windows 2003 üzerinde exchange 2007 için sertifika oluşturmak

Exchange management shell i açalım;

 New-ExchangeCertificate -domainname mail.google.com, google.com, google.local, autodiscover.google.com, server01.google.com, server01 -Friendlyname google.com -generaterequest:$true -keysize 2048 -path c:\certrequest.txt -privatekeyexportable:$true -subjectname "c=US, o=Google Inc., cn=server01.google.com, s=California, l=Mountain View, ou=IT" 

Name	Explanation	Examples
-domainname	Enter all of the names that you determined you needed to secure in the step above.	mail.google.com autodiscover.google.com google.com google.local Server01.google.local Server01
-Friendlyname	Any name you want to use to keep track of the certificate on this server.	my google certificate
-keysize	The size of the key that is generated. Bigger numbers are more secure but can be slower. Use at least 1024.	1024 2048
-path	The location where you want to save the CSR.	c:\certrequest.txt
Common Name (cn=)	Enter the first name in your list above. This is the most visible name in the certificate (the other names are listed as Subject Alternative Names and they aren't displayed as clearly)	mail.yourdomain.com
Organization (o=)	The legal name of your organization. This should not be abbreviated and should include suffixes such as Inc, Corp, or LLC. Do not include commas or the command won't work.	Google Inc.
Organizational Unit (ou=)	The division of your organization handling the certificate.	Information Technology Web
City/Locality (l=)	The city where your organization is located.	Mountain View
State/province (s=)	The state/region where your organization is located. This shouldn't be abbreviated.	California
Country/Region (c=)	The two-letter ISO code for the country where your organization is location.	US GB

  

Install the Certificate

To install your newly acquired SSL certificate in Exchange 2007, first copy the certificate file somewhere on the server and then follow these instructions:

1. Click on the Start menu, go to All Programs, then Microsoft Exchange Server 2007 and click on Exchange Management Shell.
2. Run the Import-ExchangeCertificate command below. Make sure to specify the path to the certificate file you downloaded and remove any services that you will not be using. Import-ExchangeCertificate -path c:\google.p7b | Enable-ExchangeCertificate -Services IMAP, POP, UM, IIS, SMTP
   
3. If you didn't receive any errors, then it should have installed correctly. Run the Get-ExchangeCertificate command to verify that the certificate is enabled for the correct services. If you aren't sure which thumprint it is, you can view the thumbprint of the certificate you just installed by double-clicking it and looking for the thumbprint on the details tab.
4. If the certificate isn't enabled for the correct services (S=SMTP, I=IMAP, P=POP, U=Unified Messaging, W=Web/IIS) you need to run the Enable-ExchangeCertificate command below. You can copy the thumbprint from the output of the Get-ExchangeCertificate command that you just ran. Enable-ExchangeCertificate -Services IMAP, POP, UM, IIS, SMTP -thumbprint 896B74B25F7EBF330C93E56DA2A76CFC6A7
5. After running the Enable-ExchangeCertificate command, run the Get-ExchangeCertificate command again to verify that the certificate is enabled for the correct services.

Install any Intermediate Certificates

This step is not necessary if you received a .p7b certificate file from your SSL provider because this file contains all the Intermediate certificates and they are automatically installed. If you received an individual .crt certificate file you may need to follow the instructions in this step.
Most SSL providers issue server certificates off of an Intermediate certificate so you will need to install this Intermediate certificate to the server as well or your visitors will receive a Certificate Not Trusted Error. You can install each Intermediate certificate (sometimes there is more than one) using these instructions:

1. Download the intermediate certificate to a folder on the server.
2. Double click the certificate to open the certificate details.
3. At the bottom of the General tab, click the Install Certificate button to start the certificate import wizard. Click Next.
4. Select Place all certificates in the following store and click Browse.
5. Check the Show physical stores checkbox, then expand the Intermediate Certification Authorities folder, select the Local Computer folder beneath it. Click OK. Click Next, then Finish to finish installing the intermediate certificate.

You can verify that the certificate is installed correctly by visiting the site in your web browser using https instead of http or using our certificate.

 windows 2008 için ise linki inceleyebilirsiniz.

