İçerikleri sosyal medya üzerinden paylaşarak daha fazla kişiye ulaşmasına yardımcı olabilirsiniz.




Fırat Boyan 18.02.2022 0

Exchange Server 2019'da SSL Wildcard Sertifika Yapılandırma

Bir önceki yazıda, Virtual Directory URL yapılandırma işlemlerini detaylıca ele almıştık. Şimdi ise Exchange Server 2019 kurulum sürecinin belki de en kritik aşamalarından biri olan SSL sertifika yapılandırmasına geçiyoruz. Bildiğiniz gibi, oluşturulan Virtual Directory URL'leri 443 Port numarası üzerinden HTTPS protokolüyle çalışıyor. Bu bağlantıların güvenli olabilmesi için SSL sertifika kullanımı olmazsa olmaz. Sertifika türleri arasında birçok seçenek olsa da, ben bu yazıda sadece Wildcard Certificate oluşturma işlemlerine odaklanacağım. SSL/TLS Wildcard sertifikaları sayesinde sayısız Sub Domain, yani alt alan adı, güvence altına alınabilir. Bu koruma, hem Virtual Directory URL'leri hem de ilgili DNS kayıtlarını kapsar.

Örneğin, firatboyan.com Domain'i için oluşturulan bir Wildcard SSL/TLS sertifikası, *.firatboyan.com şeklindeki tüm Sub Domain'leri koruyabilir.

Exchange Server üzerinde Virtual Directory URL'lerini tanımlarken, OWA, ECP, EWS, OAB, MAPI, Outlook Anywhere gibi servisler için mail.firatboyan.com adresini kullanmıştık. Autodiscover servisi için ise autodiscover.firatboyan.com tanımlaması yapmıştık. Wildcard sertifika kullanarak, hem bu servislerin bağlantılarını güvenli hale getiriyor hem de firatboyan.com ile ilişkili diğer tüm DNS kayıtlarını aynı sertifikaya dahil edebiliyoruz. Bu, yalnızca Exchange Server için değil, aynı zamanda Web siteniz ve diğer Sub-Domain'leriniz için de büyük bir kolaylık sağlar.

Wildcard Sertifika Örnek URL Kullanımları

mail.firatboyan.com (OWA, ECP, EWS, OAB, MAPI, Outlook anywhere)
owa.firatboyan.com (OWA)
posta.firatboyan.com (OWA)
autodiscover.firatboyan.com (Autodiscover)
www.firatboyan.com (Web)
ftp.firatboyan.com (Web)

Yapılandırma sürecinde temelde iki önemli adım var. İlk olarak SSL/TLS Wildcard sertifikamız için bir Certificate Request (CSR) oluşturacağız. Bu adımda, sertifika için gerekli bilgileri içeren bir dosya hazırlıyoruz. CSR oluşturulduktan sonra bu dosya, bir Certificate Authority'ye (CA) gönderilir ve sertifikanın onaylanması sağlanır.

İkinci aşamada, Certificate Authority (CA) tarafından sağlanan SSL/TLS Wildcard sertifikasını Exchange Server’a yükleyip yapılandıracağız. Bu aşamada sertifikanın yalnızca IIS servisleri için değil, aynı zamanda SMTP bağlantıları için de uygun şekilde tanımlanması gerekiyor.

1- SSL/TLS Wildcard Sertifika İsteği (CSR-Certificate Signing Request) Oluşturma

1.1- SSL/TLS sertifikası yapılandırma için öncelikle bir sertifika isteği (CSR-Certificate Signing Request) oluşturmamız gerekmektedir. CSR oluşturmak için servers > certificates altında Select server kısmında CSR oluşturulacak Exchange Server Node'unu seçtikten sonra artı (+) simgesine tıklıyorum.

Exchange Server Wildcard sertifika oluşturma 

1.2- Karşıma çıkan pencerede Create a request from a certificate authority seçeneğini seçiyor, Next butonuna basarak devam ediyorum.

Exchange Server Wildcard sertifika oluşturma

1.3- *Friendly name for this certificate alanında SSL sertifikam için bana anlamlı gelen bir görünen isim giriyor, Next butonuna basarak işlemime devam ediyorum.

Exchange Server Wildcard sertifika oluşturma

1.4- Bu kısımda Request a wildcard certificate... seçeneğini işaretleyip, aşağıda açılan Text alanına *.firatboyan.com şeklinde Accepted Domain'de tanımlı olan E-mail adresleri için kullanılacak Domain adını yazıyorum.

Exchange Server Wildcard sertifika oluşturma

1.5- Bu kısımda *Store certificate request on this server alanında sertifika isteğinin (CSR) tutulacağı sunucuyu seçmem gerekiyor. Sertifika isteği (CSR), hangi sunucuda oluşturulmuşsa, sertifika tanımlamasının da o sunucu üzerinde yapılması gerekmektedir. CSR oluşturmak için Browse... butonuna tıklıyorum.

Exchange Server Wildcard sertifika oluşturma

1.6- Ortamımda bulunan EXCHSRV01 Host Name'li sunucuyu seçiyor, OK butonuna basıyorum.

