Daha önce ki yazılarımızda Exchange Server Federation Sertifikası, Auth Sertifikası ve Global bir CA‘dan almış olduğunuz sertifikaların yenilenmesinden bahsetmiştik, ilgili yazılara aşağıdaki linkten ulaşabilirsiniz.
Exchange Server Sertifika İşlemleri – ÇözümPark (cozumpark.com)
Microsoft Exchange Server Auth Sertifikası Nasıl Yenilenir?
Exchange Server Federation Sertifikasının Yenilenmesi
Bu yazımızda ise yine Exchange Server kurulumu ile birlikte varsayılan olarak gelen “Microsoft Exchange” sertifikasının yenilenmesinden bahsedeceğiz. Bu sertifikanın bitiş tarihi Exchange Server kurulumundan itibaren toplam 5 yıldır.
Global bir CA‘dan aldığınız sertifika gibi otomatik gelen sertifikalarda süresi dolmadan önce EAC üzerinde size bildirim yapmaktadır veya Exchange Server için yapmış olduğunuz Health Check işlemlerinde sunucularınızda bulunan sertifikaların güncel bilgilerini görebilmektesiniz.
Exchange Server Health Check – ÇözümPark (cozumpark.com)
Exchange Server’ın Self Signed Sertifikaları kurulum ile birlikte gelmektedir ve Exchange Server servisleri için kullanılmaktadır.
Self Signed olarak gelen sertifikaları gerçek hayatta geçiçi olarak kullanmanız gerekmektedir. Self Signed sertifiakalar, Transport ve Edge sunucuları arasında gerçekleşen SMTP iletişimi için çalışırken sorunsuz çalışabilir ama bu Sertifikaların istemci iletişimi için kullanılması önerilmemektedir.
En güvenilir yol Global bir CA’dan aldığınız sertifikaları kullanmaktır.
Microsoft Exchange Sertifikası Nasıl Yenilenir?
Microsoft Exchange sertfikasını yenileme işlemine başlamadan önce mevcutta bulunan sertifikanın bilgilerine ihtiyacımız bulunmaktadır, ilgili sertifikanın bilgilerini EAC üzerinden görüntüleyebildiğiniz gibi EMS üzerinden de görüntüleyebilirsiniz.
EAC – Servers – Certificates adımından Microsoft Exchange sertifikasın için Expires ve Thumbprint bilgilerini görüntüleyebilirsiniz. Yenileme işleminde bizim için Thumbprint bilgisi önemlidir.
Eğer EMS ile kontrol etmek isterseniz kullanmanız gereken komut satırı aşağıdaki gibidir;
Eğer tüm sertifikalarınızın için Thumbprint bilgisi öğrenmek isterseniz, aşağıdaki satırı kullanabilirsiniz;
Get-ExchangeCertificate
Sadece Microsoft Exchange Sertifikası için bilgi almak isterseniz kullanılması gereken satır aşağıdaki gibidir ve çıktısı görseldeki gibi olacaktır. Microsoft Exchange Sertifikamız için Thumbprint bilgisi yenilemek için kullanacağımız için ilgili bilgiyi kopyalamanız gerekmektedir.
Get-ExchangeCertificate | where {$_.FriendlyName -eq "Microsoft Exchange"} | fl
Bu işlemlerle beraber sertifikamızın Thumbprint bilgisini elde etmiş oldu, şimdi ise ilgili sertifikamızı yenilememiz gerekiyor.
Yenileme işlemi için Get-ExchangeCertificate ve New-ExchangeCertificate parametrelerini birlikte kullanmamız gerekecek, bu işlemleri bir değişken ile daha kullanılabilir hale getirmemiz mümkün. Aşağıdaki komut satırı ile birlikte mevcut thumbprint bilgisi ile Microsoft Exchange sertifikamızı yenileyebilmekteyiz.
$thumbprint = "98239EFCD24C98D8E7541605804D4252F36A5771"
Get-ExchangeCertificate -Thumbprint $thumbprint | New-ExchangeCertificate -Force -PrivateKeyExportable $false
Bu işlemle beraber Microsoft Exchange sertifikamızı yenilemiş olduk, şimdi yapacağımız işlemleri MMC üzerinden devam ettireceğiz. Exchange Server kurulumu ile gelen Self Signed sertifikalar otomatik olarak “Trusted Root Certification Authorites” içerisinde de oluşmaktadır, yenileme işleminden sonra otomatik olarak kopyalanmadığı için oluşturmuş olduğunuz yeni sertifikayı “Trusted Root Certification Authorites” içerisine kopyalamanız gerekmektedir.
Run üzerinden “mmc” komutunu çalıştırıyoruz ve aşağıdaki adımları takip ediyoruz;
File – Add or Remove Snaps-ins – Certificates – Computer Account – Finish
Oluşturmuş olduğunuz sertifika Personel objesi içerisinde yer almaktadır. Oluşturmuş olduğumuz sertifikaya sağ tıklayara Copy seçeneği ile kopyaladıktan sonra “Trusted Root Certification Authorities” objesi içerisine yapıştırmanız gerekmektedir.
Bu işlemden sonra EAC üzerinden eski sertifikayı silebilirsiniz, silme işleminden sonra MMC – Trusted Root Certification Authorities objesi içerisinden de silmeniz gerekmektedir.
Sertifika yenileme işleminden sonra Sertifikanıza atanan hizmetlerde eksik bulunuyorsa EAC üzerinden ilgili hizmet ataması yapabildiğiniz gibi EMS üzerinden de yapabilmektesiniz. Örneğin; IIS ataması yapmak için aşağıdaki komut satırını kullanabilirsiniz;
Enable-ExchangeCertificate -thumbprint “Thumbprint Bilgisi” -services IIS
Bu işlemlerden sonra IIS tarafında Backend site bölümünü kontrol etmemiz gerekmektedir. Default Web Site içerisinde bulunan bağlantılarınız için Global CA’dan alınmış sertifikalarınızın seçilmiş olması gerekmektedir.
En son işlem olarak işlem yapmış olduğunuz sunucu üzerinden IISRESET yapmanız gerekmektedir.
Bu işlemlerden sonra Microsoft Exchange sertifikasını 5 yıl daha uzatmış olduk.