Serfitika talebi kaynak microsoft

Sertifika import kaynak microsoft

CAS için sertifika  yükleme kaynak microsoft

Globalsing 

Var olanı yenilemek için ise mshowto örneği


   Örnek videolar için ;

 

Windows Server 2003 KRA (Key Recovery Agent) Uygulaması

Windows Server 2003 Certification Authority - KRA (Key Recovery Agent) Uygulaması

Windows 2003 Server’da CA kurulumundan bahsetmiştim. Şimdi ise CA uygulamaları içinde en kapsamlı olan KRA (Key Recovery Agent) uygulamasını açıklamaya çalışacağım. Bu uygulamayı seçmemin sebebi; KRA oluşturmanın CA ara yüzü ve Web ara yüzünü de kapsayan bütün sertifika uygulamalarını barındırmasıdır.

KRA uygulaması için sistemimizde olması gerekenler;

- V.2 Templateler

- Windows Server 2003 Enterprise ya da Data Center Edition ve üzerinde kurulu bir CA

- Microsoft Active Directory

- CMC Protokolü

CMC Şifreleme İleti Sözdizimi (CMS) kullanan bir Sertifika Yönetim protokolüdür.

Bu işlem için öncelikle Key Recovery Agent olacak kullanıcı belirlenmelidir. Bunun için;

CA ara yüzünden Certificates Templates tabına sağ tıklanarak manage seçeneği seçilir. Bu menüde; V.1 ve V.2 (Windows Server 2000 ve Windows Server 2003 için) template’ler bulunmaktadır.

Burada Key Recovery Agent Template’i bulunur ve Porperties tabına girilir.

Template’nin Porperties tabından Security sekmesine gelinir ve Add denerek KRA olması istenen kullanıcı listeye eklenir. Ardından kullanıcıya gerekli haklar verilir. (KRA olabilmek için Read ve Enroll haklarının verilmesi gerekmektedir.)

Ardından yayınlanacak olan sertifika veya sertifikalar duplicate edilir. (Çoğaltılır)

Bu işlem için çoğaltılacakolan template’nin üzerine gelip sağ tıklayarak Duplicate Template dememiz yeterlidir.

Karşımıza yukarıdaki gibi bir pencere çıkacaktır. Burada Genaral tabından sertifikamıza tanımlayıcı bir isim belirleyebiliriz. Yine aynı tabdan sertifikanın geçerlilik süresini (Validity Period) ve yenilenme süresini (Renewal period) belirleyebiliriz.

Yine aynı menüde Issuance Requirements tabına geldiğimizde karşımıza önemli bir ayrıntı çıkmaktadır. Burada CA certificate manager approval seçeneği işaretlenirse talep edilen sertifika Administrator’un yetkisi olmadan kullanıcıya yüklenemez.

Gerekli ayarlamaları yaptıktan sonra OK dediğimizde sertifikayı çoğaltmış ve yayınlanmaya hazır hale getirmiş oluyoruz.

Bunun ardından sertifikayı yayınlama aşamasına geliyoruz. Ben bu senaryoda 2 sertifika yayınlayacağım. Birisi KRA olacak kişi için Key Recovery Agent serifikası, bir diğeri de sıradan bir kullanıcı için User sertifikası. Bunun için;

CA menüsünden Certificate Templates’e sağ tıklıyoruz ve New / Certificate Template to issue seçeneğini seçiyoruz.

Ardından karşımıza yayınlanabilecek sertifikaların listelendiği bir sayfa gelecek. Bu sayfada yayınlayacağımız bir yada daha fazla sertifikayı seçerek (CTRL tuşuna basılı tutarak birden fazla sertifikayı aynı anda seçebiliriz) OK diyoruz.

Bu işlemin ardından yayınlayacağımız sertifikalar CA ara yüzünde gözükmektedir.

Şimdi sıra kullanıcıların sertifikaları çekmesine geldi. Bu işlemi öncelikle KRA için yapacağım.

Bu işlem için KRA olacak kullanıcı ile (bu senaryoda kaan kullanıcısı) sertifikamı talep etmek için http://localhost/certsrv adresinden Certificate Services ara yüzüne girilip Request a certificate seçeneği seçilmelidir.

Ardından Create and submit a request to this CA (Bu CA için bir talep yarat ve bu talebi ilet) seçeneği seçilir.

