Forum

Exchange 2013 SSL s...
 
Bildirimler
Hepsini Temizle

[Çözüldü] Exchange 2013 SSL sertifika yenileme

24 Yazılar
8 Üyeler
0 Reactions
3,606 Görüntüleme
(@servertunca)
Gönderiler: 119
Estimable Member
Konu başlatıcı
 

herkese merhabalar,

Exchange 2013 kurulumu sırasında global ssl sertifikası yüklemiştik. bu global ssl içerisinde abc.local gibi lokal uzantılı alan adımız, sunucuların exchsrv.abc.local adresleri ve global mail erişimini yaptığımız mail.xyz.com gibi adresler mevcut. artık .local gibi lokal alan adı uzantılarının ssl içerisinde ki desteği kalkmış. sertifika yenilemesi yaparken mail.xyz.com ve autodiscover.xyz.com için sertifika almamız gerekecek. bu durumda sertifika sorunu yaşamamak için nelere dikkat etmek gerekir.  domain üyesi olmayıp outlook exhange bağlantısı yaptığımız bilgisayarlarda mevcut.

 

virtual directory alanında ki tüm directorylerin internal ve external adreslerini mail.xyz.com mu yapmam gerekir?

şuan ecp, activesync, oab, owa gibi alanların hem internal hem de external adresleri mail.xyz.com/ şeklinde  

 

ews ve powershell de sadece internal alanları dolu ve exchsrv.abc.local/ şeklinde.

receive connectorlerin hepsinde ki fqdn adreslerinide mail.xyz.com yapmak mı gerekecek?

 

 

 
Gönderildi : 24/08/2015 15:15

(@ugurdemir)
Gönderiler: 9886
Illustrious Member
 

herkese merhabalar,

Exchange 2013 kurulumu sırasında global ssl sertifikası yüklemiştik. bu global ssl içerisinde abc.local gibi lokal uzantılı alan adımız, sunucuların exchsrv.abc.local adresleri ve global mail erişimini yaptığımız mail.xyz.com gibi adresler mevcut. artık .local gibi lokal alan adı uzantılarının ssl içerisinde ki desteği kalkmış. sertifika yenilemesi yaparken mail.xyz.com ve autodiscover.xyz.com için sertifika almamız gerekecek. bu durumda sertifika sorunu yaşamamak için nelere dikkat etmek gerekir.  domain üyesi olmayıp outlook exhange bağlantısı yaptığımız bilgisayarlarda mevcut.

 

virtual directory alanında ki tüm directorylerin internal ve external adreslerini mail.xyz.com mu yapmam gerekir?

şuan ecp, activesync, oab, owa gibi alanların hem internal hem de external adresleri mail.xyz.com/ şeklinde  

 

ews ve powershell de sadece internal alanları dolu ve exchsrv.abc.local/ şeklinde.

receive connectorlerin hepsinde ki fqdn adreslerinide mail.xyz.com yapmak mı gerekecek?

 

 

Selamlar,

Set-ClientAccessServer -Identity CAS_Server_Name -AutodiscoverServiceInternalUri https://mail.contoso.com/autodiscover/autodiscover.xml

Set-WebServicesVirtualDirectory -Identity “CAS_Server_Name\EWS (Default Web Site)” -InternalUrl https://mail.contoso.com/ews/exchange.asmx

Set-OABVirtualDirectory -Identity “CAS_Server_Name\oab (Default Web Site)” -InternalUrl https://mail.contoso.com/oab

Set-UMVirtualDirectory -Identity “CAS_Server_Name\unifiedmessaging (Default Web Site)” -InternalUrl https://mail.contoso.com/unifiedmessaging/service.asmx
( Eğer ortamınızda Exchange 2010 kullanıyorsanız bu komutu çalıştırmanıza gerek yok. )

IIS Manager penceresini açın. Ardından Application Pools kısmına gelin. Burada MSExchangeAutodiscoverAppPool sağ tuş Recycle tıklayın.
Not: CAS_Server_Name içerideki bulunan exchange sunucunuzun adı, diğer https://mail.contoso.com şeklinde yazılanlar ise exchange serverınıza dışarıdan erişitiğiniz isim.Y ukarıdaki işlemleri kendi domain isminize göre düzenleyip EMS üzerinden çalıştırın. outlooklar bağlanırken hata vermeyecektir.