Exchange Server Wildcard sertifika oluşturma

1.7- SSL sertifika Request'ini üzerinde tutacağım sunucuyu seçtikten sonra Next botonuna basarak devam ediyorum.

Exchange Server Wildcard sertifika oluşturma

1.8- Bu kısımda şirketiniz ile ilgili şirket adı, il, ilçe, ülke gibi bilgiler girmemiz gerekiyor. Bilgileri girdikten sonra Next butonuna basıp, işlemime devam ediyorum.

Exchange Server Wildcard sertifika oluşturma

1.9- Sonraki adımda SSL sertifika Request'imi Exchange Server'ımın C$ altında oluşmuş olduğum paylaşım klasörünün UNC (Universal Naming Convention) Path bilgisini SSL sertifika Request'ime uzantısı .REQ olacak şekilde isim yazıyor, Finish botonuna basarak SSL/TLS sertifikası Request oluşturma işlemimi sonlandırıyorum.

Exchange Server Wildcard sertifika oluşturma

1.10- Sertifika isteğimi başarılı bir şekilde oluşturdum. Status alanındaki durum bilgisi Pending request olarak görünüyor. Bu işlemle sadece Request oluşturma admını tamamlamış oldum. Request'i oluşturulan sertifikalar, oluşturulduğu Server'da Private Key bilgisi ile tutulur. Private Key, SSL sertifikalarının oluşturma talebinde kullanılan sertifikanın doğruluğunu kontrol etmek için üretilen özel bir anahtardır.  

Exchange Server Wildcard sertifika oluşturma

1.11- Exchange Management üzerinden de Pending request durumdaki sertifikamı,

Get-ExchangeCertificate | where {$_.Status -eq "PendingRequest" -and $_.IsSelfSigned -eq $false} | Format-List FriendlyName,Subject,CertificateDomains,Thumbprint

komutuyla daha detaylı bir şekilde görüntüleyebilirim.

Exchange Server Wildcard sertifika oluşturma

1.12- SSL sertifika Request'imi Exchange Server'ımın C$ altında oluşmuş olduğum paylaşım klasörünün UNC (Universal Naming Convention) Path üzerinde kaydetmiştim. .REQ uzantılı bu Text dosyasında Hash'lenmiş bir şekilde SSL sertifika Request'imin bilgileri yer alıyor. Bu .REQ uzantılı dosyayı GlobalSign, VeriSign, Digicert, Comodo vb. gibi Sertifika Otoritesine (Certificate Authority-CA) yollayıp, SSL sertifikanızı satın almanız gerekiyor.

Exchange Server Wildcard sertifika oluşturma

1.13- Satın aldığımız SSL sertifikamız elimize ulaştıktan sonra yapılamsı gereken, Reuqest'in Complete edilmesi, yani sertifkanın tanımlanmasıdır.

Exchange Server Wildcard sertifika oluşturma

2- Wildcard SSL Sertifika Tanımlama

2.1- SSL sertifika Request'imi (CSR) Complete etme yani sertifkanın tanımlanması işlemi için servers > certificates altında Pending request durumda bekleyen sertifka isteğine tıklayıp, sağ bölümde bulunan Complete Link'ine tıklıyorum.

Exchange Server Wildcard sertifika oluşturma

2.2- Açılan pencere satın aldığım sertifikamı paylaşımlı bir klasör içine tutup, bu klasörün UNC (Universal Naming Convention) Path bilgisini *File to import from altındaki alana yazıyor, OK butonuna basıyorum.

Exchange Server Wildcard sertifika oluşturma

2.3- Pending request durumda bekleyen sertifkamın Valid durumda olduğunu görebiliyorum. Sıra, sertifikam için ilgili servislerin ataması işlemine geldi. ilgili servislerin ataması işlemini yapmadan, sertifika kullanımı sağlanayacaktır. Bunun için üst bölümde bulunan kalem simgesine tıklıyorum.

Exchange Server Wildcard sertifika oluşturma

2.4- Açılan pencerede services altında SMTP ve IIS servislerini seçip, Save butonuna basıyorum.

Exchange Server Wildcard sertifika oluşturma

2.5- Save butonuna bastıktan sonra karşıma çıkan Warning penceresinde Overwrite the existing default SMTP certificate? sorusunu Yes butonuna basarak onayladıktan sonra kapatıyorum.

Exchange Server Wildcard sertifika oluşturma

2.6- İlgili servislerin tanımladığımız sertifikaya atandığını, sertifikamızın durumunun da Valid yani geçerli olduğunu görebiliyorum.

Exchange Server Wildcard sertifika oluşturma

2.7- Sertifikamızın geçerlilik durumunu ve detaylı bilgilerini

Get-ExchangeCertificate | where {$_.Status -eq "Valid" -and $_.IsSelfSigned -eq $false} | Format-List FriendlyName,Subject,CertificateDomains,Thumbprint,NotBefore,NotAfter

komutuyla görüntüleyebilirim.