Karşımıza gelen sayfanın en üstünden istenilen sertifika seçilir.

Ardından sayfanın en altından Submit seçeneği seçilir. Submit dediğimizde karşımıza bir uyarı penceresi gelecektir. Bu uyarıda sadece güvenlen web sitelerinin sertifikalarını talep etmemiz gerektiği ile ilgili bir uyarı yer almaktadır. Bu uyarıya Yes dediğimizde talebimiz yaratılacak ve Certification Authority’e iletilecektir.

Ardından karşımıza talebimizin alındığını gösteren bir mesaj gelecektir. Fakat sertifikayı yayınlarken sertifikanın özellikler tabından sertifikanın admin izin vermeden yüklenememesini seçtiğimiz için KRA sertifikasının öncelikle Administrator tarafından onaylanması gerekmektedir.

Administrator bu işlemi CA ara yüzünden yapabilir.

Bu işlem için CA ara yüzü açılır ve Pending Requests tabına gelinir. Burada onay bekleyen sertifikanın üzerine sağ tıklanır ve All Tasks / Issue (onaylayacaksak) ya da Deny (onay vermeyeceksek) seçeneği seçilir. Genelde Pending Request’lerin Web ara yüzüne düşmeleri zaman alır, bu yüzden bu işlemin CA ara yüzünden yapılması zaman kazandırır.

Administrator sertifika için onayı verdiğine göre artık KRA olacak kullanıcı Web ara yüzünü kullanarak sertifikasını yükleyebilir.

Bu işlem için;

KRA olacak kullanıcı yine http://localhost/certsrv ile talep ettiği sertifikayı bulur.

Ardından Install this certificate (bu sertifikayı yükle) seçeneğini seçer.

Bu işlemi de yaptıktan sonra geriye CA özelliklerinden arşiv özelliklerini açmak kalıyor.

Bu işlem için öncelikle CA / Properties tabına gelinir.

Ardından Recovery Agents tabına gelinir. Önce Arşiv özelliğini açılıp ardından da yayınladığımız KRA Sertifikası Add denerek KRA Certificates kısmına eklenir.

Bu işlemle birlikte CA Servisi yeniden başlatılacaktır.

Böylece KRA uygulamasını bitirmiş oluyoruz. Domainimizde belirlediğimiz kullanıcıyı Key Recovery Agent yapmış olduk.

NOT: KRA’nın çalışabilmesi için yayınlanan sertifikaların private key’lerine ulaşması gerekmektedir. Bunun için yayınladığımız template’lerde Arşiv özelliğini aktif hale getirmeliyiz. Böylece yayınlanan sertifikaların private key’leri Active Directory tarafından arşivlenebilir.

Şimdi de Anahtar Kurtarma Prosesinin nasıl çalıştığını görelim.

Bu konuyu açıklamak için kullanacağım senaryo şu şekilde olacaktır:

kaanerden.net domaininin kullanıcılarından “user1” encrypt ettiği dosyalarını açamamaktadır. Durumu Domain Admin’ine iletir. Domain Admin’i de yaptığı araştırmadan sonra sertifikanın silindiğini belirler ve KRA’ya bu durumu bildirir.

User1 şifrelediği dosyasını açmaya çalışıyor fakat açamıyor.

Bu işlemi gerçekleştirmenin iki yolu vardır. Bunlardan ilki komut satırını kullanmaktır. Microsoft bu prosesi oluştururken gerekli yetkileri hem KRA’ya hem de Administrator’a paylaştırmıştır.

İlk rol Administrator’a aittir. Administrator öncelikle user1 için yayınlanan sertifikanın seri numarasını bulmalıdır.

Bunun için CA ara yüzünden Issued Certificates kısmında user1 için yayınlanan sertifikayı açarak Details tabından seri numarasını elde eder. Daha sonra komut satırını açarak;

“ Certutil –getkey Cert_No cert.blob “ formatındaki komutu koşturmalıdır. Bu komut C dizininin altında cert.blob adında bir dosya oluşturacak.

