آموزش نصب SSL Certificate در اکسچنچ سرور 2016

برای امن بودن ارتباط بین clients و servers از پروتکل SSL استفاده می شود. در Exchange 2016، مجوز های self-signed بصورت پیش فرض ساخته می شوند وقتی که شما Exchange 2016 را نصب می کنید.مجوز های self-signed برای دیگر سیستم ها قابل اطمینان نیستند، پس ما نیاز داریم مجوزها را بصورت manually نصب کنیم.

دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران

انواع مختلفی از مجوز ها وجود دارد :

  1. Self-signed certificate : این مجوزها توسط برنامه های Local تولید می شوند، و فقط به سیستم های Local که certificate را تولید کرده اند، ایمنیشان را فراهم می کنند. مجوزهای self-signed توسط Exchange سرور ساخته می شوند.
  2. Windows Public Key Infrastructure (PKI) Certificates : ویندوز سرور می تواند Certificate Authority را پیکربندی کند، به این صورت که Active Directory Certificates Services (AD CS) Role را نصب کند. این مجوز از نوع windows PKI می باشد و البته این مجوز برای کاربران اینترنت بصورت پیش فرض امنیت را فراهم نمی کند.
  3. Trusted Third-Party Certificates: این مجوز به third party public Certificate Authorities (CAs) فروخته می شود، و ایمنی را برای ابزارهای زیادی در اینترنت فراهم می کند. محبوب ترین این مجوزها UCC/SAN و Wildcard می باشد.

UCC/SAN certificates می تواند در مجوز خود نام چندین دامین را داشته باشد.Wildcard certificates در مجوزهایش *.domain.com دارد در حالیکه اگر نیاز داشته باشد زیردامنه های اضافه را حذف می کند. و همچنین این مجوزها در َApplication ها و Device های قدیمی حمایت نمی شود.در Exchange 2016، سرویس هایی مانند : Outlook On the Web، EAC، Exchange Web Services، ActiveSync، Outlook Anywhere، Autodiscover و Address Book Distribution استفاده می کنند از همان مجوزی که یکبار نصب کردید.همه این سرویس ها در IIS تحت website پیش فرض هستند. و هر website می تواند یک certificate داشته باشد. و همچنین، POP/IMAP و SMTP می توانند از همان مجوز یا مجوزهای مختلف دیگر استفاده کند. و برای راحتی کار خودتون پیشنهاد میشود همان مجوز را نصب کنید.

وب سایت توسینسو

شکل بالا یک سناریو ساده را نشان می دهد که در آن Exchange نصب شده است. Mail.mustbegeek.com برای هر دو کاربران ورودی و خارجی استفاده خواهد شد. برای سرویس Autodiscover، از Autodiscover.mustbegeek.com استفاده خواهد کرد. بنابراین ما نیاز داریم به یک مجوز که بتواند دو نام را جایگزین کند : mail.mustbegeek.com و autodiscover.mustbegeek.com . من در اینجا یک مجوز UCC/SAN را از SSLs.com نصب خواهم کرد.

آموزش نصب Certificate در اکسچنچ سرور

مرحله 1 : یک Sharedfolder با مجوز NTFS برای Exchange Trusted Subsystem group بوجود بیاورید.فایل certificate request نیاز دارد که در یک Sharedfolder ذخیره شود. بنابراین قبل از بوجود آوردن certificate request شما نیاز دارید که یک Sharedfolder را با مجوز NTFS مناسب بسازید.

وب سایت توسینسو

در حال حاضر راست کلیک کنید روی پوشه و properties را انتخاب کنید و sharing tab را کلیک میکنیم و sharing advanced را انتخاب می کنیم و سپس کلیک می کنید رو permission box میزنید و به everyone مجوز full control می دهیم.

وب سایت توسینسو

برای اختصاص دادن مجوز NTFS، باید در security tab گزینه Edit را میزنیم و گروه Exchange Trusted Subsystem را اضافه می کنیم و به گروه مورد نظر مجوز NTFS مناسب را بدهید.

مرحله 2 : تولید کردن Certificate Singing Request (CSR) در Exchange server : در Exchange Admin Center وارد شوید، گزینه servers در features pane انتخاب کنید و سپس certificate tab را انتخاب کنید.

وب سایت توسینسو

در اینجا شما میبینید که سه مجوز بصورت پیشفرض ساخته شده اند. هیچوقت مجوز WMSVC (IIS Web Management Service) حذف نکنید. مجوز WMSVC یک certificate self-signed می باشد و برای remote management of web server ضروری است. روی + کلیک کنید و یک certificate جدید را اضافه کنید.

وب سایت توسینسو

در حال حاضر ما میخواهیم یک مجوز عمومی و not self-signed را بسازیم. درخواست ساخت یک مجوز را در Certificate Authority می دهیم.

وب سایت توسینسو

برای این مجوز یک نام شناخته شده، تایپ کنید. مثلا SSL certificate و Next را بزنید.

وب سایت توسینسو

در اینجا این گزینه را انتخاب کنید CSR یک Wildcard certificate را بسازد. ما یک UCC/SAN certificate نیاز داریم، پس این گزینه را انتخاب نمی کنیم.

وب سایت توسینسو

روی Browse کلیک کنید و mailbox server را انتخاب کنید. این سرور درخواست certificate را ذخیره می کند.

وب سایت توسینسو

در اینجا میتوانید مشخص کنید که چه Domain name هایی شامل این مجوز باشند. شما می توانید این صفحه را بصورت پیشفرض رد کنید.

وب سایت توسینسو

شما می توانید domain name های نامطلوب را حذف کنید و domain name های مناسب را اضافه کنید.

وب سایت توسینسو

اطلاعات سازمانتان را پر کنید و مطمئن شوید که اطلاعات را بدرستی پر کرده اید.

وب سایت توسینسو

Sharedfolder که CSR در آن ذخیره شده است را Browse کنید و فایل را انتخاب کنید.

مرحله 3 : Process CSR with third-party CA : به سایت SSls.com وارد شوید و یک مجوز چند دامنه بخرید.

وب سایت توسینسو

به All cert بروید و روی New under Status و سپس Activate را کلیک کنید. شما یک box که یک CSR code بهش چسبیده را که از Exchange server گرفته شده است را خواهید دید.

وب سایت توسینسو

فایل sslcert.req را با notepad باز کنید و کپی بگیربد و ابنجا past کنید. و سپس روی Read My CSR کلیک کنید.

وب سایت توسینسو

گزینه I am installing on Windows Server را انتخاب کنید و سپس LOOKS GOOD,ONWARD را بزنید.

وب سایت توسینسو

Domain name ها را بررسی می کند و بصورت اتوماتیک در CSR text می گذارد. سپس ONWARD را کلیک کنید.

وب سایت توسینسو

حالا یک آدرس ایمیل معتبر به منظور تایید domain name تایپ کنید، و سپس GOT IT, ONWARD را تایپ کنید.

وب سایت توسینسو

اطلاعات تماس را پر کنید و یک ایمیل برای تایید یه ایمیل ثبت شده ارسال می شود. یک ایمیل برای administrator@mustbegeek.com و admin@mustbegeek.com ارسال خواهد شد.

مرحله 4 : دانلود و نصب کردن Certificate : یکبار certificate را در inbox میگیرید و دانلود می کنید و در sharefolder ذخیره می کنید. به EAC در بخش certificate برمیگردیم.

وب سایت توسینسو

شما SSL certificate را در pending status خواهید دید. روی complete کلیک می کنید و مراحل نصب را ادامه می دهید.

وب سایت توسینسو

مسیر sharedfolder را به همراه نام فایل تایپ می کنید. فرمت .cer فراموش نشود.

وب سایت توسینسو

Certificate با موفقیت نصب شده است. جزئیات مجوز را در بالا مشاهده می کنید. این مجوز به COMODO Certificate Authority (CA) اختصاص داده شده است. مجوز در تاریخ 20161029 منقضی شده است و هیچ سرویسی به آن اختصاص نشده است. و این به این معنی است که certificate نصب شده است ولی نمیتوانید از آن استفاده کنید. حالا روی مجوز دابل کلیک کنید و سرویس هایی را به آن اختصاص دهید.

وب سایت توسینسو

روی سروبس ها کلیک کنید. روی SMTP و IMAP و POP و IIS کلیک کنید. روی Yes در warning بزنید که یگید این certificate روی مجوز جاری overwrite شود. Internet Explore ببندبد و دوباره باز کنید.

وب سایت توسینسو

شما همچنین می توانید روی view certificates بزنید و جزئیات آن را ببینید.

وب سایت توسینسو

نظرات