Exchange Server 2016 SSL sertifikaları ve Namespaces

Okuma süresi - 6 dk.

SSL

Exchange Server 2016 , HTTPS, SMTP, IMAP ve POP gibi çeşitli ağ protokolleri üzerinden istemciler, uygulamalar ve diğer sunucularla iletişim kurar. Bu iletişimin çoğu, özellikle istemciler ve uygulamalar, kullanıcı adı ve parola tabanlı kimlik doğrulamayı içerir. Kullanıcı kimlik bilgileri ağ üzerinden gönderildiğinde açık olarak gönderilir. Yani bir saldırgan tarafından ele geçirilip okunabilir. Oturum sırasında iletilen diğer bilgiler de hassas olabilir veya kötüye kullanıma yatkın olabilir.

Bu iletişimleri güvence altına almak için Exchange Server 2016, sunucu, istemciler ve uygulamalar arasındaki ağ trafiğini şifrelemek için SSL sertifikaları kullanır. Bu sertifika aşağıdaki hizmetleri içerir.

  • Outlook Anywhere (RPC-over-HTTP) veya MAPI-over-HTTP’ye bağlanan Outlook
  • Web üzerinde Outlook’a bağlanan web tarayıcıları (OWA)
  • Posta kutularına ve takvimlere erişmek için ActiveSync’e bağlanan mobil cihazlar
  • Free/busy ve diğer aramalar için Exchange Web Hizmetlerine (EWS) bağlanan uygulamalar
  • Secure POP veya IMAP ağına bağlanan e-posta istemcileri
  • Exchange sunucuları veya diğer e-posta sunucuları arasında TLS şifreli SMTP

Exchange Server 2016 ilk yüklendiğinde, IIS (OWA, EWS ve ActiveSync gibi HTTPS hizmetleri), SMTP, POP ve IMAP için etkinleştirilen self-signed (kendinden imzalı) bir SSL sertifikası oluşturur. Self-signed sertifika, sunucunun secure by default olmasına ve ağ iletişimini en baştan şifrelemeye başlamasına izin verir. Ancak ortamınız için doğru SSL sertifikalarını sağlarken yalnızca geçici olarak kullanılması amaçlanır.

Exchange Server 2016’yı dağıtırken, self-signed sertifikayı dağıtım senaryosunuz için geçerli bir SSL sertifikasıyla değiştirmeyi planlamalısınız. Bu, client access namespace senaryonuza, satın aldığınız sertifika türüne ve hangi sertifika yetkilisinden satın aldığınıza bağlı olarak 99$ ile birkaç bin dolar arasında bir yatırımı içerir.

Exchange Server 2016 dağıtımında SSL sertifikası için üç temel gereksinim vardır.

  • Doğru sunucu ve domain adı – SSL sertifikası, istemcilerin bağlanacağı adlarla (örneğin, “mail.contoso.com”) domain isimlerini (diğer adıyla URL’ler, aliases, domain names) içermelidir.
  • Sertifika geçerlilik süresi – her bir SSL sertifikasının sabit bir geçerlilik süresi vardır. SSL sertifikası son kullanma tarihine ulaştığında, çalışmaya devam etmek için yenilenmesi gerekir.
  • Güvenilen sertifika yetkilisi – istemciler yalnızca güvendikleri bir sertifika yetkilisi tarafından verilen SSL sertifikalarına güvenir. Bu, self-signed sertifikanın production ortamlarda kullanıma uygun olmamasının bir nedenidir. Çünkü istemciler Exchange sunucusunun kendisi tarafından verilen sertifikalara güvenmez. İstemci işletim sistemlerinizin ve cihazlarınızın güveneceği sertifikaları satın almak için çok çeşitli sertifika yetkilileri vardır. Digicert en yaygın kullanılan servislerden birisidir.

Sertifikanın geçerlilik süresi, sertifikayı ne kadar süreyle satın aldığınıza göre belirlenir. Bu süre genellikle en az 12 aydır. Ancak geçerlilik süresi ne kadar uzun olursa, sertifikanın yıllık maliyeti o kadar az olur.

Exchange Server 2016 SSL sertifikaları için Namespaces

Exchange Server 2016 için namespaces’lere en basit yaklaşım, tüm HTTPS hizmetleri için tek bir namespaces kullanmaktır.
HTTPS namespace ek olarak, SMTP, POP ve IMAP hizmetlerinin her biri için ayrı bir namespace kullanabilirsiniz. Ancak kesinlikle gerekli değildir.

E-posta adresleri için kullanılan domain name contoso.com olduğunu varsayarsak, yukarıdakilerin tümünü dikkate alarak, basit bir ortamda namespaces’leri aşağıdaki şekilde planlayabiliriz.

  • mail.contoso.com (tüm HTTPS, SMTP, POP ve IMAP için)
  • autodiscover.contoso.com (Autodiscover CNAME için)
  • contoso.com (root domain Autodiscover lookups için)

Önerilen uygulama, yalnızca SSL sertifikalarında namespaces olarak takma adlar eklemektir ve hiçbir sunucunun tam etki alanı adını (gerçek sunucu adları) içermez. Sertifika verme kurallarında yapılan son değişiklikler nedeniyle, İnternet’e yönlendirilemeyen veya yasal olarak sahip olmadığınız bir alan adı (örn. Domain.local) için SSL sertifikası satın alamazsınız.

Ne tür sertifika satın alınır?

Digicert gibi sertifika yetkilileri size çeşitli sertifika türleri satabilir ve bazı sertifika yetkililerinin temelde aynı hizmetleri için farklı isimleri olabilir.

Standart bir SSL sertifikası tek bir single name içerir ve genellikle en ucuz olanıdır. Ancak bunlar en basit namespace tasarımları için bile uygun değildir.

Wildcard SSL sertifikası, sertifikanın tam adlarını belirtmek zorunda kalmadan bir alan adında birden çok domaini güvenceye almanıza olanak tanır. Örneğin, contoso.com ve *.contoso.com için bir Digicert wildcard sertifikası alınabilir. Bunlar genellikle daha düşük maliyetli bir seçenek olmakla birlikte, wildcard sertifikalarının, diğer sistemlerle bazı entegrasyon senaryolarıyla uyumluluk sorunları olabilir ve secure POP ve IMAP yapılandırmaları için uygun olmayabilir.

SAN veya UC (Unified Communications), satın alınması önerilen SSL sertifikası türüdür. SAN sertifikası birden fazla namespaces içerebilir. Örneğin, bir Digicert UC sertifikası, normal fiyata en fazla dört namespaces içerebilir ve toplamda en fazla 25 namespaces ek bir ücret karşılığında kullanılabilir. SAN/UC sertifikasının maliyeti wildcard sertifikasından daha yüksek olsa da, sertifika doğru namespaces içerdiği sürece SAN/UC sertifikasıyla uyumluluk sorunlarıyla karşılaşma olasılığınız düşüktür. Namespaces planlamanızla ilgili bir hata yaparsanız veya daha sonra bir namespaces eklemeniz gerekirse Digicert ve diğer bazı sağlayıcılar sertifikayı ücretsiz olarak vermenize izin verirken, diğer sağlayıcılar yeniden düzenleme ücreti alabilirler.

Kaç SSL sertifikası satın almalısınız?

Namespaces planladıktan ve bir sertifika yetkilisi seçtikten sonra, özellikle birden fazla Exchange 2016 sunucunuz varsa, kaç SSL sertifikası satın alacağınızı düşünebilirsiniz.

Tavsiye edilen uygulama mümkün olduğunca az SSL sertifikası almaktır. Bu nedenle, HTTPS, SMTP, POP ve IMAP hizmetlerinin her biri için ayrı sertifikalara sahip olmak mümkün olsa da, farklı sertifikalar gerektiren belirli bir senaryoya sahip değilseniz, hepsi için bir sertifika kullanılması önerilir.

Bir sunucuda HTTPS için yalnızca bir SSL sertifikası etkinleştirilebilse de, SMTP için birden fazla SSL sertifikası etkinleştirilebilir. Ancak çoğu küçük ölçekli organizasyonlarda SMTP için yalnızca tek bir sertifika gerekir.

Benzer şekilde, aynı namespaces’i kullanacak tüm Exchange sunucuları için aynı SSL sertifikasının kullanılması önerilir. Örneğin, load-balanced şekilde çalışan iki Exchange 2016 sunucunuz varsa ve her ikisinde de HTTPS hizmetleri için yapılandırılmış “mail.contoso.com” namespace varsa, aynı sertifikanın yüklü olması gerekir. Bu sertifikayı ilk sunucuda kurarak ve ardından dışa aktararak daha fazla sunucuda kullanabilirsiniz.