[Çözüldü] Exchange 2013 SSL sertifika yenileme

herkese merhabalar,

Exchange 2013 kurulumu sırasında global ssl sertifikası yüklemiştik. bu global ssl içerisinde abc.local gibi lokal uzantılı alan adımız, sunucuların exchsrv.abc.local adresleri ve global mail erişimini yaptığımız mail.xyz.com gibi adresler mevcut. artık .local gibi lokal alan adı uzantılarının ssl içerisinde ki desteği kalkmış. sertifika yenilemesi yaparken mail.xyz.com ve autodiscover.xyz.com için sertifika almamız gerekecek. bu durumda sertifika sorunu yaşamamak için nelere dikkat etmek gerekir.  domain üyesi olmayıp outlook exhange bağlantısı yaptığımız bilgisayarlarda mevcut.

 

virtual directory alanında ki tüm directorylerin internal ve external adreslerini mail.xyz.com mu yapmam gerekir?

şuan ecp, activesync, oab, owa gibi alanların hem internal hem de external adresleri mail.xyz.com/ şeklinde  

 

ews ve powershell de sadece internal alanları dolu ve exchsrv.abc.local/ şeklinde.

receive connectorlerin hepsinde ki fqdn adreslerinide mail.xyz.com yapmak mı gerekecek?

 

 

Selamlar,

Set-ClientAccessServer -Identity CAS_Server_Name -AutodiscoverServiceInternalUri https://mail.contoso.com/autodiscover/autodiscover.xml

Set-WebServicesVirtualDirectory -Identity “CAS_Server_Name\EWS (Default Web Site)” -InternalUrl https://mail.contoso.com/ews/exchange.asmx

Set-OABVirtualDirectory -Identity “CAS_Server_Name\oab (Default Web Site)” -InternalUrl https://mail.contoso.com/oab

Set-UMVirtualDirectory -Identity “CAS_Server_Name\unifiedmessaging (Default Web Site)” -InternalUrl https://mail.contoso.com/unifiedmessaging/service.asmx
( Eğer ortamınızda Exchange 2010 kullanıyorsanız bu komutu çalıştırmanıza gerek yok. )

IIS Manager penceresini açın. Ardından Application Pools kısmına gelin. Burada MSExchangeAutodiscoverAppPool sağ tuş Recycle tıklayın.
Not: CAS_Server_Name içerideki bulunan exchange sunucunuzun adı, diğer https://mail.contoso.com şeklinde yazılanlar ise exchange serverınıza dışarıdan erişitiğiniz isim.Y ukarıdaki işlemleri kendi domain isminize göre düzenleyip EMS üzerinden çalıştırın. outlooklar bağlanırken hata vermeyecektir.

Bilgi için çok teşekkürler Uğur hocam.

receive connectorler altında bulunana FQDN isimleri ile ilgili bir çalışma yapmaya gerek var mı? 

merhaba,

uğur hocamın belirttiklerine uyguladığınız takdirde, herhangi bir sorun ile karşılaşmayacaksınız.

ayrıca, global sertifika kuruluşlarından tercihinize göre başvurup, tüm süreç ile ilgili destek ve kaynakta alabilirsiniz.

keyifli çalışmalar

merhaba

local isimler dışında diğer public isimleri SSL request içine koymalısın.

global dns üzerinde bir srv kaydı açarsan da faydalı olacaktır autodisover vs için.

herkese merhabalar,

Exchange 2013 kurulumu sırasında global ssl sertifikası yüklemiştik. bu global ssl içerisinde abc.local gibi lokal uzantılı alan adımız, sunucuların exchsrv.abc.local adresleri ve global mail erişimini yaptığımız mail.xyz.com gibi adresler mevcut. artık .local gibi lokal alan adı uzantılarının ssl içerisinde ki desteği kalkmış. sertifika yenilemesi yaparken mail.xyz.com ve autodiscover.xyz.com için sertifika almamız gerekecek. bu durumda sertifika sorunu yaşamamak için nelere dikkat etmek gerekir.  domain üyesi olmayıp outlook exhange bağlantısı yaptığımız bilgisayarlarda mevcut.

 

virtual directory alanında ki tüm directorylerin internal ve external adreslerini mail.xyz.com mu yapmam gerekir?

şuan ecp, activesync, oab, owa gibi alanların hem internal hem de external adresleri mail.xyz.com/ şeklinde  

 

ews ve powershell de sadece internal alanları dolu ve exchsrv.abc.local/ şeklinde.

receive connectorlerin hepsinde ki fqdn adreslerinide mail.xyz.com yapmak mı gerekecek?

