Exchange Server bağlantılarını bir SSL sertifikası ile güvence altına almak önemlidir. SSL sertifikası tanımı yapılmadığı taktirde Exchange Server’a yapılan bağlantılar güvensiz olarak görüntülenecektir.
SSL sertifikası yapılandırmaları için öncelikle bir sertifika isteği oluşturulması gerekir. Sertifika istek dosyası için bir paylaşım klasörü oluşturulmalıdır. Örnekte bu klasör C:\Certificates olarak tanımlanmıştır. Sertifika isteği oluşturmak için:
Exchange Admin Center -> Servers -> Certificates bölümünden + seçilir. Örnekte görüldüğü gibi sertifika isteğinin yapılacağı sunucu da seçilmektedir.
New Exchange Certificate bölümünde
Create a request for a certificate from a certification authority seçilir. Next ile devam edilir.
Friendly name of this certificate bölümünde sertifikaya bir isim verilir. Örnekte EXC2016-CA olarak isimlendirme yapılmıştır. Next ile devam edilir.
Request a wildcard certificate bölümünde bir root domain sertifikası da olacaksa ve daha önce tanımlanan virtual directoy’lerin hepsi için (mail.emres.com vb.) bu sertifika geçerli olacaktır. Bu bölümde seçim yapılmadan devam edilirse sonraki aşamlarada hangi virtual directory’ler için bu sertifikanın geçerli olacağı belirtilmelidir. Örnekte seçim yapılmış ve root domain *.emres.com olarak tanımlanmıştır. Böylece emres.com virtual directory yapılandırmasında emres.com’un önüne ne yazılmış olursa olsun bu sertifika geçerli olacaktır.
Store certificate request on this server bölümünde Browse seçilir ve hangi Exchange Server sunucusunda tutulacağı seçilir. Seçim işlemi tamamlandıktan sonra Next ile devam edilir.
Provide information about your organization bölümünde kurum / şirket ile ilgili bilgiler tanımlanır. Next ile devam edilir.
Save this certificate request to the following file bölümünde sertifika isteğinin nerede depolanacağı seçilir. Daha önce C:\Certificates olarak oluşturulan paylaşım yolu ve dosya adı (EXC2016-CA.REQ) bu bölümde tanımlanır. Finish ile istek dosyası oluşturma işlemi tamamlanır.
Bu oluşturulan sertifika isteği dosyasının bir sertifika otoritesine göndererek sertifikanın .cer uzantılı sertifika dosyası talep edilmelidir. Dosya tarafınıza ulaştığında bu dosya da aynı paylaşım yoluna eklenir.
Sertifika isteğinin tamamlanma işlemi için sertifika seçilir ve Complete tıklanır.
Complete pending request bölümünde File to import from bölümüne sertifikanın .cer uzantılı dosyasının bulunduğu paylaşım yolunun adresi yazılır. OK ile bitirilir.
Bu işlem sonunda sertifika durumu Valid olarak görüntülenir.
Eklenen sertifikaya ilgili Exchange Server servislerinin atanması gerekir. Bu işlem için:
Exchange Admin Center -> Servers -> Certificates bölümünden servislerin atanacağı sunucu seçilir kalem simgesine tıklanır.
Açılan pencerede Services bölümünden SMTP ve IIS seçilip Save ile sertifikaya servis ekleme işlemi tamamlanır.
Varsayılan SMTP sertifikasının üzerine yazılacağı ile ilgili bir uyarı görüntülenir. Yes ile işlem tamamlanır.
Assigned to services bölümünde sertifikaya eklenen servisler görüntülenir.
Bu işlemlerden sonra sertifikanın eklendiği sunucuda IIS servisi mutlaka yeniden başlatılmalıdır. Bu işlem için komut istemi yönetici haklarıyla çalıştırılır ve aşağıdaki komut uygulanır.
iisreset
Aynı sertifikanın diğer Exchange Server sunucularına eklenmesi için sertifikanın bulunduğu sunucudan export edilip sertifikanın ekleneceği sunucuya import edilmesi gerekir. Bu işlem için:
Exchange Admin Center -> Servers -> Certificates bölümünden sertifikanın ekli olduğu Exchange Server sunucusu seçilir ve … tıklanır ve Export Exchange Certificate seçilir.
Export Exchange Certificate penceresinde sertifikanın çıkarılacağı dosya yolu, sertifika adı (.PFX uzantılı olarak) ve sertifika parolası tanımlanıp OK ile sertifika export işlemi tamamlanır.
Export edilen sertifikanın diğer Exchange Server sunucusuna import edilmesi için:
Exchange Admin Center -> Servers -> Certificates bölümünden … tıklanır ve Import Exchange Certificate seçilir.
Import Exchange Certificate penceresinde sertifikanın alınacağı dosya yolu, sertifika adı (.PFX uzantılı olarak) ve sertifika parolası tanımlanıp Next ile devam edilir.
Sertifikanın import edileceği sunucunun tanımlanması için + seçilir ve sertifikanın import edileceği sunucu seçilir. Finish ile sertifika import işlemi tamamlanır.
Eklenen sertifikaya ilgili Exchange Server servislerinin atanması gerekir. Bu işlem için:
Exchange Admin Center -> Servers -> Certificates bölümünden servislerin atanacağı sunucu seçilir kalem simgesine tıklanır.
Açılan pencerede Services bölümünden SMTP ve IIS seçilip Save ile sertifikaya servis ekleme işlemi tamamlanır.
Varsayılan SMTP sertifikasının üzerine yazılacağı ile ilgili bir uyarı görüntülenir. Yes ile işlem tamamlanır.
Assigned to services bölümünde sertifikaya eklenen servisler görüntülenir.
Bu işlemlerden sonra sertifikanın eklendiği sunucuda IIS servisi mutlaka yeniden başlatılmalıdır. Bu işlem için komut istemi yönetici haklarıyla çalıştırılır ve aşağıdaki komut uygulanır.
iisresetTekrar aynı adrese giriş yapıldığında sertifika hatasının alınmadığı ve tarayıcı üzerinde sitenin şifrelenmiş olduğu görüntülenir.
Böylece Exchange Server’da SSL sertifikası yapılandırma işlemleri tamamlanmış olur.
Faydalı olması dileğiyle…
Emre bey yazi icin tesekkurler.
Yeni versiyonlarda request CA secenegi yok ve sadece cmdlets ile yapabilirsiniz diyor.
Bu konuda bir yazi mumkun mu ?
Merhaba Alpay Bey.
Exchange Server 2019 CU12 ve üstü sürümlerde, Exchange Server 2016 CU23 ve üstü sürümlerde ECP’de Request CA seçeneği bulunmamaktadır. En kısa zamanda yazıya eklemiş olacağım.
Şu an için aşağıdaki bağlantıda “Use the Exchange Management Shell to Create a new certificate request” bölümünden faydalanabilirsiniz.
https://learn.microsoft.com/en-us/exchange/architecture/client-access/create-ca-certificate-requests?view=exchserver-2019