Exchange Server Wildcard sertifika oluşturma

2.8- Sıra, tanımlanan SSL/TLS sertifikasının Client Access Service (CAS), başka bir ifade ile Front End Transpot Service, tanımlamasını yapmaya geldi. Client'lar, Transport Service (Exchange Back End) hizmetlerine doğrudan bağlanmazlar. Https protokolü üzerinden gelen Client bağlantı istekleri ilk önce Client Access Service (CAS) tarafından karşılanır. Client Access Service (CAS), tüm Client bağlantı isteklerini kabul etmekten sorumludur ve gelen bu bağlantıları Exchange Mailbox Server'daki Transport Service (Exchange Back End) hizmetlerine yönlendirir. Bu nedenle gelen Client bağlantı istekleri ilk önce Client Access Service (CAS) tarafından karşılanğı için, SSL/TLS sertifikasının Transport Service (Exchange Back End) Binding'lerinde tanımlanması gerekmektedir.

Exchange Server Wildcard sertifika oluşturma

Bunun için öncelikle IIS Manager'ı açıyor, Server Certificates altında sertifikamın oluştuğunu görüyorum.

Exchange Server Wildcard sertifika oluşturma

Exchange Server Wildcard sertifika oluşturma

2.9- Default Web Site (Front End Transport-CAS) üzerine tıklayıp, sağ bölümde Bindings... Link'ine tıklıyorum.

Exchange Server Wildcard sertifika oluşturma

2.10- Https için oluşturulmuş olan Site Bindigs yapısı alaşağıdaki gibidir.

Exchange Server Wildcard sertifika oluşturma

2.11- Her iki Site Binding'e tek tek tıklayıp açtıktan sonra SSL certificate menüsünden oluşturduğum SSL/TLS sertifikasını seçip, OK butonuna basıyorum.

Exchange Server Wildcard sertifika oluşturma

Exchange Server Wildcard sertifika oluşturma

2.12- Bu işlemlerden sonra CMD ya da PowerShell konsolunu Run as administrator olarak çalıştrırıp, konsolunu IISRESET komutu ile IIS servislerini Restart ediyorum.

Exchange Server Wildcard sertifika oluşturma

2.13- Browser üzerinden daha önce tanımladığım Virtual Directory URL bilgisi ile ECP'ye (Exchange Control Panel) erişim sağlatığımda, sertifikamın başarılı bir şekilde tanımlandığını görebiliyorum.

Exchange Server Wildcard sertifika oluşturma

Faydalı olması dileğiyle...

TAGs: SSL/TLS sertifikası nedir?, Wildcard sertifika nedir?, Exchange Server'da SSL/TLS sertifikası nasıl yüklenir?, CSR nedir?, CSR nasıl oluşturulur?, Wildcard sertifika isteği nasıl oluşturulur?, PXF sertifika nedir?


Her türlü görüş ve önerilerinizi aşağıdaki yorum panelinden bırakabilir, kafanıza takılanları veya merak ettiklerinizi sorabilirsiniz.



Yazar Hakkında

firatboyan.com


1985 yılında Alanya'da doğdum. İlk, orta ve lise öğrenimimi Alanya'da tamamladım. Liseden mezun olduktan sonra Akdeniz Üniversitesi Bilgisayar Teknolojisi Ön Lisans programına yerleştim ve bu programdan mezun oldum. Ön Lisans programından mezun olduktan bir süre sonra Dikey Geçiş Sınavı (DGS) ile İstanbul Teknik Üniversitesi (İTÜ) Bilgisayar Mühendisliği Lisans programına yerleştim.

2003 yılından beri Bilgi Teknolojileri sektöründe Sistem ve Network alanlarında çalışıyorum. Bir çok firma bünyesinde onlarca farklı projelerde yer alarak bu alanda yıllar içinde ciddi bir bilgi birikimi ve deneyimler kazandım. Bilgi Teknolojileri sektöründeki profesyonel çalışma hayatımın uzunca bir dönemini entegratör firma bazında, ağılıklı olarak Microsoft ürünleri üzerine danışman olarak sürdürüyor ve yüksek seviyeli projeler geliştiriyorum. Uzunca bir süredir de Türkiye'nin önde gelen entegratör firmalarından olan Data Market bünyesinde Senior Cloud Engineer olarak çalışıyorum.

Ek olarak, 2015 yılında Network Akademi bünyesinde Microsoft Certified Trainer (MCT) ünvanı ile Sistem ve Network Uzmanlık eğitimleri vermeye başladım. Sistem ve Network Uzmanlığı alanındaki eğitmenlik serüvenime Network Akademi bünyesinde devam etmekteyim.

YORUMLAR
Bu makaleye henüz yorum yapılmadı! İlk yorum yapan sen ol.
Her türlü görüş ve önerilerinizi aşağıdaki yorum panelinden bırakabilir, kafanıza takılanları veya merak ettiklerinizi sorabilirsiniz.

   
   
  750 karakter yazabilirsiniz.
 
Captcha
Güvenlik kodunu BÜYÜK harflerle giriniz.
* Yorumlar, onaylandıktan sonra yayınlanmaktadır.
* E-posta, yorum onay bildirimi için gereklidir. Yayınlanmaz.