Bunun ardından sıra KRA’ya geliyor. cert.blob dosyası oluşturulduktan sonra KRA da komut satırına girerek;

“ certutil –recoverkey cert.blob cert.pfx “ komutunu koşturmalıdır. Bu komut Administrator’un oluşturduğu .blob dosyasını kullanılabilir bir sertifika dosyası olan .pfx’e dönüştürür. Bu komut ile birlikte KRA’nın C dizininin altında cert.pfx adlı bir dosya oluşacaktır. Bu dosya user1 kullanıcısının kaybettiği sertifikadır. Bu .pfx dosyası user1 tarafından yüklendiğinde eski şifrelenmiş dosyalarını tekrar açabilecektir.

Anahtar Kurtarma Prosedürünün diğer bir yapılış yöntemi ise Key Recovery Tool’u kullanmaktır. Bu tool’u kullanabilmek için bilgisayarınızda Windows Server 2003 Resource Kit’in yüklü olması gerekir.

Key Recovery Tool’u çalıştırmak için Başlat / Çalıştır menüsüne “ krt “ yazmak yeterlidir.

KRT ara yüzü

Key Recovery Tool’u kullanmak çok kolaydır. Öncelikle arama yapacağımız kriteri belirleyip Value kısmına yazmalıyız. Ben burada user 1 için yayınladığım sertifikayı kurtarmaya çalıştığım için Value kısmına user1 yazdım. Search butonuna bastığımızda Certificates yazan alanda aradığımız kriterlere uygun sonucu göreceğiz. Buradan sonra karşımıza 3 seçenek çıkıyor.

1.)Retrieve Blob:

Bu seçeneği Domain Administrator cert.blob dosyasını oluşturmak için seçer. İşlem sonunda komut satırında olduğu gibi bir .blob dosyası oluşturulur.

2.)Decrypt Blob:

Bu seçeneği ise KRA seçebilir. Bu seçenek ile KRA, Administrator’un oluşturduğu cert.blob dosyasını Cert.pfx e dönüştürür.

3.) Recover:

Bu seçeneğin seçilmesi için KRA ve Domain Administrator yetkileri aynı kullanıcıda olmalıdır. Eğer kendi yapımızda Administrator ve KRA aynı kişi ise Recover seçeneği ile tek adımda .pfx dosyasını oluşturabiliriz.

Bu adımlar sonunda oluşan cert.pfx dosyası sertifikası kaybolan kullanıcının bilgisayarına Import edildiğinde, (yüklendiğinde) kullanıcı daha önce şifrelediği dosyalarını tekrar açabilecek hakkı kazanır.

Bu yazımda size Anahtar Kurtarma Prosedürü ile birlikte CA kullanılarak yapılabilecek neredeyse bütün uygulamalardan bahsetmeye çalıştım. Bir sonraki yazımda görüşmek üzere ..

Exchange 2010 Relay Ayarları ve POP3-IMAP-MAPI bağlantı Türleri

Bu yazımızda Exchange Server üzerinden smtp portu ile mail atmak isteyen uygulamalara verilen izinlere ve bu işlemin sebep olduğu risklere değineceğiz.Exchange kurulu olan bir yapıda bazı uygulamaların  çalıştığı  makinelere gerekli izinlerin verilmesi sonucu relay işlemi gerçekleşir.Mesela bir printer üzerinde scan edilen bilgilerin printer üzerinde tanımlanan mail adresine mail atması için bu print makinesine Exchange üzerinde gerekli izinlerin verilmesi gerekir.Yazılım yapan firmalarda da bu işlem oldukça yapılır.Script içinde mail atma gereksinimi varsa bu relay işlemi ile çözülür.Relay işlemi için gerekli olan izin düzenlemeleri Exchange üzerinde Receive Connector ile yapılır.Exchange Server üzerindeki receive connectorlere bir göz atalım.

Şekilde gördüğünüz gibi Exchange kurulduktan sonra default olarak gelen 2 tane receive connector vardır.Client Connector , POP-IMAP gibi smtp bağlantılarını kabul eder.Bütün MAPI olmayan clientlar receive connector olarak Client Connector ü kullanır.Bütün MAPI clientlar ise connector olarak Default Receive Connector ü kullanır.Mesela Outllook kurulumu yapılırken ‘Microsoft Exchange’ seçilirse bu MAPI connection olur.Farklı bağlantı çeşidi olarak RPC over HTTPS de Default Receive Connector ü kullanır.

