Exchange 2007 ile birlikte default SSL’li gelen CAS , Exchange 2010’da da aynı şekilde devam ediyor.Tabiki production ortamında default gelen bu sertifikayı kaldırıp commercial bir sertifika yada localda bulunan CA’den bir sertifika talebinde bulunmanız gerekli.Exchange 2010 ile gelen en hoş yeniliklerden bir tanesi artık GUI arayüzü ile sertifika isteklerini gerçekleştirebiliyorsunuz.Sihirbaz external ve internal tüm gereksinimler için(owa,outlook anywhere,ecp vb) sertifika talebinde bulunmanızı ve ardından import edebilmenizi sağlayan grafik arayüzüne sahip.

Ama tabiki hala powershell üzerinden sertifika isteklerimizi gerçekleştirebiliyoruz.Yalnız parametreler Exchange 2007’den biraz farklı.Exchange 2010 üzerinde bir sertifika talebinde bulunmak isterseniz komutunuz aslında basit;

New-ExchangeCertificate -GenerateRequest -SubjectName “c=tr, o=Company, cn=mail.company.com” -DomainName company.com, example.com ““PrivateKeyExportable $true

-Domain name parametresinden sonra bu sertifikada yer almasını istediğiniz tüm isimleri belirtmeniz gerekli.Örneğin owa’nın external internal isimleri,autodiscover isimleri,cas netbios ve fqdn bilgilerini sayabiliriz.Yalnız Exchange 2007’de bu komutu çalıştıranlar hatırlayacaktır,komutun sonunda ““path parametremiz vardı ve bu sayede sertifikayı export edip CA’e götürebiliyorduk.Yukarıdaki komutu çalıştırdığınızda ise export gerçekleşmiyor sadece thumbprint veriliyor.-path yazarsanızda parametreyi tanımıyorum diye bir uyarı döndürüyor.

Peki sertifikayı eski yöntemde olduğu gibi export etmek isterseniz ne yapmamız gerekli? Ufak bir değişken işinizi görücek.

$Data = New-ExchangeCertificate -GenerateRequest -SubjectName “c=tr, o=Company, cn=mail.company.com” -DomainName company.com, example.com ““PrivateKeyExportable $true

Set-Content -path “C:\CertRequest.req” -Value $Data

Çıkan sertifika davetiyesini CA konsoluna webden bağlanarak sertifika haline getirme süreci Exchange 2003 ve Exchange 2007 ile benzer.Sonuçta elde ettiğiniz sertifikayı Exchange içerisine import etmek için yine biraz daha farklı bir komut çalıştırmanız gerekli;

Import-ExchangeCertificate -FileData ([Byte[]]$(Get-Content -Path c:\certnew.cer -Encoding byte -ReadCount 0))

Son olarak enable etmeniz gerekli sertifikayı.Bunun için get-exchangecertificate ile yüklediğiniz exchange sertifikasının thumbprint numarasını kaydedip aşağıdaki gibi bir komut çalıştırmanız yeterlidir.

Enable-ExchangeCertificate -Thumbprint 5113ae0233a72fccb75b1d0198628675333d010e -Services POP,IMAP,SMTP,IIS

Bildiğimiz gibi Exchange 2003 kurulumundan sonra owa clientlar mailboxlarına direk 80 üzerinden erişiyorlardı.Bunun sebebi varsayılanda bir sertifika gelmemesi.Exchange 2007′de ise bu durum değişti ve IIS üzerindeki Deafult Web site varsayılanda sertifikalı olarak gelmektedir.Yalnız 1 senelik varsayılan bu sertifika kullanıldığında büyük ihtimalle hata alacaksınız.Sebebi sertifikanın ismi ile owa’ya eriştiğiniz dns isminin farklı olması.

Localde bir CA’niz varsa basit bir şekilde IIS üzerinde yada exchange management shell kullanarak istediğiniz isimle sertifika çekebilirsiniz.Bu noktadan sonra client tarafı sertifika hatası almadan OWA’ya erişebilecektir.

Yalnız bu işlemden sonra ufak bir sıkıntı daha bizi bekliyor.dns ismi ile yeni bir sertifika oluşturduktan sonra Microsoft Outlook’u açtığımızda aşağıdaki gibi bir hatayla karşılaşırız.

“the name on the security certificate is invalid or does not match the name of the site”

Burada oluşturduğumuz sertifika ile Outlook’un bağlanmaya çalıştığı isim farklı çıkıyor.Çünkü Mapi clientlar Client Access Serverları autodiscovery servisi için kullanırlar ve açılışta bu bağlantıyı kontrol ederler.Aradığı isim ise direk CAS’ın fqdn’idir.E biz sertifikayı dışarıdan ulaşacağımız dns ismi ile oluşturduğumuz için direk isim hatasını alıyoruz.

Bu problemin önüne geçmek için aşağıdaki Exchange Management Shell komutlarını çalıştıralım.

Set-ClientAccessServer -Identity CAS1 -AutodiscoverServiceInternalUri https://mail.anilerduran.com/autodiscover/autodiscover.xml

Set-WebServicesVirtualDirectory -Identity “CAS1\EWS (Default Web Site)” -InternalUrl https://mail.anilerduran.com/ews/exchange.asmx

Set-OABVirtualDirectory -Identity “CAS1\oab (Default Web Site)” -InternalUrl https://mail.anilerduran.com/oab

Set-UMVirtualDirectory -Identity “CAS1\unifiedmessaging (Default Web Site)” -InternalUrl https://mail.anilerduran.com/unifiedmessaging/service.asmx

Bu komutlardaki CAS1 client access server’ınızın ismi.koyu renkli adresler ise daha önceden clientların dışarıdan owaya ulaşmaları için belirlediğiniz ve sertifikasını oluşturduğunuz adres.

Bu işlemden sonra CAS üzerinde iisreset komutuyla iis servisini yeniden başlatmanız yeter.Artık Outlook Mapi clientlarınız isimden dolayı gerçekleşen sertifika hatasını almayacaktır.