Security

Let’s Encrypt ile Exchange 2019 için Ücretsiz SSL Sertifika Kurulumu

Translate This Page:

Select your language:  English EN French FR German DE Portuguese PT Russian RU Turkish TR

Bu makalede Le’s Encrypt SSL i win-acme tool kullanarak Windows Exchange server 2019 üzerinde yapılandırarak Exchange serverımıza public ve Free bir sertika oluşturacağız.
Bir Exchange kuruluşu harici ve dahili erişim için uygun hale getirildiğinde, sunucuya uygun SSL sertifikası yüklenmelidir.
Bu, Outlook Web App ve ActiveSync gibi URL uç noktalarının uygun şekilde tanımlanmasını (güvenilen sertifika) ve güvenli bir şekilde erişilmesini (şifrelenmiş) sağlamak içindir.

Exchange web hizmetlerine birden fazla ana bilgisayar adı atanması da önerilir ve neredeyse kaçınılmazdır. SMTP, OWA ve Autodiscover (Otomatik Bulma) için Exchange’e en az üç ana bilgisayar adı atanmış olabilir.

Exchange için birden fazla alan adına sahipseniz bir adet (SAN) sertifikasına ihtiyacınız var demektir. SAN sertifikaları, wildcard veya tek isimli sertifika ile karşılaştırıldığında daha pahalıdır.

Neyseki LetsEncrypt Sayesinde SSL SAN sertifikalarını almak için ücretsiz bir alternatif var.

Evet, doğru okudunuz, ÜCRETSİZ! :) hemde Exchange için ve bu makalede, Exchange Server 2019 için SAN SSL sertifikalarını otomatik olarak yenilemeyi, kurmayı ve planlamayı inceliyor olacağız.

Gereksinimler

Bu makalede anlatılanların çalışması için , aşağıdaki ön koşullara sahip olmalısınız.

  • Microsoft Exchange Server 2019/2016/2013
  • Önceden kurulmuş bir Exchange sunucunuz olmalı ve dahili ve harici URL’ler önceden yapılandırılmış olmalıdır.
  • Exchange sunucunuz localde ve publicte ssl hatasıda olsa owa yayını yapıyor ve kendi içindeki mailboxlar arasında mailleşme yapabiliyor olmalıdır.
  • SAN sertifikasına dahil edilecek ana bilgisayarlar için iç ve dış DNS kayıtları yapılmış olmalıdır.

Bu makaleye özel olarak, üç ana bilgisayar adı kullanılacaktır.

  • mail.sistemcheck.com –>ana sertifika adı
  • webmail.sistemcheck.com
  • autodiscover.sistemcheck.com

Let’s Encrypt CA tarafından desteklenen bir ACME istemcisidir. Bu makaleye özel olarak, win-acme istemcisini kullanacağız çünkü kullanımı kolay ve çok sayıda dokümantasyona sahiptir. Bu yazı itibariyle en son sürüm 2.1.17.1065‘dır.

WinAcme aracını Buradan yada buradan indirebilirsiniz.

win-acme.v2.1.17.1065.arm64.trimmed.zip dosyamızı indirdikten sonra .rar dan çıkarıp Exchange serverımızın C:\dizini içerisine taşıyoruz

Win-acme kurulum ve yapılandırma

Let's Encrypt ile Exchange 2019 için Ücretsiz SSL Sertifika Kurulumu 2

Wacs.exe dosyamızı Run as administrator diyerek çalıştırıyoruz.
Karşımıza gelen ekranda “M” seçeneğini seçerek tüm içeriğini kemizin seçeceği ssl seritifka yaratma menüsünü açıyoruz.Let's Encrypt ile Exchange 2019 için Ücretsiz SSL Sertifika Kurulumu 3Sonraki adımda “2” seçeneğini seçiyoruz ve bize sertika içerisinde bulunmasını istediğimiz isimleri girmemizi istiyor.Let's Encrypt ile Exchange 2019 için Ücretsiz SSL Sertifika Kurulumu 4

Ben aşağıdaki alan adlarını kullanacağım virgül “,” ile ayırarak buraya giriyoruz.
mail.sistemcheck.com,webmail.sistemcheck.com,autodiscover.sistemcheck.comLet's Encrypt ile Exchange 2019 için Ücretsiz SSL Sertifika Kurulumu 5Bu adımda Exchange serverınızın doğrulamayı yapabilmesi için 80 ve 443 portlarından external(internet) a yayın yapması ve internetten erişilebilir olması gerekiyor.
Yani :

  • Exchange Serverınız için FW tanımları(80,443 NAT ve Security kuralları) yapılmış olmalı.
  • Public DNS consolunuzda ilgili A kayıtları oluşturulmuş olmalı.

“2 ” seçeneği ile RSA key oluşturuyoruz.Let's Encrypt ile Exchange 2019 için Ücretsiz SSL Sertifika Kurulumu 6
Aşağıdaki seçenekler ile ilerliyoruz.Let's Encrypt ile Exchange 2019 için Ücretsiz SSL Sertifika Kurulumu 7

Let's Encrypt ile Exchange 2019 için Ücretsiz SSL Sertifika Kurulumu 8Bu adımdan sonra Windows ortamı için win-acme tool içerisinde bulunana Powershell scriptimizi çalıştırıyoruz. Aşağıdaki komutu girerek devam ediyoruz.

./Scripts/ImportExchange.ps1

Let's Encrypt ile Exchange 2019 için Ücretsiz SSL Sertifika Kurulumu 9Soranki adımdaysa sertifikamızın hangi servislerde kullanılacağını aşağıdaki komutu girerek belirtiyoruz.

