Bu makalede Le’s Encrypt SSL i win-acme tool kullanarak Windows Exchange server 2019 üzerinde yapılandırarak Exchange serverımıza public ve Free bir sertika oluşturacağız.
Bir Exchange kuruluşu harici ve dahili erişim için uygun hale getirildiğinde, sunucuya uygun SSL sertifikası yüklenmelidir.
Bu, Outlook Web App ve ActiveSync gibi URL uç noktalarının uygun şekilde tanımlanmasını (güvenilen sertifika) ve güvenli bir şekilde erişilmesini (şifrelenmiş) sağlamak içindir.

Exchange web hizmetlerine birden fazla ana bilgisayar adı atanması da önerilir ve neredeyse kaçınılmazdır. SMTP, OWA ve Autodiscover (Otomatik Bulma) için Exchange’e en az üç ana bilgisayar adı atanmış olabilir.

Exchange için birden fazla alan adına sahipseniz bir adet (SAN) sertifikasına ihtiyacınız var demektir. SAN sertifikaları, wildcard veya tek isimli sertifika ile karşılaştırıldığında daha pahalıdır.

Neyseki LetsEncrypt Sayesinde SSL SAN sertifikalarını almak için ücretsiz bir alternatif var.

Evet, doğru okudunuz, ÜCRETSİZ! :) hemde Exchange için ve bu makalede, Exchange Server 2019 için SAN SSL sertifikalarını otomatik olarak yenilemeyi, kurmayı ve planlamayı inceliyor olacağız.

Gereksinimler

Bu makalede anlatılanların çalışması için , aşağıdaki ön koşullara sahip olmalısınız.

• Microsoft Exchange Server 2019/2016/2013
• Önceden kurulmuş bir Exchange sunucunuz olmalı ve dahili ve harici URL’ler önceden yapılandırılmış olmalıdır.
• Exchange sunucunuz localde ve publicte ssl hatasıda olsa owa yayını yapıyor ve kendi içindeki mailboxlar arasında mailleşme yapabiliyor olmalıdır.
• SAN sertifikasına dahil edilecek ana bilgisayarlar için iç ve dış DNS kayıtları yapılmış olmalıdır.

Bu makaleye özel olarak, üç ana bilgisayar adı kullanılacaktır.

• mail.sistemcheck.com –>ana sertifika adı
• webmail.sistemcheck.com
• autodiscover.sistemcheck.com

Let’s Encrypt CA tarafından desteklenen bir ACME istemcisidir. Bu makaleye özel olarak, win-acme istemcisini kullanacağız çünkü kullanımı kolay ve çok sayıda dokümantasyona sahiptir. Bu yazı itibariyle en son sürüm 2.1.17.1065‘dır.

WinAcme aracını Buradan yada buradan indirebilirsiniz.

win-acme.v2.1.17.1065.arm64.trimmed.zip dosyamızı indirdikten sonra .rar dan çıkarıp Exchange serverımızın C:\dizini içerisine taşıyoruz

Win-acme kurulum ve yapılandırma

Wacs.exe dosyamızı Run as administrator diyerek çalıştırıyoruz.
Karşımıza gelen ekranda “M” seçeneğini seçerek tüm içeriğini kemizin seçeceği ssl seritifka yaratma menüsünü açıyoruz.Sonraki adımda “2” seçeneğini seçiyoruz ve bize sertika içerisinde bulunmasını istediğimiz isimleri girmemizi istiyor.

Ben aşağıdaki alan adlarını kullanacağım virgül “,” ile ayırarak buraya giriyoruz.
mail.sistemcheck.com,webmail.sistemcheck.com,autodiscover.sistemcheck.comBu adımda Exchange serverınızın doğrulamayı yapabilmesi için 80 ve 443 portlarından external(internet) a yayın yapması ve internetten erişilebilir olması gerekiyor.
Yani :

• Exchange Serverınız için FW tanımları(80,443 NAT ve Security kuralları) yapılmış olmalı.
• Public DNS consolunuzda ilgili A kayıtları oluşturulmuş olmalı.

“2 ” seçeneği ile RSA key oluşturuyoruz.
Aşağıdaki seçenekler ile ilerliyoruz.

Bu adımdan sonra Windows ortamı için win-acme tool içerisinde bulunana Powershell scriptimizi çalıştırıyoruz. Aşağıdaki komutu girerek devam ediyoruz.

./Scripts/ImportExchange.ps1

Soranki adımdaysa sertifikamızın hangi servislerde kullanılacağını aşağıdaki komutu girerek belirtiyoruz.