POP3 (Post Office Protocol version 3) ile  ya da IMAP (The Internet Message Access Protocol ) ile yapılan Exchange bağlantılarına değinelim.POP3 ile yapılan bağlantılarda mailler lokal makineye çekilir ya da bir kopyası server tarafında tutulabilir.Daha sonra Exchange ile arasındaki bağlantı kesilir.Sadece send-recive durumunda irtibata geçer.Exchange Server offline olsa bile böylece maillere bakılabilir.POP3 ile yapılan bağlantıda sadece Inbox kullanılır.Inbox ın altında ya da farklı olarak açılan klasörler lokalde açılacağı için sadece  açılan yerde erişim olur,farklı yerden yapılan POP3 bağlantısında bu açılan klasör görülmez.IMAP ile yapılan bağlantılarda mailler server da kalır.Eğer mail servera farklı yerlerden birden çok bağlantı yapılıyorsa IMAP kullanılır.IMAP bağlantısı Exchange ile doğrudan ve senkron bir bağlantı sağlarken POP3 ile yapılan bağlantıda doğrudan ve senkron bir bağlantı yoktur.

MAPI bağlantılarında da doğrudan ve senkron bir bağlantı vardır.Cache modda çalışılırsa mailler lokale çekilir ama yine de senkronizasyon vardır.Hatta bundan dolayı Outlooklarda bol bol Eşitleme Sorunları ile ilgili mailler gelir.MAPI ile IMAP ı karıştırmamak gerekir.IMAP,MAPI olmayan bir bağlantı çeşididir.MAPI connectionlar sayesinde kullanıcılar daha fazla fonksiyonlara (Takvim ve klasör paylaşımı-Outlook Out Of Asisstant vb) gibi ek özelliklere sahip olurlar.

Avantaj ve deazavantajlar göz önüne alındığında MAPI>IMAP>POP3 olarak gösterilebilir.Zaten hosting firmaları , MAPI clientları için ayrı ve daha yüksek bir fiyat POP3 ve IMAP içinse ayrı ve daha düşük bir fiyat vermektedir.Aslında POP3-IMAP-MAPI-RPC gibi bağlantı çeşitleri ayrı bir makale konusudur ama burada da gerektiği kadar açıklamaya çalıştım.Neyse amacımızdan sapmadan konumuza dönelim.

,

Yukarıdaki şekilde gördüğünüz gibi “Anonymous Users” işaretli değil.Bu durumda eğer ön tarafta duran AntiSpam SMTP Gateway  sunucumuz yoksa dışardan mail gelmeyecektir.Eğer mailleriniz doğrudan Exchange Server üzerinden akıyorsa “Anonymous Users” işaretli olmalıdır.Ben şu anda işaretlemiyorum.

Command Prompt üzerinden relay isteğinde bulunarak karşılacağımız durumları bir görelim.Şu anda elimizde Exchange 2010 kurulumundan sonra default olarak gelen 2 tane connector var ve bunların hiçbir ayarını değiştirmedim.

Exchange makinesine herhangi bir client üzerinden telnet yapıyorum.Exchange makinemizin IP si 192.168.1.2 dir.

Telnet yapan makinenin Exchange Server a giden 25 nolu portu açık ise aşağıdaki gibi bir ekran karşınıza gelecektir.Devam edip mail from:test@yktest.com dediğimde “Client was not authenticated” hatası verdi.

Yukarıdaki hatanın sebebi “Anonymous Users” ı aktif etmememiz.Bu tür relay istekleri Deafult Receive Connector üzerine gelir.

Yukarıdaki gibi  “Anonymous Users” seçeneğini aktif ediyorum.Şimdi tekrar istekte bulunalım.

Evet yukarıda gördüğünüz gibi tekrar denedim ve relay işlemi başarılı bir şekilde gerçekleştirildi.

mail from:testrelay@yktest.com (Buraya istediğimiz mail adresini yazabiliriz.Exchange üzerinde tanımlı olmasına gerek yok)
rcpt to:mg@yktest.local  (Bu Exchange sunucu üzerinde tanımlı olan bir mail adresi)

Yukarıdaki gibi gönderme işlemini dış networkteki(hotmail,gmail) bir adrese yaptığımda ise “Unable to Relay” hatası alıyorum.İşte bu durumda relay işlemini dışarıya açmak istiyorsak yeni bir receive connector tanımlamamız gerekir.

