.Mail gelir gelmez push e-mail özelliği sayesinde otomatik olarak telefona da düşer.Bu özelliğide işaretleyerek  IPhone gibi cihazların mail tanımlarında kullanabiliriz.

Bir diğer uygulama da Outlook Anywhere ve AutoDiscover uygulamasıdır.Outlook Anywhere özelliğinin hangi amaçla kullanıldığını bilmiyorsanız buradan bakabilirsiniz. Autodiscover özelliği sayesinde ise kullanıcıların sunucuya bağlantıları sırasında otomatik olarak login bilgilerine göre sunucunun ve mailboxın bulunması gibi işlemleri yapar.Bu özellikler içinde oluşturacağım sertifkayı kullanmak istiyorum.Bu  kısmlara dilerseniz iç  ve  dış  network  için  ayrı  tanım  yapabilirsiniz.Örneğin  hem  owa.domainsimi.com hem de mail.domainismi.com diye kullanmak isterseniz virgül ile ayırarak iki şekilde de tanım yapabilirsiniz.

Yukarıdaki şekilde ise kullanacağınız domain isimlerini giriyoruz.Dışarıdan kullanıcıların hangi isimle girmesini istiyorsanız “Set as common name” olarak belirtin.Bu kısımda ayrıca client access rolünü üstlenen sunucunun FQDN ismini de girmelisiniz.Yukarıdaki örnekte ben client access rolüne sahip sunucunun ismi olan casarray.yktest.local ismini de listeye ekledim.Eğer bu ismi eklemezseniz kullanıcılar şirket içinde outlooklarını açtıkları zaman sertifika uyarısı ile karşılaşırlar.Bütün roller tek sunucu üzerindeyse haliyle exchangesunucuismi.domainsimi.local olan FQDN ismini yazmanız gerekir.Bu özellik güvenilir sertifika veren kurumlar tarafından SAN (Subject Alternative Name) olarak dikkate alınır.Bazı kurumlar SAN desteği vermiyor.Sertifika alırken ilgili kuruma SAN desteğinin olup olmadığını sormanızda fayda var.

Yukarıdaki ekranda organizasyon bilgilerinizi girdikten sonra BROWSE diyerek oluşturacağınız sertifika isteğini isim vererek nereye kaydedeceğinizi belirtin.Kayıt edilen dosyanın uzantısı .req olacaktır.NEXT ile devam edelim.

New diyerek sertifika isteğini oluşturmaya başlayabiliriz

Oluşturma işlemi bittikten sonra Finish diyerek sonlandırıyoruz.

Şu anda sadece sertifika isteğinde bulunmuş olduk.Oluşturduğunuz sertifikaya sağ tıklarsanız henüz işlemin bitmediğini anlayabilirsiniz.Bu andan sonra iki tane seçeneğiniz var.Ya bu kayıt ettiğimiz sertifika isteğini iç networkümüzdeki sertifika sunucusuna(CA) gösterip sertifika alacağız ya da internette geçerli olan herhangi bir sertifika veren kuruma (Global Sign gibi) gönderip sertifika alacağız.İç networkten sertifika talebinde bulunursak bu sertifikayı dış networkte kullanamayız.Global Sign gibi sertifika firmalarından alırsak her yerde kullanabiliriz.Ben test ortamında olduğum iç networkte kurulu olan Sertifika Sunucumdan sertifikayı alacağım.

İç networkteki sertifika sunucunuz neredeyse o sunucuya gelip browser üzerine http://localhost/certsrv yazıyoruz ve yukarıdaki ekranla karşılaşıyoruz.”Request a certificate” diyerek devam ediyoruz.

Yukarıdaki ekrandan “advanced certificate request” diyerek devam ediyoruz.

Yukarıdaki ekrandan kırmızı çerçeve içinde olan seçeneği seçip devam edelim.

Şimdi .req uzantısı olarak kayıt ettiğim dosyayı aşağıdaki gibi notepad ile açıp yukarıdaki işaretlediğim yere kayıt edeceğim.

