Exchange 2007 CAS sunucu, kurulum esnasında kendi ürettiği SSL sertifikasını kullansa da, varsayılan olarak hiçbir web tarayıcısı bu sertifikayı güvenilir olarak tanımayacağından üçüncü parti bir kuruluştan yeni bir sertifika alma gerekliliği duydum. Bunun için godaddy.com adresine girdim ve yeni bir sertifika alacağım. Bunun için CAS sunucumuzda oluşturduğumuz sertifika isteğini godaddy sayfasında girmemiz gerekecek. Bu isteği Exchange Powershell’den değil IIS7 arayüzünden yaptım.
Sertifika isteğini oluşturmak için direkt CAS sunucusundaki IIS7 arayüzünden sunucu isminin üzerine geldim ve sağ taraftaki “Server Certificates” linkine çift tıkladım. Burada en sağ taraftaki “Create certificate request…” linkine tıklayarak, açılan sihirbazda istenen bilgileri girdim (bu bilgiler içerisinde FQDN de var. Ben bunun için mail.mstip.com değerini girdim) ve bir txt dosyası oluşturdum. Bu dosyayı da godaddy.com’da request alanına yazarak cevabı bekledim. Bu siteden gelen eposta’ya istinaden onay verdim ve artık sertifikayı indirebiliriz.
Şekil 1: Sertifika talep sihirbazı
Esasında Exchange’in farklı hizmetleri için (autodiscover, owa vs) ayrı ayrı linklere denk gelen tek bir sertifika yüklenmesi anlatılmış hemen hemen tüm Microsoft dökümanlarında. Bu sertifika Exchange 2007 ile gelen yeni bir sertifika türü ve adı da SAN (Subject Alternative Name) sertifika. Temelde yaptığı iş ise birkaç farklı linki (Örn: mail.mstip.com, email.mstip.com, autodiscover.mstip.com vs) tek bir sertifika içerisinde barındırması. Fakat ben çoğunlukla daha uygun bir fiyata gelsin diye tek bir sertifika alıp, bu farklı hizmetleri tek bir FQDN üzerinden ayarlayacağım.
Sertifikaları indirdikten sonra (sertifikaları diyorum zira godaddy.com’dan iki adet sertifika indiriliyor. Bunlardan birincisi godaddy intermediate sertifika, digeri ise bizim için üretilen gerçek sertifika), önce godaddy intermediate sertifikayı CAS sunucumuz üzerine import ediyorum. Bunun için CAS sunucusu local sertifika konsolunu açıyor (start -> mmc -> File -> add/remove snap-in -> certificates) ve burada Intermediate Certificate -> Certificates kısmında sağ taraftaki boş alana sağ tıklayarak Import diyorum ve godaddy’den gelen Intermediate sertifikayı gösteriyorum.
Şekil 2: godaddy intermediate sertifika
Daha sonra da mail.mstip.com sertifikasını yuklemek için tekrar IIS7 arayüzüne gidiyorum. Burada request yaptığımız aynı yerden “Complete certificate request…” linkine tıklayarak sertifikayı yüklüyorum. Fakat bununla iş bitmiyor. Sertifikayı site’mize bind etmem (bağlamam) gerekiyor. Bunun için de “Default web site” üzerine tıkladıktan sonra en sağ taraftaki menüden “Bindings…” linkine tıklıyorum. Açılan pencerede https seçip Edit butonuna basıyorum ve SSL certificate yazan listede eklemiş olduğum yeni sertifikamı seçiyorum. Pencerelerin hepsini OK ile kapattıktan sonra komut satırından iisreset yapıyorum ve olayı noktalıyorum. Artık sertifikası hazır, OWA’lık yapmaya nazır bir CAS sunucumuz var :).
Şekil 3: SSL sertifikasının varsayılan web sitesine bağlanması (binding)
ExBPA çalıştırmanın sırası şimdi. Bakalım şu ana kadar ki kurulumlarımızda herhangi bir problemimiz var mı? CAS sunucu üzerinde ExBPA çalıştırdığımda <’ClientAccessRole’ configured partially> hatası veriyor. Ben bunun kayıt defteri tarafındaki bir değer yüzünden olduğunu düşünüyorum zira Exchange 2007 kurulumu esnasında, kurulumun tamamlanıp tamamlanmadığını belirleyebilme adına kayıt defterine değer giriyor. Kayıt defteri tarafında “ClientAccessRole” (tırnaklar hariç) kelimesini aratıyorum.HKLM\SOFTWARE\Microsoft\Exchange\v8.0\ClientAccessRole ve HKLM\SOFTWARE\Wow6432Node\Microsoft\Exchange\v8.0\ClientAccessRole altında bulunan Watermark ve Action ismindeki girdileri siliyorum (her ihtimale karşı kayıt defteri anahtarlarını export komutuyla yedekleyerek). Ayrıca buralara Exchange Server 2007 SP2 için ConfiguredVersion isminde 8.2.176.2 değerine sahip bir String Value anahtar oluşturuyorum. CAS sunucumuzu yeniden başlattıktan sonra ExBPA çalıştırdığımda artık sorun gözükmüyor. Artık CAS üzerinde çalıştırdığım tüm ExBPA testleri (health, performance, connectivity) sorunsuz. Herhangi bir hata artık almıyorum.