 

 

Selamlar,

Set-ClientAccessServer -Identity CAS_Server_Name -AutodiscoverServiceInternalUri https://mail.contoso.com/autodiscover/autodiscover.xml

Set-WebServicesVirtualDirectory -Identity “CAS_Server_Name\EWS (Default Web Site)” -InternalUrl https://mail.contoso.com/ews/exchange.asmx

Set-OABVirtualDirectory -Identity “CAS_Server_Name\oab (Default Web Site)” -InternalUrl https://mail.contoso.com/oab

Set-UMVirtualDirectory -Identity “CAS_Server_Name\unifiedmessaging (Default Web Site)” -InternalUrl https://mail.contoso.com/unifiedmessaging/service.asmx
( Eğer ortamınızda Exchange 2010 kullanıyorsanız bu komutu çalıştırmanıza gerek yok. )

IIS Manager penceresini açın. Ardından Application Pools kısmına gelin. Burada MSExchangeAutodiscoverAppPool sağ tuş Recycle tıklayın.
Not: CAS_Server_Name içerideki bulunan exchange sunucunuzun adı, diğer https://mail.contoso.com şeklinde yazılanlar ise exchange serverınıza dışarıdan erişitiğiniz isim.Y ukarıdaki işlemleri kendi domain isminize göre düzenleyip EMS üzerinden çalıştırın. outlooklar bağlanırken hata vermeyecektir.

Merhaba Hocam,

UCC SSL sertifikaların .local uzantıyı desteklemediği için hala 1 yıl süresi olan sertifika iptal edildi. Bende yeni UCC SSL sertifika alarak (.local uzantılar olmadan, sadece mail.domain.com.tr ve autodiscover.domain.com.tr olarak) Exchange server'a yükledim. Yukarıda bahsedildiği gibi EMS üzerinde gerekli kodları çalıştırdım (Set-UMVirtualDirectory komutu hata verdi, sanırım Exchange 2013 olmasından kaynaklı)

Fakat https://mail.domain.com.tr/owa normal çalışırken Outlook'a bağlantısı yaparken sertifika hatası alıyorum.

Hata : Ara sunucunun güvenlik sertifikasıyla ilgili bir sorun var. Güvenlik sertifikasındaki ad geçersiz veya EXC13.domain.local hedef sitesinin adıyla eşleşmiyor. Outlook ara sunucuya bağlanamıyor (Hata Kodu : 10)

Bu hatanın devamında da Güvenlik Uyarı çıkıyor. 

Bu narağmen de Outlook çalışıyor ve gelen mailleri görüyor ve mail gönderebiliyorum.

Bu hataların çıkmaması için bir öneriniz var mıdır?

Şimdiden teşekkür ederim. 

Hata uyarısnın ekran görüntüsünü koyarmısınız? internal name .domain.local externale name domain.com ise yukarıdaki komutlar ile olmalı.

Kolay gelsin.

Aldığım hata aşağıdadır.

Ayrıca ECP üzerinde Sunucular -> Sanal Dizinler bölümünde bulunan (ECP, EWS, ActiveSync, OAB, OWA) hepsinin ayarlarında iç ve dış url leri https://mail.domain.com.tr  (dış url'miz) olarak değiştirdim. Değişiklikten sonra sağ taraftaki "Hata Kodu : 10" hatası vermemeye direk bağlanmaya başladı, fakat sertifika hatası hala vermekte ve maillerim çalışmaktadır.

Bu konuda bir öenriniz var mıdır Hocam?

Teşekkür ederim.

Servet Bey merhaba,

yeni yüklediğiniz ssl sertifikasını ECP>certicates> assigned to services kısmında IMAP,POP,IIS ve SMTP için aktif ettiğiniz mi? birde IIS tarafında ki default web site altında ki sertifika eski sertifikayı kullanıyor olabilir mi?

Merhaba Server Bey,

Bahsettiğiniz ayarlamaları sertifikayı yüklediğimde yapmıştım.

Şuan bende bir sıkıntı yok gibi görünüyor, yarın kullanıcılardan gelecek şikayetlere göre hareket edeceğim.

Yardımlarınız için herkese teşekkür ederim.

Merhaba Servet bey aynı sorun şuan bizdede söz konusu yeni sertifikalarda local için sertifika oluşturulamıyor denilmişti bu sorunu nasıl aşabildiniz ve ben nasıl çözebilirim bu sorunu?

Yukarıda Uğur Demir'in yazdıklarını uyguladınız mı ? sertifikayı gerekli servislere assign ettiniz mi?