'{CertThumbprint}' 'IIS,SMTP,IMAP' 1 '{CacheFile}' '{CachePassword}' '{CertFriendlyName}'

Başka bir işlem yapmayacağımız için “4”numaralı menüyü seçerek sertifika oluşturma işlemleirni başlatıyoruz. Ben bu makinede daha önce bir sertifika oluşturduğum için “overwrite” diyerek yeni seritifkayı eskisinin üzerine yazacak.Tüm seritika adımlarını tamamladık artık sertifikamız oluştu “q” seçeneği ile menüden çıkabiliriz.

Win-acme tek komut ile kurulum

Yukarıda konsoldan yaptığımız işlemleri aşağıdaki komut satırını win-acme tool un olduğu dizine girip çalıştırarak ta sağlayabilirsiniz.

Host parametresinde belirtilen ana bilgisayar adlarını değiştirmeyi unutmayın. Aşağıdaki komut, herhangi bir onay olmaksızın etkileşimli yöntemle aynı adımları gerçekleştirecektir.

wacs.exe --target manual --host mail.sistemcheck.com,webmail.sistemcheck.com,autodiscover.sistemcheck.com --certificatestore My --acl-fullcontrol "network service,administrators" --installation iis,script --installationsiteid 1 --script "./Scripts/ImportExchange.ps1" --scriptparameters "'{CertThumbprint}' 'IIS,SMTP,IMAP' 1 '{CacheFile}' '{CachePassword}' '{CertFriendlyName}'"

Exchange server Sertifika kontrolleri

ECP panel kontrolü

Exchange severımızın Yönetim paneline giriyoruz serveràcertificates bölümünden yeni gelen seritifkamızın bilgilerini inceliyoruz burada sertifikanın alınış tairh/saati ve ne zaman biteceği gibi bilgileri görebilirsiniz.Browser üzerinde sertifikamızın aktif olduğunu artık web sayfalarının ssl hatası vermediğini görebilirsiniz.

Görünen sertifika bilgilerini baktığımızda tüm detaylara ulaşabilirsiniz.

Webden Sertifika kontrolü

https://www.digicert.com/help/ adresine girip alan adımızı yazıyoruz ve gerekli kontrolleri bitir meşini bekliyoruz eğer bir eksiklik yada yanlış yapılandırma varsa sayfa bize gerekli bilgileri verecek.

Görüldüğü gibi DNS,TLS kontrollerinden sorunsuzca geçtik

Bir başka kontrol

https://www.ssllabs.com/ssltest adresine girerek sitemizi burada da kontrol den geçirelim.

Win-acme Otomatik sertifika yenileme

Win acme tool umuz bize bedava sertifika vermenin yanında bir güzellik daha yapıyor Jtümbu işlemleri yaparken Windows Task Schedule’a bir task oluşturup her gün sizin sertifikanızın süresinin dolup dolmadığının kontrolünü yapıyor.

Win-ACME bilgilerini nerede saklar?

Win-acme kurulduktan ve bir kez çalıştırdıktan sonra “% programdata%” ‘da win-acme adında yeni bir klasör oluşturuyor (Bu genellikle C sürücüsünde gizli bir klasördür) tüm ayarlarınız oradadır, öyleyse Yanlış e-posta adresi girmek gibi bir hata yaparsanız, bu klasörü silebilir ve yeniden başlayabilirsiniz.

Win-Acme tool Silme işlemi

Win-acme tool ve Exchange server üzerindeki seritika ve tanımları nasıl silinir.

1. Sertifikayı Exchange Admin Center’dan kaldırın.
2. Win-acme klasörünü % Programdata% ‘dan kaldırın.
3. Zamanlanmış güncelleme görevini “Görev Ayırıcı” dan silin.

Özet

Bu makalede, Win-acme istemcisini bir Exchange Server 2019 için Let’s Encrypt SSL SAN sertifikalarının yenilenmesini istemek, yüklemek ve planlamak için nasıl kullanacağınızı inceledik. Bunu yapmanın etkileşimli menü olarak ve komut satırı yöntemi ile iki yolla da inceledik.

Ayrıca, SAN sertifikasının doğru şekilde yüklendiğini ve Exchange hizmetleri tarafından kullanıldığını test etmenin ve onaylamanın birkaç farklı yolunu da öğrendiniz. Bu makalede sağlanan adımlar yalnızca sertifikayı tek bir Exchange 2019 sunucusuna yükleme prosedürünü kapsıyordu.

Birden fazla Exchange sunucusu dağıtımınız varsa, sertifikayı export ederek kuruluşunuzdaki diğer Exchange sunucularına da taşıyabilirsiniz.

Umarım Faydalı olmuştur teşekkürler!