Not: Kayıt defterinde değişiklik yapmak riskli bir iştir. Bu açıdan dikkat edilmesinde fayda var. Ben sorun teşkil etmeyeceğini düşündüğümden bu tür bir işe kalkıştım. Siz eğer böyle birşey yapacaksanız riski size aittir.
Yeni CAS sunucumuz çalışıyor mu çalışmıyor mu diye kontrol etmekte fayda var tabii ki. Hemen herhangi bir kullanıcı adıyla yeni OWA arayüzümüze bağlanıyoruz (mail.mstip.com) ve testimizi yapıyoruz (bu esnada söylemeyi unuttum. mail.mstip.com adresinin DNS üzerinde kaydının oluşturulması gerekiyor. Yoksa bağlantı kurmanız biraz güçleşebilir :) ). İlk oturum açma ekranı Exchange 2007’nin yeni ekranı. Oturumu açtıktan sonra ise, posta kutumuz Exchange 2003’de olduğundan dolayı, eski Exchange 2003 arayüzü geliyor. Yani şu an için yaptığımız yeni CAS sunucumuzla eski posta kutularına bağlanmak oluyor.
Esasen şu an itibarıyla test etmek istediğim kullanıcıları bu arayüzden posta kutularına eriştirmeye başlayabilirim. Zira belli bir test aşamasından sonra eski Exchange 2003 frontend sunucumu devre dışı bırakacağım. Bu test süresi için 3-5 gün yeterli diye düşünüyorum.
Şekil 4: Exchange 2007 OWA giriş ekranı
Artık OWA erişimleri için mail.mstip.com URL’si için kullandığım bir SSL sertifikam avr. Fakat ben bu sertifikayı diğer başka servisler için de kullanmak istiyorum (hatırlarsanız sertifikamız SAN sertifika değildi). Bunu istememin bir nedeni de Outlook istemcilerde karşılaşmış olduğum sertifika uyarıları. Bu uyarı yazıları OK tuşuna basarak geçiliyor fakat yine de uyarı yazıları can sıkıcı. Şekil 5’de uyarı yazısı görülebilir:
Şekil 5: Outlook istemcisinde çıkan sertifika uyarı yazısı
Bu problemden kurtulmak için Exchange 2007 servislerinin kullandığı etki alanı isimlerini yeniden yapılandırıyorum. Exchange Management Shell içerisinde çalıştırdığım komutlar aşağıdaki gibi. Bu komutlarla her servise ayrı ayrı kullanmaları gereken URL’yi söylemiş oluyorum:
1.komut: Get-ExchangeCertificate
Thumbprint Services Subject
———- ——– ——-
BDE672C3AACE2586BA7786XXXXXXXXXXA346A9 SIP.W CN=mail.mstip.com
2.komut: Enable-exchangecertificate -services IIS -Thumbprint BDE672C3AACE2586BA7786XXXXXXXXXXA346A9
Bu komut ile IIS servisine SSL kullanması gerektiğini söylüyorum. Bu işlemden sonra da Autodiscover servisinin kullanacağı URL’yi tanımlıyorum. Bunun için önce üçüncü komutu çalıştırarak halihazırda kullanılan URL’yi öğreniyorum:
3.komut: Get-ClientAccessServer -Identity CAS | FL
Aşağıdaki satır, karşımıza gelen satırlar arasında bulunuyor (esas komut çıktısı daha uzun);
AutoDiscoverServiceInternalUri : https://CAS/Autodiscover/Autodiscover.xml
Dördüncü komutla URL’yi istediğim şekile getiriyorum:
4.komut: Set-ClientAccessServer -Identity CAS -AutoDiscoverServiceInternalUri https://mail.mstip.com/Autodiscover/Autodiscover.xml
Dördüncü komut sonrası artık Outlook istemcisi tarafında uyarı yazısı sayısı bire indi. Altıncı komut sonrası da artık uyarı almıyorum.
5.komut: Set-WebServicesVirtualDirectory -Identity “CAS\EWS (Default Web Site)” -InternalURL https://mail.mstip.com/EWS/Exchange.asmx -BasicAuthentication:$true
6.komut: Set-OABVirtualDirectory -Identity “CAS\OAB (Default Web Site)” -InternalURL https:// mail.mstip.com /OAB
Bugünlük de bu kadar. CAS sunucumuza SSL sertifikamızı tanıttık ve ilk bağlantımızı yaptık. Ayrıca Exchange sunucunun kullandığı bir takım diğer servisleri de, bu SSL sertifikayı kullanabilecekleri gibi ayarladık. Şimdilik hoşçakalın.
RSS feed for comments on this post.