 
Gönderildi : 30/08/2015 02:51

(@servertunca)
Gönderiler: 119
Estimable Member
Konu başlatıcı
 

Bilgi için çok teşekkürler Uğur hocam.

receive connectorler altında bulunana FQDN isimleri ile ilgili bir çalışma yapmaya gerek var mı? 

 
Gönderildi : 08/09/2015 13:09

(@turancoskun)
Gönderiler: 4100
Üye
 

merhaba,

uğur hocamın belirttiklerine uyguladığınız takdirde, herhangi bir sorun ile karşılaşmayacaksınız.

ayrıca, global sertifika kuruluşlarından tercihinize göre başvurup, tüm süreç ile ilgili destek ve kaynakta alabilirsiniz.

keyifli çalışmalar

 

****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 08/09/2015 13:30

(@cozumpark)
Gönderiler: 16307
Illustrious Member Yönetici
 

merhaba

local isimler dışında diğer public isimleri SSL request içine koymalısın.

global dns üzerinde bir srv kaydı açarsan da faydalı olacaktır autodisover vs için.

 
Gönderildi : 10/09/2015 00:32

(@ServetALKAN)
Gönderiler: 3
New Member
 

herkese merhabalar,

Exchange 2013 kurulumu sırasında global ssl sertifikası yüklemiştik. bu global ssl içerisinde abc.local gibi lokal uzantılı alan adımız, sunucuların exchsrv.abc.local adresleri ve global mail erişimini yaptığımız mail.xyz.com gibi adresler mevcut. artık .local gibi lokal alan adı uzantılarının ssl içerisinde ki desteği kalkmış. sertifika yenilemesi yaparken mail.xyz.com ve autodiscover.xyz.com için sertifika almamız gerekecek. bu durumda sertifika sorunu yaşamamak için nelere dikkat etmek gerekir.  domain üyesi olmayıp outlook exhange bağlantısı yaptığımız bilgisayarlarda mevcut.

 

virtual directory alanında ki tüm directorylerin internal ve external adreslerini mail.xyz.com mu yapmam gerekir?

şuan ecp, activesync, oab, owa gibi alanların hem internal hem de external adresleri mail.xyz.com/ şeklinde  

 

ews ve powershell de sadece internal alanları dolu ve exchsrv.abc.local/ şeklinde.

receive connectorlerin hepsinde ki fqdn adreslerinide mail.xyz.com yapmak mı gerekecek?

 

 

Selamlar,

Set-ClientAccessServer -Identity CAS_Server_Name -AutodiscoverServiceInternalUri https://mail.contoso.com/autodiscover/autodiscover.xml

Set-WebServicesVirtualDirectory -Identity “CAS_Server_Name\EWS (Default Web Site)” -InternalUrl https://mail.contoso.com/ews/exchange.asmx

Set-OABVirtualDirectory -Identity “CAS_Server_Name\oab (Default Web Site)” -InternalUrl https://mail.contoso.com/oab

Set-UMVirtualDirectory -Identity “CAS_Server_Name\unifiedmessaging (Default Web Site)” -InternalUrl https://mail.contoso.com/unifiedmessaging/service.asmx
( Eğer ortamınızda Exchange 2010 kullanıyorsanız bu komutu çalıştırmanıza gerek yok. )

IIS Manager penceresini açın. Ardından Application Pools kısmına gelin. Burada MSExchangeAutodiscoverAppPool sağ tuş Recycle tıklayın.
Not: CAS_Server_Name içerideki bulunan exchange sunucunuzun adı, diğer https://mail.contoso.com şeklinde yazılanlar ise exchange serverınıza dışarıdan erişitiğiniz isim.Y ukarıdaki işlemleri kendi domain isminize göre düzenleyip EMS üzerinden çalıştırın. outlooklar bağlanırken hata vermeyecektir.

Merhaba Hocam,

UCC SSL sertifikaların .local uzantıyı desteklemediği için hala 1 yıl süresi olan sertifika iptal edildi. Bende yeni UCC SSL sertifika alarak (.local uzantılar olmadan, sadece mail.domain.com.tr ve autodiscover.domain.com.tr olarak) Exchange server'a yükledim. Yukarıda bahsedildiği gibi EMS üzerinde gerekli kodları çalıştırdım (Set-UMVirtualDirectory komutu hata verdi, sanırım Exchange 2013 olmasından kaynaklı)

Fakat https://mail.domain.com.tr/owa normal çalışırken Outlook'a bağlantısı yaparken sertifika hatası alıyorum.

Hata : Ara sunucunun güvenlik sertifikasıyla ilgili bir sorun var. Güvenlik sertifikasındaki ad geçersiz veya EXC13.domain.local hedef sitesinin adıyla eşleşmiyor. Outlook ara sunucuya bağlanamıyor (Hata Kodu : 10)

Bu hatanın devamında da Güvenlik Uyarı çıkıyor. 

Bu narağmen de Outlook çalışıyor ve gelen mailleri görüyor ve mail gönderebiliyorum.

Bu hataların çıkmaması için bir öneriniz var mıdır?

Şimdiden teşekkür ederim. 

 

 

 
Gönderildi : 03/11/2015 03:34

(@ugurdemir)
Gönderiler: 9886
Illustrious Member
 

Hata uyarısnın ekran görüntüsünü koyarmısınız? internal name .domain.local externale name domain.com ise yukarıdaki komutlar ile olmalı.

Kolay gelsin.

 
Gönderildi : 03/11/2015 13:36

(@ServetALKAN)
Gönderiler: 3
New Member
 

Aldığım hata aşağıdadır.

Ayrıca ECP üzerinde Sunucular -> Sanal Dizinler bölümünde bulunan (ECP, EWS, ActiveSync, OAB, OWA) hepsinin ayarlarında iç ve dış url leri https://mail.domain.com.tr  (dış url'miz) olarak değiştirdim. Değişiklikten sonra sağ taraftaki "Hata Kodu : 10" hatası vermemeye direk bağlanmaya başladı, fakat sertifika hatası hala vermekte ve maillerim çalışmaktadır.

Bu konuda bir öenriniz var mıdır Hocam?

Teşekkür ederim.

 

 
Gönderildi : 03/11/2015 16:24

(@servertunca)
Gönderiler: 119
Estimable Member
Konu başlatıcı
 

Servet Bey merhaba,

yeni yüklediğiniz ssl sertifikasını ECP>certicates> assigned to services kısmında IMAP,POP,IIS ve SMTP için aktif ettiğiniz mi? birde IIS tarafında ki default web site altında ki sertifika eski sertifikayı kullanıyor olabilir mi?

 

 
Gönderildi : 03/11/2015 18:13

(@ServetALKAN)
Gönderiler: 3
New Member
 

Merhaba Server Bey,

Bahsettiğiniz ayarlamaları sertifikayı yüklediğimde yapmıştım.

Şuan bende bir sıkıntı yok gibi görünüyor, yarın kullanıcılardan gelecek şikayetlere göre hareket edeceğim.

Yardımlarınız için herkese teşekkür ederim.

 
Gönderildi : 03/11/2015 23:33

(@sgnblt)
Gönderiler: 205
Reputable Member
 

Merhaba Servet bey aynı sorun şuan bizdede söz konusu yeni sertifikalarda local için sertifika oluşturulamıyor denilmişti bu sorunu nasıl aşabildiniz ve ben nasıl çözebilirim bu sorunu?

 
Gönderildi : 04/11/2015 12:51

(@davuteren)
Gönderiler: 1583
Noble Member
 

Yukarıda Uğur Demir'in yazdıklarını uyguladınız mı ? sertifikayı gerekli servislere assign ettiniz mi?

 
Gönderildi : 04/11/2015 13:27

(@sgnblt)
Gönderiler: 205
Reputable Member
 

Uğur beyin verdiği komutları yapmadım (exchange management shell den yapııyor değilmi) ama servisleri assign ettim  (IMAP, POP, IIS, SMTP )

 
Gönderildi : 04/11/2015 13:39

(@servertunca)
Gönderiler: 119
Estimable Member
Konu başlatıcı
 

Ömer Bey,

öncelikle exchange tarafında yeni bir sertifika oluşturmanız gerekiyor. bu sertifika içerisinde global alan adınız/adlarınız olmalı.(mail.domain.com vb.) sertifikayı exchange için aldığınızı belirtirseniz sertifika sağlayıcı firmalar autodiscover kaydını otomatik olarak sertifika içerisine gömüyorlar.

sertifika isteğini yaptığınız da ecp>certificates alanında pending durumunda bir istek oluşuyor. sertifika sağlayıcınızdan aldığınız sertifikayı pending durumunda bekleyen işlemi seçerek isteği tamamlayıp sertifikayı sunucuya yüklüyorsunuz. bu sertifikanın detayında ki services alanında smtp, imap,pop ve iis servislerinde akitf olsun diyerek devreye alıyorsunuz. bir DAG yapınız varsa sertifikayı exchange üzerinden export edip yine ecp ekranından diğer sunucuları seçerek import edebilirsiniz.

 

virtual directory ekranında ki 

ecp, ews, activesync, oab, owa alanlarının internal ve external url alanlarını sertifika içerisiğinde ki adres olarak (mail.domain.com) güncellemek gerekiyor.

exchange powershell ekranında 

Set-ClientAccessServer -Identity CAS_Server_Name -AutodiscoverServiceInternalUri  https://mail.domain.com/autodiscover/autodiscover.xml

calıştırmalısınız.

IIS tarafında default web site altında kullanılmakta olan sertifikanın yeni sertifikanız olup olmadığınu kontrol edin. değilse yeni sertifikayı seçerek güncelleyin.

ek olarak public dns üzerinde autodiscover kaydı için srv kaydı oluşturmanız iyi olacaktır.

eski sertifikayı ecp üzerinden siliyorsunuz. IIS tarafından da silindiğini kontrol etmeniz iyi olacaktır.

ilgili servisleri veya sunucuyu restart etmek gerekecektir.

ben bu şekilde yaptım. sorunsuz bir şekilde sertifikamız yenilendi. son kullanıcılarda herhangi bir sertifika uyarsı almadık.

 
Gönderildi : 04/11/2015 13:51

(@sgnblt)
Gönderiler: 205
Reputable Member
 

CSR oluşturduk yarım saate kadar turktrusttan sertifika gelicek ama lokal için kendiniz lokal sertifikası üretmelisiniz dediler lokalde bağlanan outlook kullanıcıları xxx.xxx.local için sertifika hatası almaya devam edebilir dediler öncelikle sertifika gelsin yüklemeyi yapayım duruma göre tekrar sizlerden bilgi rica edicem.

 
Gönderildi : 04/11/2015 14:14

(@servertunca)
Gönderiler: 119
Estimable Member
Konu başlatıcı
 

Sezgin Bey,

lokal sertifika üretmeniz gerek olduğunu düşünmüyorum. public bir sertifika alırsanız ve sertifika içersinde ki adları lokal kullanıcılarınız çözümlerse sorun olmayacaktır. .lokal uzantılı adresleriniz mi mevcut acaba?

 
Gönderildi : 04/11/2015 15:54

(@davuteren)
Gönderiler: 1583
Noble Member
 

uğur demir'in verdiği kodları exchange management shell üzerinden çalıştırırsanız herhangi bir local sertifikaya gerek olmayacaktır. tüm trafik internet üzerinden akacaktır.

 
Gönderildi : 04/11/2015 16:05

(@sgnblt)
Gönderiler: 205
Reputable Member
 

Sezgin Bey,

lokal sertifika üretmeniz gerek olduğunu düşünmüyorum. public bir sertifika alırsanız ve sertifika içersinde ki adları lokal kullanıcılarınız çözümlerse sorun olmayacaktır. .lokal uzantılı adresleriniz mi mevcut acaba?

 

sanal olarak 1 ad active directory birde exchange serverımız var

Bu süresi dolan eski sertifikamız

eski sertifika

 

sertifika sağlayıcı firmanın konu ile ilgili verdiği bilgi

"Burada belirtmem gereken iki husus var;

1)Uluslararası standartlar artık SSL sertifikalarında local sunucuların (“idfmail.idf.local “) yazılmasına izin vermiyor,

2)”idfmail” kendi başına bir domain adı olmadığından sertifikaya yazılamaz."

local uzantılı kullanıcılarımız yok bildiğim kadarı ile.

 

 

bu ekrandada outlook açtığımızda alınan sertifika hatası

 

 

uğur demir'in verdiği kodları exchange management shell üzerinden çalıştırırsanız herhangi bir local sertifikaya gerek olmayacaktır. tüm trafik internet üzerinden akacaktır.

bu bilgiler doğrultusunda Uğur beyin verdiği kodlar çözermi?

 
Gönderildi : 04/11/2015 16:40

(@servertunca)
Gönderiler: 119
Estimable Member
Konu başlatıcı
 

Yapılacak işlem Uğur Bey'in benim anlattığım gibi. virtual directory de  sertifikanız içerisiniz de mail.idf.com.tr ve autodiscover.idf.com.tr adlarının bulunması yeterli oluyor.

 
Gönderildi : 04/11/2015 17:50

Sayfa 1 / 2
Paylaş: