Yukarıdaki şekilde görülen sertifika,
Exchange kurulduktan sonra otomatik olarak oluşan sertifikadır.Bu
sertifika sayesinde IMAP,POP,MAPI gibi outlook bağlantılarında sorunsuz
olarak kullanılmaktadır fakat IIS gibi web üzerinden bağlanılan mail
sistemleri(OWA) ya da Outlook Anywhere gibi https rotokolünü kullanan servisler için yeni ve güvenilir bir sertifika oluşturmamız gerekmektedir.
Dış networkten
https://owa.yktest.com olan owa adresini girdiğim zaman gördüğünüz gibi
sertifika ile ilgili uyarı vermektedir.”Continue to this website”
dediğimiz zaman sertifika güvenilirliğini yok sayıp uygulamaya
erişebiliriz.
Yukraıdaki şekilde görüldüğü gibi devam
edip bağlansak bile uyarıyı görmeye devam ediyoruz.Şimdi bu uyarıyı
görmemek için yeni bir sertifika oluşturmaya başlayalım.
Server Configuration altındaki sertifika bölümünden “New Exchange Certificate” diyerek sertifika oluşturmaya başlıyoruz.
Sertifikaya herhangi bir isim verip NEXT ile devam ediyoruz.
Subdomainleriniz varsa ya da OWA yı
intranet.yktest.com ve internet.yktest.com şeklinde kullanmak isterseniz
“Wildcard Certificate” özelliğini aktif etmelisiniz.Fakat bu pek tercih
edilen bir yöntem değildir.Böyle bir durum için genellikle SAN (Subject
Alternative Name) kullanılır.Birazdan buna da değineceğiz.Subdomainiz
yoksa sizde benim gibi işaretlemeden geçebilirsiniz.
Yukraıdaki şekil sertifika oluşturma
işleminin en önemli kısmı diyebiliriz.Çünkü bu ekranda oluşturacağımız
sertifikayı hangi uygulamalar için kullanacağımızı belirteceğiz.
İlk olarak “Outlook Web App” için
bilgileri giriyoruz.Dış networkte ve iç networkteki OWA isimlerini
farklı vermenizde fayda var.İç networkte benim yaptığım gibi sunucu
ismini kullanabilirsiniz.Dış network içi ise genelde mail.domainismi.com
ya da owa.domainismi.com şeklinde tanımlar yapılır.
İkincil olarak Exchange ActiveSync için
sertifikayı kullanabiliriz.Exchange ActiveSync mobil çözümler için
kullanılan bir sistem çözümüdür.Exchange ActivSync sayesinde telefon
üzerinden mail tanımlaması yaptıktan sonra aynı outlookta olduğu gibi
contact ve takvim bilgileri de telefonunuza yüklenir.Mail gelir gelmez
push e-mail özelliği sayesinde otomatik olarak telefona da düşer.Bu
özelliğide işaretleyerek IPhone gibi cihazların mail tanımlarında
kullanabiliriz.
Bir diğer uygulama da Outlook Anywhere ve
AutoDiscover uygulamasıdır.Outlook Anywhere özelliğinin hangi amaçla
kullanıldığını bilmiyorsanız buradan bakabilirsiniz. Autodiscover
özelliği sayesinde ise kullanıcıların sunucuya bağlantıları sırasında
otomatik olarak login bilgilerine göre sunucunun ve mailboxın bulunması
gibi işlemleri yapar.Bu özellikler içinde oluşturacağım sertifkayı
kullanmak
istiyorum.Bu kısmlara dilerseniz iç ve dış network için ayrı tanım yapabilirsiniz.Örneğin hem
owa.domainsimi.com hem de mail.domainismi.com diye kullanmak isterseniz
virgül ile ayırarak iki şekilde de tanım yapabilirsiniz.
Yukarıdaki şekilde ise kullanacağınız
domain isimlerini giriyoruz.Dışarıdan kullanıcıların hangi isimle
girmesini istiyorsanız “Set as common name” olarak belirtin.Bu kısımda
ayrıca client access rolünü üstlenen sunucunun FQDN ismini de
girmelisiniz.Yukarıdaki örnekte ben client access rolüne sahip sunucunun
ismi olan casarray.yktest.local ismini de listeye ekledim.Eğer bu ismi
eklemezseniz kullanıcılar şirket içinde outlooklarını açtıkları zaman
sertifika uyarısı ile karşılaşırlar.Bütün roller tek sunucu üzerindeyse
haliyle exchangesunucuismi.domainsimi.local olan FQDN ismini yazmanız
gerekir.Bu özellik güvenilir sertifika veren kurumlar tarafından SAN
(Subject Alternative Name) olarak dikkate alınır.Bazı kurumlar SAN
desteği vermiyor.Sertifika alırken ilgili kuruma SAN desteğinin olup
olmadığını sormanızda fayda var.
Yukarıdaki ekranda organizasyon
bilgilerinizi girdikten sonra BROWSE diyerek oluşturacağınız sertifika
isteğini isim vererek nereye kaydedeceğinizi belirtin.Kayıt edilen
dosyanın uzantısı .req olacaktır.NEXT ile devam edelim.
New diyerek sertifika isteğini oluşturmaya başlayabiliriz
Oluşturma işlemi bittikten sonra Finish diyerek sonlandırıyoruz.
Şu anda sadece sertifika isteğinde
bulunmuş olduk.Oluşturduğunuz sertifikaya sağ tıklarsanız henüz işlemin
bitmediğini anlayabilirsiniz.Bu andan sonra iki tane seçeneğiniz var.Ya
bu kayıt ettiğimiz sertifika isteğini iç networkümüzdeki sertifika
sunucusuna(CA) gösterip sertifika alacağız ya da internette geçerli olan
herhangi bir sertifika veren kuruma (Global Sign gibi) gönderip
sertifika alacağız.İç networkten sertifika talebinde bulunursak bu
sertifikayı dış networkte kullanamayız.Global Sign gibi sertifika
firmalarından alırsak her yerde kullanabiliriz.Ben test ortamında
olduğum iç networkte kurulu olan Sertifika Sunucumdan sertifikayı
alacağım.
İç networkteki sertifika sunucunuz neredeyse o sunucuya gelip browser üzerine http://localhost/certsrv yazıyoruz ve yukarıdaki ekranla karşılaşıyoruz.”Request a certificate” diyerek devam ediyoruz.
Yukarıdaki ekrandan “advanced certificate request” diyerek devam ediyoruz.
Yukarıdaki ekrandan kırmızı çerçeve içinde olan seçeneği seçip devam edelim.
Şimdi .req uzantısı olarak kayıt ettiğim dosyayı aşağıdaki gibi notepad ile açıp yukarıdaki işaretlediğim yere kayıt edeceğim.
Yukarıdaki gibi notepad ile açıyorum ve “Saved Request” yazan yere aşağıdaki gibi yapıştırıyorum.
“Certificate Template” kısmında da Web Server seçip Submit diyerek devam ediyorum.
Yukarıdaki ekran “Download Certificate” diyoruz.
certnew.cer adıyla sertifikayı
bilgisyarımıza kayıt ediyoruz.Eğer bu işlemi local değilde internet
ortamı için yapacak olsaydık .req uzantılı dosyayı sertifika kurumuna
yollayacaktık.Onlar o dosyaya bakarak bize .cer uzantılı bir sertifika
yollayacaklardı.Yani bizim yukarıda yaptığımız işlemi
yapacaklardı.Biz iç networkteki sertifika sunucumuzda .cer uzantılı
sertifikamızı oluşturduk.
Sertifika sunucumuzdan oluşturduğumuz ya
da Global Sign gibi sertifika firmasının bize yolladığı .cer uzantılı
sertifikayı Exchange Sunucumuza göstermek için yukarıdaki gibi “Complete
Pending Request” diyoruz.
BROWSE diyerek .cer uzantılı sertifikamızı gösteriyoruz ve COMPLETE diyerek işleme devam ediyoruz.
Finish diyerek tanıtma işini
bitiriyoruz.Finish dedikten sonra sertifikamıza onay ikonu
gelir.Yapmamız gereken tek bir işlem kaldı o da atama yapmak (assign).
Sertifikamıza sağ tıklayarak “Assign Services to Certificate” diyoruz.
Sunucumuz yukarıdaki gibi otomatik gelecektir.Gelmezse Add diyerek Exchange sunucunuzu seçebilirsiniz.
Yukarıdaki şekilden bu sertifikanın hangi
servisler için kullanılacağını seçebilirsiniz.Sertifika oluşturma
ekranında hatırlarsanız sertifikayı hangi uygulamalar için kullanacaksak
o uygulamalar için tanım yapmıştık.Burada da o uygulamaları çalıştıran
servisleri seçiyoruz.Test ortamımda “Unified Messaging” kurulu olmadığı
için o hariç diğerlerinin hepsini seçiyorum ve NEXT ile devam ediyorum.
Assign diyerek işlemi bitiriyorum.
SMTP için atanmış bir sertifika
bulunduğunu ve yeni oluşturduğumuz sertifika ile değiştirmek isteyip
istemediğimizi soruyor.”Yes to All” diyerek bütün servisleri bu yeni
sertifika üzerine atıyorum.
Sertifikaların son durumunu yukarıdaki
şekilden görebilirsiniz.IMAP,POP,IIS,SMTP servislerinin yeni
olşturduğumuz sertifikaya atandığını görüyoruz.Artık bu servisler
üzerinden Exchange Sunucuya bağlanan client makinelere bu sertifikayı
kullanacaklar.
Şimdi test olması açaısından Browser
üzerinden Exchange Sunucuya bağlanalım bakalım aynı uyarıyı verecek
mi?Ben test oretamında sertifikamı iç networkteki sertifika sunucusundan
(CA) oluşturduğum için testimide iç networkten yapıyorum.
Evet gördüğünüz gibi herhangi bir uyarı ekranı gelmedi.
Not:Sertifikanızı bizim yaptığımız gibi
iç networkte oluşturduysanız bu sertifikayı internet ortamındaki
herhangi bir bilgisayara elle yüklerseniz yine uyarı ekranı
almazsınız.Böylece Global Sign gibi sertifika kurumlarından sertifika
almaya gerek kalmaz.Ama bu sertifika yükleme işlemini her bilgisayarda
elle yapmanız gerekir:).Kurumsal siteler için bu tabiki mümkün değil ama
müşteri dayalı bir şirket değilseniz dışarıdan OWA kullananrak bağlanan
birkaç şirket kullanıcısına (müdür gibi) bu işlemi yaparak olayı
bitirmek az da olsa rastlanan bir durumdur.
Hiç yorum yok:
Yorum Gönder