İlk önce Wildcard SSL Sertifika Request (CSR) oluşturma işlemini, sonra da bu Request ile satın aldığımız sertifikanın tanımlanması işlemi ile sertifika yapılandırma işlemimizi tamamlayacağız.
Wildcard SSL Sertifika Request (CSR-Certificate Signing Request) Oluşturma
SSL sertifikası yapılandırma için önce bir sertifika isteği (CSR-Certificate Signing Request) oluşturacağız. CSR oluşturmak için ise görseldeki gibi servers – certificates altında Select server kısmında CSR oluşturulacak Exchange Server Node’unu seçtikten sonra + simgesine tıklıyoruz.
Karşımıza çıkan pencerede Create a request from a certificate authority seçeneğini seçiyor, Next butonuna basarak devam ediyoruz.
Friendly name giriyoruz, Next butonuna basarak işleme devam ediyoruz.
Bu kısımda Request a wildcard certificate… seçeneğini işaretleyip, aşağıda açılan Text alanına *.teknotel.com şeklinde Accepted Domain’de tanımlı olan e-mail adresleri için kullanılacak Domain adını yazıyoruz.
Bu kısımda *Store certificate request on this server alanında sertifika isteğinin (CSR) tutulacağı sunucuyu seçmemiz gerekiyor. Sertifika isteği (CSR), hangi sunucuda oluşturulmuşsa, sertifika tanımlamasının da o sunucu üzerinde yapılması gerekmektedir. CSR oluşturmak için Browse… butonuna tıklıyoruz.
Ortamımızda bulunan SSL sertifika Request’ini üzerinde tutacağımız MX isimli sunucuyu seçiyor, OK butonuna basıyoruz.
Bu kısımda şirketiniz ile ilgili şirket adı, il, ilçe, ülke gibi bilgiler girmemiz gerekiyor. Bilgileri girdikten sonra Next butonuna basıp, işlemimize devam ediyoruz.
Sonraki adımda SSL sertifika Request’i Exchange Server’ımızın önceden oluşturduğumuz paylaşım klasörünün Path bilgisini SSL sertifika Request’ime uzantısı .REQ olacak şekilde isim yazıyor, Finish butonuna basarak SSL Sertifikası Request oluşturma işlemini sonlandırıyoruz.
Sertifika isteğimizi başarılı bir şekilde oluşturduk. STATUS alanındaki durum bilgisi Pending request olarak görünüyor. Bu işlemle sadece Request oluşturma adımını tamamlamış olduk. Request’i oluşturulan sertifikalar, oluşturulduğu Server’da Private Key bilgisi ile tutulur. Private Key, SSL sertifikalarının oluşturma talebinde kullanılan sertifikanın doğruluğunu kontrol etmek için üretilen özel bir anahtardır.
* Exchange Management üzerinden de Pending request durumdaki sertifikamızı,
Get-ExchangeCertificate | where {$_.Status -eq “PendingRequest” -and $_.IsSelfSigned -eq $false} | Format-List FriendlyName,Subject,CertificateDomains,Thumbprint |
komutuyla daha detaylı bir şekilde görüntüleyebiliriz.
SSL sertifika Request’imi Exchange Server’ımızda oluşturmuş olduğumuz bir paylaşım klasörüne kaydetmemiz gerekir. .REQ uzantılı bu Text dosyasında şifrelenmiş bir şekilde SSL sertifika Request’imizin bilgileri yer alıyor. Bu .REQ uzantılı dosyayı GlobalSign, VeriSign, Digicert, Comodo vb. gibi Sertifika Otoritesine (Certificate Authority-CA) yollayıp, SSL sertifikanızı satın almanız gerekiyor.
Satın aldığımız SSL sertifikamız elimize ulaştıktan sonra yapılması gereken, Reuqest’in Complete edilmesi, yani sertifikanın tanımlanmasıdır.
Wildcard SSL Sertifika Tanımlama
SSL sertifika Request’imizi (CSR) Complete etme yani sertifikanın tanımlanması işlemi için servers > certificates altında Pending request durumda bekleyen sertifika isteğine tıklayıp, sağ bölümde bulunan Complete Link’ine tıklıyoruz.
Açılan pencerede satın aldığımız sertifikamızı yukarıdaki örnekteki gibi paylaşımlı bir klasör içine atıp, bu klasörün Path bilgisini *File to import from altındaki alana .CER olacak şekilde yazıyor, OK butonuna basıyoruz.
Daha sonra sertifikamız için ilgili servislerin atamasını yapmamız gerekiyor. İlgili servislerin ataması işlemini yapmadan, sertifika kullanımı sağlanamayacaktır. Bunun için üst bölümde bulunan kalem simgesine tıklıyoruz.
Açılan pencerede services altında SMTP ve IIS servislerini seçip, Save butonuna basıyoruz.
Save butonuna bastıktan sonra karşımıza çıkan Warning penceresinde karşımıza bir soru gelecek,Yes butonuna basarak onayladıktan sonra kapatıyoruz.
İlgili servislerin, tanımladığımız sertifikaya atandığını, sertifikamızın durumunun da Valid yani geçerli olduğunu görebiliriz.
* Sertifikamızın geçerlilik durumunu ve detaylı bilgilerini
Get-ExchangeCertificate | where {$_.Status -eq “Valid” -and $_.IsSelfSigned -eq $false} | Format-List FriendlyName,Subject,CertificateDomains,Thumbprint,NotBefore,NotAfter |
komutuyla görüntüleyebiliriz.
Daha sonra, tanımlanan SSL sertifikasının Client Access Service (CAS), başka bir ifade ile Front End Transpot Service, tanımlamasını yapmamız gerekiyor.
Client’lar, Transport Service (Exchange Back End) hizmetlerine doğrudan bağlanmazlar. Https protokolü üzerinden gelen Client bağlantı istekleri ilk önce Client Access Service (CAS) tarafından karşılanır. Client Access Service (CAS), tüm Client bağlantı isteklerini kabul etmekten sorumludur ve gelen bu bağlantıları Exchange Mailbox Server’daki Transport Service (Exchange Back End) hizmetlerine yönlendirir. Bu nedenle gelen Client bağlantı istekleri ilk önce Client Access Service (CAS) tarafından karşılandığı için, SSL sertifikasının Transport Service (Exchange Back End) Binding’lerinde tanımlanması gerekmektedir.
Bunun için öncelikle IIS Manager’ı açıyoruz, burada Server Certificates altında sertifikamızın oluştuğunu görebiliriz.
Aşağıda görüldüğü gibi Default Web Site – Bindings ‘de https’leri edit ederek SSL sertifakamızı seçerek işlemleri tamamlıyoruz.
Bu işlemlerden sonra CMD ya da Powershell konsolunu yönetici olarak çalıştırıp, IISRESET komutu ile IIS servislerini Restart etmemiz gerekiyor.
Browser üzerinden Exchange Control Panel erişim sağladığımızda, sertifikamızın başarılı bir şekilde tanımlandığını görebiliriz.