'{CertThumbprint}' 'IIS,SMTP,IMAP' 1 '{CacheFile}' '{CachePassword}' '{CertFriendlyName}'

Başka bir işlem yapmayacağımız için “4”numaralı menüyü seçerek sertifika oluşturma işlemleirni başlatıyoruz. Ben bu makinede daha önce bir sertifika oluşturduğum için “overwrite” diyerek yeni seritifkayı eskisinin üzerine yazacak.Let's Encrypt ile Exchange 2019 için Ücretsiz SSL Sertifika Kurulumu 10Tüm seritika adımlarını tamamladık artık sertifikamız oluştu “q” seçeneği ile menüden çıkabiliriz.Let's Encrypt ile Exchange 2019 için Ücretsiz SSL Sertifika Kurulumu 11

Win-acme tek komut ile kurulum

Yukarıda konsoldan yaptığımız işlemleri aşağıdaki komut satırını win-acme tool un olduğu dizine girip çalıştırarak ta sağlayabilirsiniz.

Host parametresinde belirtilen ana bilgisayar adlarını değiştirmeyi unutmayın. Aşağıdaki komut, herhangi bir onay olmaksızın etkileşimli yöntemle aynı adımları gerçekleştirecektir.

wacs.exe --target manual --host mail.sistemcheck.com,webmail.sistemcheck.com,autodiscover.sistemcheck.com --certificatestore My --acl-fullcontrol "network service,administrators" --installation iis,script --installationsiteid 1 --script "./Scripts/ImportExchange.ps1" --scriptparameters "'{CertThumbprint}' 'IIS,SMTP,IMAP' 1 '{CacheFile}' '{CachePassword}' '{CertFriendlyName}'"

Exchange server Sertifika kontrolleri

ECP panel kontrolü

Exchange severımızın Yönetim paneline giriyoruz serveràcertificates bölümünden yeni gelen seritifkamızın bilgilerini inceliyoruz burada sertifikanın alınış tairh/saati ve ne zaman biteceği gibi bilgileri görebilirsiniz.Let's Encrypt ile Exchange 2019 için Ücretsiz SSL Sertifika Kurulumu 12Browser üzerinde sertifikamızın aktif olduğunu artık web sayfalarının ssl hatası vermediğini görebilirsiniz.Let's Encrypt ile Exchange 2019 için Ücretsiz SSL Sertifika Kurulumu 13

Görünen sertifika bilgilerini baktığımızda tüm detaylara ulaşabilirsiniz.

Webden Sertifika kontrolü

https://www.digicert.com/help/ adresine girip alan adımızı yazıyoruz ve gerekli kontrolleri bitir meşini bekliyoruz eğer bir eksiklik yada yanlış yapılandırma varsa sayfa bize gerekli bilgileri verecek.

Let's Encrypt ile Exchange 2019 için Ücretsiz SSL Sertifika Kurulumu 14

 

Görüldüğü gibi DNS,TLS kontrollerinden sorunsuzca geçtik

Bir başka kontrol

https://www.ssllabs.com/ssltest adresine girerek sitemizi burada da kontrol den geçirelim.

Let's Encrypt ile Exchange 2019 için Ücretsiz SSL Sertifika Kurulumu 15

Let's Encrypt ile Exchange 2019 için Ücretsiz SSL Sertifika Kurulumu 16

Win-acme Otomatik sertifika yenileme

Win acme tool umuz bize bedava sertifika vermenin yanında bir güzellik daha yapıyor Jtümbu işlemleri yaparken Windows Task Schedule’a bir task oluşturup her gün sizin sertifikanızın süresinin dolup dolmadığının kontrolünü yapıyor.Let's Encrypt ile Exchange 2019 için Ücretsiz SSL Sertifika Kurulumu 17

Win-ACME bilgilerini nerede saklar?

Win-acme kurulduktan ve bir kez çalıştırdıktan sonra “% programdata%” ‘da win-acme adında yeni bir klasör oluşturuyor (Bu genellikle C sürücüsünde gizli bir klasördür) tüm ayarlarınız oradadır, öyleyse Yanlış e-posta adresi girmek gibi bir hata yaparsanız, bu klasörü silebilir ve yeniden başlayabilirsiniz.

Win-Acme tool Silme işlemi

Win-acme tool ve Exchange server üzerindeki seritika ve tanımları nasıl silinir.

  1. Sertifikayı Exchange Admin Center’dan kaldırın.
  2. Win-acme klasörünü % Programdata% ‘dan kaldırın.
  3. Zamanlanmış güncelleme görevini “Görev Ayırıcı” dan silin.

Özet

Bu makalede, Win-acme istemcisini bir Exchange Server 2019 için Let’s Encrypt SSL SAN sertifikalarının yenilenmesini istemek, yüklemek ve planlamak için nasıl kullanacağınızı inceledik. Bunu yapmanın etkileşimli menü olarak ve komut satırı yöntemi ile iki yolla da inceledik.

Ayrıca, SAN sertifikasının doğru şekilde yüklendiğini ve Exchange hizmetleri tarafından kullanıldığını test etmenin ve onaylamanın birkaç farklı yolunu da öğrendiniz. Bu makalede sağlanan adımlar yalnızca sertifikayı tek bir Exchange 2019 sunucusuna yükleme prosedürünü kapsıyordu.

Birden fazla Exchange sunucusu dağıtımınız varsa, sertifikayı export ederek kuruluşunuzdaki diğer Exchange sunucularına da taşıyabilirsiniz.

Umarım Faydalı olmuştur teşekkürler!

 

Serdar Bayram

Bu yazı blog üzerinde Serdar Bayram tarafından hazırlanıp paylaşılmıştır. 2009 yılında açılan blogum kısa zaman içerisinde paylasımları ile dikkat cekip büyük bir izleyici kitlesine sahip olmuştur.

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu