«

»

Oca 08

EXCHANGE 2016 DAG YAPISINDA SERTİFİKA İŞLEMLERİ

EXCHANGE 2016 SERTFİKA İŞLEMLERİ

1- ACTIVE DIRECTORY CERTFICATE SERVICES KURULUMU VE YAPILANDIRMA

Exchange 2016 kurulumu sonrası sertfika hatası almamak için SSL sertfika kullanmamız gerekmektedir. Gerçek ortamlarda ticari bir SSL sertfikası kullanmak daha mantıklı olacaktır. Biz yapımızda local bir CA’dan sertfika alacağız ve Exchange sunucularımıza yükleyeceğiz.
Yapımızda Server 2016 TP3 üzerinde DC bulunmakta. Yine biz DC üzerine Local CA kurarak sertfika işlemlerimizi yapacağız.

1

CA kurulumu yapmak için Server Mangager’i açıyoruz ve Add Roles and Features kısmına tıklıyoruz.

2

Gelen pencerede uyarıları okuyarak devam ediyoruz.

3

Select installation type ( yükleme seçenekleri) ekranında Role based or feature …( rol tabanlı özellik) seçerek devam ediyoruz.

4

Select destination server ( hedef sunucu seçimi ) ekranında kurulum yapacağımız sunucuyu seçiyoruz. Bizim zaten tek sunucumuz olduğu için sunucu seçili durumda.

5

Select server roles ( yüklenecek rol seçimi ) ekranında CA kurulumu yapacağımız için Active Directory Certficate Services seçeneğini işaretliyoruz ve ilgili feature’ların otamatik olarak yüklenmesini sağlıyoruz.

6

Select features ( özellik seçimi ) ekranında değişiklik yapmadan ilerliyoruz.

7

Sonraki ekranda CA kurulumu yapıldıktan sonra bilgisayar adının değiştirelemeceği şeklinde uyarı akranı gelmektedir. Okudum anladım diyerek devam ediyoruz 

8

Select role services ( role ile ilgil servislerin seçimi) ekranında CA ile ilgili olan rolleri seçerek devam ediyoruz. Hiç bir seçim yapmaz isek Certification Authority default olarak kurulacaktır. Ama biz web üzerinden sertifika talebinde bulunacağımız için Certficate Authority Web Enrollment seçeneğinide seçerek devam ediyoruz.

9

Certficate Authority Web Enrollment seçeneğini seçtiğimiz için sonraki ekranda Web Server (IIS) rolünün yükleneceği bilgisi verilmektedir.

10

IIS ile ilgili özellik seçimlerinde değişiklik yapmadan ilerliyoruz.

11

Confirm installation selections (yüklencek seçimleri onayla) ekranında özet alırız ve değişiklik yapmak istersek geri dönebiliriz.

12

Biz değişiklik yapmacağımız için Install diyerek kurulumu başlatacağız.

13

Yükleme işlemi başlamış durumda.

14

Role yükleme işlemi başarı ile tamamlandı. Configure Active Directory certficate Services on the destinations server kısmına tıklayarak CA ile ilgili yapılandırma işlemlerine başlayabiliriz.

15

Credentials ( kimlik bilgileri) ekranında yetkili kullanıcı ile devam etmemiz gerekmekte.

16

Yapılandırmak istediğimiz CA servislerini seçiyoruz ve devam ediyoruz.

17

AD ortamında kurulum yaptığımız için Enterprise CA seçerek devam ediyoruz.

18

Ortamda bulunan ilk CA sunucu olduğu için Root CA seçerek devam ediyoruz.

19

Create a new private key ( yeni bir özel anahtar üret) seçerek devam ediyoruz.

20

Key lenght ve provider sekmelerinde ve algorithm değerlerinde değişiklik yapmadan devam ediyoruz.

21

Common name ( ortak ad) kısmında değişiklik yapabilirsiniz. Yapınıza göre isim verilebilir.

22

Sertifika geçerlilik süresi varsayılan olarak 5 yıldır isterseniz değiştirebilirsiniz.

23

CA sunucusunun database ve log dosyalarının tutulacağı yol bilgisi değiştirmeden devam ediyoruz.

24

Herşey tamam ise Configure (yapılandır) diyerek işleme başlayabiliriz.

26

Yapılandırma başladı.

Yapılandırma başarı ile tamamlandı. Close diyerek pencereyi kapatabiliriz.

27

Certfication Authority kısmına tıklıyoruz ve çalıştığını görüyoruz. Biz aynı zamanda web üzerinde sertfika talebinde bulunacağımız için Certfication Authority Web Enrollment servisinide yüklemiş idik. Gerekli kontolü yapmak için http:// localhost yada IP adresi/certsrv yazarak gerekli kontolü yapabiliriz.

28

Evet ilk aşamada çalıştığı görülüyor ama emin olmak için Request a certficate linkine tıklıyoruz.

29

Gelen ekranda Advanced certficate request linkine tıklıyoruz.

30

Yukarıdaki ekranda Create and submit a request to this CA linkine tıklıyoruz.

31

Evet yukarıdaki ekranı görebiliyor isek CA çalışıyor demektir. CA sunucumuz kuruldu ve sertifika işlemlerine cevap verebilecek durumda. Sonraki adımda ortamda bulunan Exchange 2016 DAG yapımıza dahil olan suncularımız için sertfika işlemlerini gerçekleştirecegiz.

2- EXCHANGE 2016 DAG YAPISINDA SERTİFİKA İŞLEMLERİ

Exchange 2016 kurulumu tamamlandıktan sonra sertifika uyarısı almak istemiyor isek SSL sertfika yüklememiz gerkmektedir. Gerçek ortamlarda Local CA’den sertfika almaktan ziyade 3. Parti bir sertifika otaritesinden puplic bir SSL sertifkası almak daha mantıklı ve kolay olacaktır. Test ortamında olduğumuz için Local CA’den Exchange sunucularımız için sertfika talebinde bulancağız.
Sertifika talebinde bulunmadan önce name space kavramları çok önemlidir. Sertifika isteğinde bu alanların mutlaka olması gerekmeketedir. Örneğin;
OWA adresi:                            mail.test.local –internal
                                                     mail.test.com – external
Autodiscover :                       autodiscover.test.local – internal
                                                     autodiscover.test.com – external
Yukarıddaki adreslere ek olarka Activesync, OAB ve Exchange virtual directory servislerini dikkate almamız gerekmektedir.

Şimdi Exchange sucularımıza bakarak bu adresler ile ilgili düzenlemeleri yapmamız gerekmektedir.
Sertifka işlemlerine başlamdan önce Exchange Virtual Directory sekmesine bakmamızda fayda var.

32

Bizim yapımızda Exchange 2016 DAG yapısı bulunmaktadır. DAG yapımızda iki adet sunucumuz bulunmaktadır be bu sunucular test.local (internal) domaininde çalışmaktadırlar.
Local olarak domain adımız test.local olmasına ragmen dışarıya hizmet verecek olan adımız test.com (external) şeklindedir. Test.com alan adını Exchange 2016 trafında Accepted domain olarak eklememiz gerekecektir.
Accepted domain olarak eklemek için Mail flow ve Accepted Domain sekmesine tıklamamız gerekmektedir.

33

Yukarıdaki şekilde görüldüğü üzere test.local domaini gözükmektedir ve biz test.com domainini accepted domain olarak ekleyeceğiz. Eklemek için + işreteine tıklıyoruz.

34

Gelen ekranda ilgili yerleri doldurmamız gerekmektedir.

35

Name kısmına yapınıza göre bir isim verebilirsiniz. Accepted domain kısmında ise puplic domain isminizi girmemiz gerekmekte ve Authoritative (yetkili) olarak seçilmelidir. Değerler girildikten sonra Save diyerek işlemi tamamlıyoruz.

36

Evet test.com artık accepted domain olarak eklenmiş durumdadır. Fakat default domain hala test.local şeklinde gözükmektedir. Test.com etki alanının default domain yapmak için test.com seçilir ve kalem işratine tıklanır.

37

Gelen pencerede Make this default domain kutucuğu doldurulur. Sağ tarafta bulunan uyarıda test.com domaini default yapıldığı için SMTP mail adreslerinin test.com şeklinde olacağı belirtilmektedir.

38

Son aşamada yukarıda görüldüğü şekildedir.
Şimdi sertfika işlemlerine başlayabiliriz. Server ve certficate kısmına tıklıyoruz.

39

Ortamımızda iki adet sunucu bulunmaktadır. İlk olarak EXCSRV16 sunucusu için sertfika işlemlerini yapacağız. EXCSRV16 sunucusu için sertfika işlemleri tamalandıktan sonra almış olduğumuz sertfikayı export – import yöntemi ile EXCSRV17 sunucusuna yükleyeceğiz. İşleme başlamak için + butonuna tıklıyoruz.

40

Create a request for a certificate… seçeneğini seçerek devam ediyoruz.

40

Friendly name kısmına bir isim veriyoruz.

41

Yıldız sertifika (wild card) almayacağımız için bu alanı boş bırakarak devam ediyoruz.

42

Hangi sunucu için oluşturacağımızı seçiyoruz. Her iki sunucuda burada seçilebilir.

43

44

Sonraki adımda virtual directory tarafında düzenleme yapmamız gerekmekte.

45

Yukarıdaki ekranda internal ve external adresleri aynı yapabiliriz ( Internal adresleri yapımıza göre düzenleyebiliriz).

46

Sonraki adımda specify domainimizi kontrol ederek devam etmememiz gerekmekte.

47

Not: Yukarıdaki ekranda excsrv16 ve excsrv16.test.local adresleri bulunmaktadır. İkinci sunucumuzuda seçmiş olsa idik excsrv17 ve excsrv17.test.local şeklinde alanlarda bulunacatı ( Karışıklığa sebep olmaması için tek sunucu seçilmiştir)

Daha sonra sertfika ile iligili bilgileri doldurmamız gerekmekte.

48

Sertfika istek dosyasını (CSR) nerede tutacağımız belirtmemiz gerekmekte.

49

NOT: Uzantı olara mutlaka .req seçememiz gerekmektedir ( Exchange 2013 ve 2016 yapısında paylaşıma açılmış bir alanı path olarak göstermemiz gerekmektedir).
Ve son olarak Pending request olarak görmemiz gerekmekte.

50

Şimdi bu istek dosyasını kullanarak Local CA’den sertfika isteyeceğiz.

51

Oluşturuduğumuz istek dosyasını (mail.req) notepad yardımı ile açıyoruz ve tüm içeriği kopyalıyoruz.

52

Koyaladığımız içerik ile local CA’den sertfika talabinde bulunacağız. Talepte bulunmak için tarayıcımızı açıyoruz ve http://sunucuadı yada IP adresi /certsrv yazıyoruz. Bizim örneğimizde http://10.0.0.50/certsrv şeklindedir.

53

Yukarıdaki ekranda Request a certficate linkine tıklıyoruz.

54

Gelen ekranda Advanced certficate request linkine tıklıyoruz.

55

Daha sonra Submit a certficate request by using a base 64……. linkine tıklıyoruz.

56

Gelen ekranda kopyaladığımız içeriği Saved request kısmına yapıştırıyoruz. Certficate template olarak Web Server seçiyoruz ve Submit butonuna tıklıyoruz.

57

Yukarıdaki ekranda Base 64 seçerek sertfikayı download ediyoruz.

58

59

Sertifikamızı aldığımıza göre ECP dönerek Pending Request kısmından işleme devam edebiliriz.

60

Yukarıdaki ekranda Complete kısmına tıklayarak işlemi tamamlayabiliriz.

61

Sertfikayı indirdiğimiz yerin yolunu yazarak devam etmemiz gerekmekte.

62

Sertfikanın yolunu yazıyoruz ve OK diyoruz.

63

Yukarıdaki şekilde görüldüğü gibi Sertifika yükleme işlemi başarılı olmuş durumda. Şimdi bu sertfikayı servislere atamamız gerekmekte. Sertfika üzerinde iken kalem işaretine tıklıyoruz ve Services sekmesinde IIS ve SMTP’ yi seçip Save diyoruz.

64

Save dedikten sonra bir uyarı ekranı gelecektir.

65

Bu uyarı ekranında var olan sertfikanın üzerine yazacağını belirtmekte. Yes diyerek işlemi onaylıyoruz.

66

Son durum yukarıdaki gibidir.

İkinci olarak yüklediğimiz bu sertifikayı export ederek ortamda bulunan ikinci Exchange sunucumuza import edeceğiz.
Export etmek için sertfika üzerinde iken … kısmına tıklıyoruz ve Export Exchange certficate diyoruz.

67

Sonraki ekranda sertfikayı nereye export edeceğimiz ve şifre bilgilsini girmemiz gerekmekte.

68

Sertfika export işlemi başarı olmuş durumda.

69

Şimdi ikinci sunucumuza bu sertifikayı import edebiliriz. İkinci suncumuzda ECP’yi açıyoruz. Server ve certficate kısmına gidiyoruz.

70

… işaretine tıklıyoruz ve Import Exchange certficate diyoruz.

71

Sertfika yolunu ve Password bilgilerini giriyoruz.

72

Hangi sunucu için kullanacağımızı seçiyoruz ve Finish butınuna tıklıyoruz.

73

Son durum aşağıdaki gibi olacaktır.

74

Sertfika import başarılı durumdadır ve Servislere atanması gerkmektedir. Kalem işaretine tıklıyoruz ve services kısmına geçiyoruz. IIS ve SMTP servislerini seçerek Save butonuna tılıyoruz.

75

Uyarı ekranı burada da gelecektir. Yes diyerek onaylıyoruz.

76

Son hali aşağıdaki gibidir;

77

Sertfika yükleme işlemleri tamalandığına göre artık test etme zamanı. Öncelikle ECP tarafından başlayabiliriz.

78

Yukarıdaki şekilde görüldüğü gibi ECP URL bilgisi excsrv16.test.local olarka gözükmekte. ECP tıkladığımız zaman sertfika hatası almamamız gerekmekte.

79

Evet şekilde görüldüğü gibi sertfika hatası almadık. OWA tarafına bakacak olur isek.

80

Yukarıdaki şekilde görüldüğü üzere OWA tarafında da sertifika hatası almadık.

Exchange server 2016 sertfika işlemlerini böylece tamamlamış olduk…

Murat KOÇAK
IT Profoessional

320 views

Bir Cevap Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Şu HTML etiketlerini ve özelliklerini kullanabilirsiniz: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>