Receive Connectorlerin olduğu kısımda New Receive Connector diyerek connector oluşturma işlemine başlıyorum.

Herhangi bir hatırlatıcı isim vererek işleme devam ediyoruz.Custom seçeneğini seçip devam edebiliriz.

Exchange sunucusunun FQDN ismini yazarak devam ediyoruz.Yukarıdaki Local Network Settings kısmını default olarak bırakıyoruz.O kısımda maili alacak olan Exchange sunucusunun Ip adresini soruyor.Yukarıdaki şekilde bırakırsanız ilgili sunucudaki tüm Ip lerini kapsar.Onun yerine tek bir Ip de yazabilirsiniz.

“Remote Network Settings” kısmındaki gelen değeri siliyoruz ve aşağıdaki gibi Relay için izin vereceğimiz Ip yi yazıyoruz.

New diyerek Relay için gerekli olan connector oluşturma işlemini  bitiriyoruz.

Connector oluştuktan sonra ilgili connectorün ayarlarına girerek “Network” sekmesine geliyoruz.Yukarıdaki şekilde belirttiğim alanda eklenen Ip lerin relay yapma yetkisi olacaktır.Yani bir makineye relay yetkisi vermek isterseniz bu kısma makinenin Ip sini eklemelisiniz.

Relay yapan makineler authentication işlemi yapmadığından dolayı ek bir güvenlik olarak yukarıdaki “Externally Secured” seçeneğiniz aktif ediyoruz.Böylece verilerin güvenliği artıyor.

Relay işleminin dezavantajından da bahsetmek gerekir.Diyelim ki relay için bir Ip tanımlaması yaptık.Bu Ip ye sahip makinedeki uygulamalar sistem üzerinden  mail atabiliyorlar.Bu makineye bir spy bulaştığını  ve bu Ip yi kullanarak dışarıya mail attığını düşündüğümüzde relay işleminin bir risk olduğunu görebiliriz.Eğer mailler için AntiSpam gateway ya da ForeFront For Exchange 2010 gibi ürünlerden birini kullanmıyorsak bu açığı engellemek pek mümkün gözükmüyor.Belki “External Relay Domain” tanımlayarak ek bir güvenlik sağlayabiliriz.

“Permission Groups” sekmesine geçecek olursak;

Permissions Grupta “Exchange Server” seçili olmadığı için yukarıdaki gibi hata veriyor.Bu durumda önce “Authentication” sekmesinden “Externally secured” seçeneğini kaldırıp “Permission Groups” sekmesinden aşağıdaki gibi “Exchange Server” seçeneğini seçtikten sonra “Externally Secured” seçeneğini tekrar seçersek hata vermeyecektir.

Bu kısımda genelde “Anonymous Users” seçilir.Daha güvenli bir relay işlemi için “Anaonymous users” yerine “Exchange Servers” seçilmelidir.”Exchange Servers” sadece belirttiğimiz Ip deki makineleri içerir.

Evet hatırlarsanız dışarıya relay işlemi kapalıydı.Açmak için yeni bir connector oluşturduk ve gerekli düzenlemeleri yaptık.Şimdi dışarıya mail atmaya çalışalım.

Evet relay yapmak istediğimiz makinenin Ip bilgisi şekilde de gördüğünüz gibi 192.168.1.3 dür.Bu Ip için relay yetkisi vermiştik zaten.

192.168.1.3 lü Ip ye sahip makine üzerinden dışarıya mail atmak istediğimizde yukarıdaki gibi işlemin artık başarılı bir şekilde gerçekleştiğini görebiliyoruz.Hatırlarsanız connector oluşturmadan önce aynı işlemi yaptığımızda ”Unable To Relay” hatası veriyordu.Artık relay yapmasını istediğimizi makinenin Ip bilgisini oluşturduğumuz connectore girersek o makineye relaye açmış oluruz.

Bu yazımızda Exchange 2010 Relay ayarları ve client bağlantı türleri ile ilgili bilgiler vermeye çalıştım.Bir başka yazı da görüşmek üzere.