search
Categories
Sponsors
VirtualMetric Hyper-V Monitoring, Hyper-V Reporting
Archive
Blogroll

Badges
MCSE
Community

Cozumpark Bilisim Portali
Exchange Server 2007 üzerinde SSL yapılandırması
Posted in Exchange Server | 2 Comments | 7,766 views | 23/08/2009 16:15

Şirket dışından Outlook ile Exchange Server’a bağlanmaya çalıştığınızda, kullanılmakta olan sertifikanın sadece Active Directory yapısı içersinde güvenilir olması nedeniyle SSL bazlı hatalar alırsınız. Bu hatalar, Outlook’un geç bağlanmasına, yavaş çalışmasına hatta bağlantı kopmalarına neden olur. Şimdi Exchange Server 2007 için SSL yapılandırmasının nasıl olması gerektiğine bakalım.

Öncelikle external network’ten erişim sağlayan kullanıcıların tarayıcılarının sorunsuzca tanıyabileceği bir güvenlik sertifikası edinmemiz gerekiyor. Güvenlik sertifikanızı, çok uygun bir fiyata, Radore Hosting’den temin edebilirsiniz. Yıllık 29$ + KDV’ye satılan AlphaSSL sertifikaları, GlobalSign güvencesinde olup, tarayıcılar üzerinde sorunsuz çalışmaktadır. Satın alma sayfasına aşağıdaki bağlantıdan ulaşabilirsiniz:

Güvenlik sertifikamızı satın alabilmemiz için öncelikle Exchange Server üzerinden CSR kodumuzu oluşturmalıyız. CSR kodunu oluşturabilmek için Exchange Management Shell’i açmamız gerekiyor. Exchange Management Shell’i, Başlat menüsü altından çalıştırabilirsiniz.

Capture1

Exchange Management Shell açıldıktan sonra aşağıdaki Powershell komutu ile SSL başvurusu yapmamız gerekiyor.

New-ExchangeCertificate -GenerateRequest -Path c:\Exchange.csr -KeySize 2048 -SubjectName "c=TR, s=Metrocity, l=Istanbul, o=Radore Telekom, ou=IT, cn=exchange.radore.net"

AlphaSSL’den satın alacağımız için sertifika başvurusuna SAN’ları eklemedim. Sertifikalardaki SAN’ın açılımı, Subject Alternative Names olup, farklı subdomain’ler için de sertifikanızın geçerli olmasını sağlamaktır. Örneğin http://rh.com.tr için yapılan bir SSL başvurusunda, http://www.rh.com.tr adresine giden ziyaretçilerin SSL hatası almaması için www.rh.com.tr adresi SAN olarak sertifika başvurusuna eklenmelidir. Eğer Active Directory üzerinde kurulu bir sertifika sunucusundan sertifikanızı basacaksanız, SAN isimlerini de ekleyerek, SSL başvurunuzu yapabilirsiniz. Aşağıdaki bağlantıdan, Exchange Server için hızlı bir şekilde sertifika başvurusu oluşturmanız mümkün.

Yalnız biz External Network’teki kullanıcıların sorunsuz erişimini sağlamaya çalıştığımız için SAN ile ilgilenmiyoruz. Bu yüzden yukarda vermiş olduğum “New-ExchangeCertificate” komutunu kullanarak sertifika başvurunuzu yapmanız yeterli olacaktır. Komutu çalıştırmanız sonrasında “C:\Exchange.csr” içersinde, sertifika başvurunuzu yapabilmeniz için gereken CSR kodlarını bulabilirsiniz. Bu CSR kodları ile Radore Hosting üzerinden SSL başvurunuzu yapmanız gerekiyor. SSL başvurunuzu tamamladığınızda email adresinize onay maili gönderilecek. Bu maili onayladıktan sonra Radore’den tarafınıza sertifika dosyanızın ulaştırılmış olması gerekiyor. Size gönderilmiş olan mail içersindeki “CERT (PKCS7)” kodlarını, bir txt içersine atıp, dosyanın adını “Exchange.p7b” yaparak, C:\ içersine kaydedin. Şimdi Exchange Management Shell’e giderek, SSL başvurusunu tamamlayabiliriz.

Import-ExchangeCertificate -path C:\Exchange.p7b | Enable-ExchangeCertificate -Services IMAP, POP, UM, IIS, SMTP

Yukardaki komutu çalıştırdığınızda hata almıyorsanız, sertifikanın yüklenmesi tamamlanmış anlamına gelmektedir. Sertifikanın import edilmesi sonrası Servis hatası alıyorsanız, IMAP, POP, UM, IIS ya da SMTP servislerinden bir tanesini kullanmadığınız anlamına gelir. Herhangi bir şey yapmanıza gerek kalmadan kalan işlemlere devam edebilirsiniz. Aşağıdaki komutları, External URL’nize göre düzenleyerek, Exchange Management Shell üzerinden çalıştırın.