Yukarıdaki gibi notepad ile açıyorum ve “Saved Request” yazan yere aşağıdaki gibi yapıştırıyorum.

“Certificate Template” kısmında da Web Server seçip Submit diyerek devam ediyorum.

Yukarıdaki ekran “Download Certificate” diyoruz.

certnew.cer adıyla sertifikayı bilgisyarımıza kayıt ediyoruz.Eğer bu işlemi local değilde internet ortamı için yapacak olsaydık .req uzantılı dosyayı sertifika kurumuna yollayacaktık.Onlar o dosyaya bakarak bize .cer uzantılı bir sertifika yollayacaklardı.Yani bizim yukarıda yaptığımız işlemi yapacaklardı.Biz iç networkteki sertifika sunucumuzda .cer uzantılı sertifikamızı oluşturduk.

Sertifika sunucumuzdan oluşturduğumuz ya da Global Sign gibi sertifika firmasının bize yolladığı .cer uzantılı sertifikayı Exchange Sunucumuza göstermek için yukarıdaki gibi “Complete Pending Request” diyoruz.

BROWSE diyerek .cer uzantılı sertifikamızı gösteriyoruz ve COMPLETE diyerek işleme devam ediyoruz.

Finish diyerek tanıtma işini bitiriyoruz.Finish dedikten sonra sertifikamıza onay ikonu gelir.Yapmamız gereken tek bir işlem kaldı o da atama yapmak (assign).

Sertifikamıza sağ tıklayarak “Assign Services to Certificate” diyoruz.

Sunucumuz yukarıdaki gibi otomatik gelecektir.Gelmezse Add diyerek Exchange sunucunuzu seçebilirsiniz.

Yukarıdaki şekilden bu sertifikanın hangi servisler için kullanılacağını seçebilirsiniz.Sertifika oluşturma ekranında hatırlarsanız sertifikayı hangi uygulamalar için kullanacaksak o uygulamalar için tanım yapmıştık.Burada da o uygulamaları çalıştıran servisleri seçiyoruz.Test ortamımda “Unified Messaging” kurulu olmadığı için o hariç diğerlerinin hepsini seçiyorum ve NEXT ile devam ediyorum.

Assign diyerek işlemi bitiriyorum.

SMTP için atanmış bir sertifika bulunduğunu ve yeni oluşturduğumuz sertifika ile değiştirmek isteyip istemediğimizi soruyor.”Yes to All” diyerek bütün servisleri bu yeni sertifika üzerine atıyorum.

Sertifikaların son durumunu yukarıdaki şekilden görebilirsiniz.IMAP,POP,IIS,SMTP servislerinin yeni olşturduğumuz sertifikaya atandığını görüyoruz.Artık bu servisler üzerinden Exchange Sunucuya bağlanan client makinelere bu sertifikayı kullanacaklar.

Şimdi test olması açaısından Browser üzerinden Exchange Sunucuya bağlanalım bakalım aynı uyarıyı verecek mi?Ben test oretamında sertifikamı iç networkteki sertifika sunucusundan (CA) oluşturduğum için testimide iç networkten yapıyorum.

Evet gördüğünüz gibi herhangi bir uyarı ekranı gelmedi.

Not:Sertifikanızı bizim yaptığımız gibi iç networkte oluşturduysanız bu sertifikayı internet ortamındaki herhangi bir bilgisayara elle yüklerseniz yine uyarı ekranı almazsınız.Böylece Global Sign gibi sertifika kurumlarından sertifika almaya gerek kalmaz.Ama bu sertifika yükleme işlemini her bilgisayarda elle yapmanız gerekir:).Kurumsal siteler için bu tabiki mümkün değil ama müşteri dayalı bir şirket değilseniz dışarıdan OWA kullananrak bağlanan birkaç şirket kullanıcısına (müdür gibi) bu işlemi yaparak olayı bitirmek az da olsa rastlanan bir durumdur.

Bir başka makalede görüşmek üzere..

Advertisements
  1. No comments yet.
  1. No trackbacks yet.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google+ photo

You are commenting using your Google+ account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

%d bloggers like this: