Exchange Server 2007 OWA Sertifika Yenileme İşlemleri

May 27th, 2009 by Atanur YILMAZ, under Exchange Server 2007. 4 Yorum

Exchange Server üzerindeki yazı dizimize Client Access rolü ile ilgili olan OWA (Outlook Web Access) sertifikasının nasıl yenileneceği ile devam ediyoruz.Burada öncelikle neden yenilemek kavramını kullandığımdan bahsedeyim.Exchange Server 2003’te OWA hizmeti defaultta http protokolü ile sağlanırken https ile maillere erişimi sağlamak için sertifikamızı yayınlamamız gerikiyordu.Exchange Server 2007’de ise bu durum biraz farklı.Microsoft olması gerektiği gibi Exchange Server ilk kurulduğunda OWA üzerinden erişimi https ile sağlamak için server bazlı bir geçici sertifikayı etkinleştirmiş.Bu sertifikayı https://FQDN/OWA yazarak görebiliriz.

Yukarıda görülen default sertifikanın bir yıllık olduğunu “valid from” tabında görebiliriz.

Şimdi Exchange’imiz için bu sertifikanın nasıl yenileneceğini adım adım inceleyelim.

1.İlk olarak Certification Authority (CA) kuralım.CA kurmak için Run’a appwiz.cpl yazıp Add/Remove Windows Companents altına gidiyoruz.

CA kurulumu yapalım.Kurulum tamamlandıktan sonra ;

2. Exchange Management Console-Server configuration-Client Access te OWA özelliklerine girelim ve https://mail.domain.com olacak şekilde external URL tanımlamamızı yapalım.

 3.Kullanıcıların /owa uzantısını kullanmadan maillerine erişebilmeleri için IIS’te bu uzantıyı kaldıralım.Default web site üzerinde sağ tıklayıp özelliklerine gireli ve aşağıdaki resimdeki gibi belirtilen alanları dolduralım.

4. New-ExchangeCertificate –DomainName makineismi,makineismi.domain.com,mail.domain.com,domain2.com,domain.com,mail -SubjectName “c=tr,o=Atanur Yilmaz Corp, cn=mail.domain.com” -PrivateKeyExportable:$True -GenerateRequest:$True -Path “C:\CertRequest.req”

Yukarındaki komut ile exchange management shell’i kullanarak sertifika talebinde bulunalım.Burada ekstradan yazılan domain2.com hub transport üzerinde tanımlı ve organizasyonunmuzda bulunan accepted bir domain olsun.Bu komut ile C: de CertRequest.reg adında sertifika oluşturulur.

Benim yapıma göre bu komut;

New-ExchangeCertificate –DomainName server1,server1.atanuryilmaz.com,mail.atanuryilmaz.com,sistem.com,atanuryilmaz.com,mail -SubjectName “c=tr,o=Atanur Yilmaz Corp, cn=mail.atanuryilmaz.com” -PrivateKeyExportable:$True -GenerateRequest:$True -Path “C:\CertRequest.req”

Komut çalıştırıldığında yukarıda görüldüğü gibi C:\ de CertRequest.reg dosyası oluşur.

5. https://makineismi/certsrv ile sertifikayı web üzerinden import etme işine başlayalım.Sırasıyla aşağıda belirtilen yolu izleyelim.

Request a certificate -> advanced certificate request -> 

“Submit a certificate request by using a base-64-encoded CMC or PKCS #10 file, or submit a renewal request by using a base-64-encoded PKCS #7 file”  ile başlayan linke tıklayalım.

Açılan pencerede bulunan “Browse for file to insert” linkine tıkladığımızda güvenlikle ilgili bir uyarı alırsak Internet Options’a gidip bu linki aşağıdaki resimde görüldüğü gibi Trusted Sites’lara eklememiz gerekir.

Şimdi sırasıyla “Browse for a file to insert->C:\de bulunan CertRequest.reg dosyasını gösterip->Read butuonuna “ tıklıyoruz.Daha sonra aşağıdaki resimde görüldüğü gibi “Certificate Template” ten Web Server’ı seçip Submit diyoruz. 

 6. Submit dedikten sonra Certificate Issued sayfası açılır. 

 Download certificate ve Download certificate chain linklerine tıklayıp sertifikaları C:\ ‘ye kayıt edelim.

7.Kaydettiğimiz bu sertifikayı Exchange Server’a import etmemiz gerekir.Bunun için kullanmamız gereken management shell komutu;

Import-ExchangeCertificate -Path “C:\certnew.cer” –FriendlyName “Exchange Sertifikam”

Yukarıdaki komutunu kullanarak sertifikayı exchange e  import edelim ve thumbprint değerini kaydedelim.

Bu değer bende : 06FA3EFA7F3FD3605285A3D4CAC8B2893E79EB16 şeklinde. 

8. Son işlem olarak sertifikayı Enable etmemiz gerekir.Bunun için aşağıdaki komutu kullanabiliriz.Burada seçtiğimiz protokoller için sertifika enable duruma getirilmiş olur.

Enable-ExchangeCertificate -thumbprint <Thumbprint Değeri> -Services:”POP,SMTP,IMAP,IIS”

Benim yapılandırmama göre çalıştırmam gereken komut;

Enable-ExchangeCertificate -thumbprint 06FA3EFA7F3FD3605285A3D4CAC8B2893E79EB16 -Services:”POP,SMTP,IMAP,IIS”

Bu komutu çalıştırdıktan sonra durum kontrolü yapalım.Bunun için “Get-ExchangeCertificate” komutunu kullanalım.

Şimdi herhangi bir bilgisayardan OWA ‘ya  https://mail.domain.com ile bağlanalım.Görüldüğü artık kendi sertifikamızı kullanabiliyoruz.

Bu yazımızda owa için kendi sertifikamızı nasıl oluşturacağımıza değindik.Exchange Server 2007 ile ilgili yazılara devam edeceğim.

Hoşçakalın..

Kaynak:http://technet.microsoft.com/en-us/library/bb851505.aspx