1
2
Set-ClientAccessServer -id SunucuAdi -AutoDiscoverServiceInternalUri https://exchange.radore.net/autodiscover/autodiscover.xml
Set-AutodiscoverVirtualDirectory -Identity "autodiscover (default web site)" -ExternalUrl http://exchange.radore.net/Autodiscover/autodiscover.xml

Şimdi Exchange Management Console’u açalım ve satın almış olduğumuz SSL’e ait CN’e uygun olarak, External URL’leri ayarlamaya devam edelim. Server Configuration altında bulunan Client Access menüsüne geçiş yapalım.

Capture2

Ekran görüntüsünde görebileceğiniz gibi External URL ile Internal URL’yi aynı yaptım. Çünkü iç yapıda da External URL’yi kullanmaya devam ediyoruz. OAB’nın URL’sini ayarladıktan sonra aynı işlemleri OWA ve ActiveSync üzerinde de yaparak, URL işlemlerini tamamlıyoruz. Şimdi sıra Autodiscover sorununu çözmeye geldi. Autodiscover, IIS’te Default Web Site isimli sitenin altında bulunmakta. Default Web Site’a sadece tek sertifika tanımlayabildiğiniz için farklı alan adları ile Outlook üzerinden giriş yapmaya çalıştığınızda SSL sertifikası sorunu yaşamanız normal bir durum. Bu yüzden yeni bir Autodiscover sitesi yaratıp, farklı alan adlarının buraya düşmesini sağlayacağız. Bu site de gelen her bağlantıyı, URL redirect ile SSL’i tanımladığımız sayfaya yönlendirecek. Böylece Outlook, URL ile SSL’i kontrol ederken, bir problem bulamayacak. Şimdi IIS üzerinden, Default Web Site’ın Bindings’ini aşağıdaki gibi düzenleyelim.

Capture5

Ekran görüntüsünde de görebileceğiniz gibi HTTPS’e statik ip tanımlayıp, HTTP’yi de hostname ekledim. Şimdi yeni bir web sitesi oluşturuyorum ve URL redirect ile gelen tüm bağlantıların, External URL’ye yönlendirilmesini sağlıyorum. Bunun için Autodiscover adında yeni bir site oluşturdum. Sitenin altına Autodiscover isimli bir klasör ekledim ve bu klasör altına da Autodiscover.xml isimli boş bir xml dosyası attım. Sonrasında aşağıda da görebileceğiniz gibi HTTP Redirect’i ayarladım.

Capture6

Bu işlemleri tamamladığınızda, OWA ve Outlook üzerinde SSL sorunu yaşamadan, mail alıp göndermeye başlayabilirsiniz. Yalnız şirket dışından Outlook erişimlerinde, Outlook Anywhere yapılandırmasını düzgün yapmış olduğunuza emin olun. Outlook Anywhere hakkında detaylı bilgiyi Bing üzerinden bulabilirsiniz.


Comments (2)

Halil

May 30th, 2010
23:59:24

Merhaba Yusuf Bey,

Windows Server 2003 R2 Ent. OS üzerinde Exchange Server 2007 SP2 kurulu. Sunucuda tek bir Real IP tanımlı. SSL sertifikası olarak GoDaddy’den Turbo SSL aldım.

OWA: Gayet düzgün çalışıyor. https://mail.sunucu.com üzerindne sorunsuz erişilebiliyor.

Outlook Anywhere: External Outlook 2007 Client’ları otomatik konfigürasyona SSL uyarı hatası alıyorlar. https://autodiscover.sunucu.com için SSL yok, mail.sunucu.com için var diye Outlook uyarı mesajı üretiyor.

Yukarıda yazdığınız makaledeki işlemleri yaptım. Autodicover Virtual Directory’i silmeden Autodiscover isimli bir yeni bir WebSite yaratıp redirection yaptım. Acaba nerede hata yapıyorum: ikinci bir Real IP mi tanımlamalıyım?

Halil


admin

June 2nd, 2010
13:40:00

Merhaba Halil Bey,

Evet, ikinci bir real ip tanımlayıp, autodiscover’ın A kaydını bu ip olarak tanımlayıp, IIS üzerindeki header’ı da buna göre düzenlemelisiniz. Amaç, autodiscover için gelen tüm request’lerin IIS’te bulunan yeni yarattığınız Autodiscover website’ına gelmesidir.

Blog’ta autodiscover için bir kaç ayar daha olması lazım, onlara da göz atabilirsiniz.

Saygılarımla,

Yusuf Ö.



Leave a Reply