Uğur beyin verdiği komutları yapmadım (exchange management shell den yapııyor değilmi) ama servisleri assign ettim  (IMAP, POP, IIS, SMTP )

Ömer Bey,

öncelikle exchange tarafında yeni bir sertifika oluşturmanız gerekiyor. bu sertifika içerisinde global alan adınız/adlarınız olmalı.(mail.domain.com vb.) sertifikayı exchange için aldığınızı belirtirseniz sertifika sağlayıcı firmalar autodiscover kaydını otomatik olarak sertifika içerisine gömüyorlar.

sertifika isteğini yaptığınız da ecp>certificates alanında pending durumunda bir istek oluşuyor. sertifika sağlayıcınızdan aldığınız sertifikayı pending durumunda bekleyen işlemi seçerek isteği tamamlayıp sertifikayı sunucuya yüklüyorsunuz. bu sertifikanın detayında ki services alanında smtp, imap,pop ve iis servislerinde akitf olsun diyerek devreye alıyorsunuz. bir DAG yapınız varsa sertifikayı exchange üzerinden export edip yine ecp ekranından diğer sunucuları seçerek import edebilirsiniz.

virtual directory ekranında ki 

ecp, ews, activesync, oab, owa alanlarının internal ve external url alanlarını sertifika içerisiğinde ki adres olarak (mail.domain.com) güncellemek gerekiyor.

exchange powershell ekranında 

Set-ClientAccessServer -Identity CAS_Server_Name -AutodiscoverServiceInternalUri  https://mail.domain.com/autodiscover/autodiscover.xml

calıştırmalısınız.

IIS tarafında default web site altında kullanılmakta olan sertifikanın yeni sertifikanız olup olmadığınu kontrol edin. değilse yeni sertifikayı seçerek güncelleyin.

ek olarak public dns üzerinde autodiscover kaydı için srv kaydı oluşturmanız iyi olacaktır.

eski sertifikayı ecp üzerinden siliyorsunuz. IIS tarafından da silindiğini kontrol etmeniz iyi olacaktır.

ilgili servisleri veya sunucuyu restart etmek gerekecektir.

ben bu şekilde yaptım. sorunsuz bir şekilde sertifikamız yenilendi. son kullanıcılarda herhangi bir sertifika uyarsı almadık.

CSR oluşturduk yarım saate kadar turktrusttan sertifika gelicek ama lokal için kendiniz lokal sertifikası üretmelisiniz dediler lokalde bağlanan outlook kullanıcıları xxx.xxx.local için sertifika hatası almaya devam edebilir dediler öncelikle sertifika gelsin yüklemeyi yapayım duruma göre tekrar sizlerden bilgi rica edicem.

Sezgin Bey,

lokal sertifika üretmeniz gerek olduğunu düşünmüyorum. public bir sertifika alırsanız ve sertifika içersinde ki adları lokal kullanıcılarınız çözümlerse sorun olmayacaktır. .lokal uzantılı adresleriniz mi mevcut acaba?

uğur demir'in verdiği kodları exchange management shell üzerinden çalıştırırsanız herhangi bir local sertifikaya gerek olmayacaktır. tüm trafik internet üzerinden akacaktır.

Sezgin Bey,

lokal sertifika üretmeniz gerek olduğunu düşünmüyorum. public bir sertifika alırsanız ve sertifika içersinde ki adları lokal kullanıcılarınız çözümlerse sorun olmayacaktır. .lokal uzantılı adresleriniz mi mevcut acaba?

sanal olarak 1 ad active directory birde exchange serverımız var

Bu süresi dolan eski sertifikamız

sertifika sağlayıcı firmanın konu ile ilgili verdiği bilgi

"Burada belirtmem gereken iki husus var;

1)Uluslararası standartlar artık SSL sertifikalarında local sunucuların (“idfmail.idf.local “) yazılmasına izin vermiyor,

2)”idfmail” kendi başına bir domain adı olmadığından sertifikaya yazılamaz."

local uzantılı kullanıcılarımız yok bildiğim kadarı ile.

bu ekrandada outlook açtığımızda alınan sertifika hatası

uğur demir'in verdiği kodları exchange management shell üzerinden çalıştırırsanız herhangi bir local sertifikaya gerek olmayacaktır. tüm trafik internet üzerinden akacaktır.

bu bilgiler doğrultusunda Uğur beyin verdiği kodlar çözermi?

Yapılacak işlem Uğur Bey'in benim anlattığım gibi. virtual directory de  sertifikanız içerisiniz de mail.idf.com.tr ve autodiscover.idf.com.tr adlarının bulunması yeterli oluyor.