Microsoft Exchange Server güvenli iletişim için çeşitli sertifikalara ihtiyaç duyar. Bunlardan en kritiklerinden biri kurulum sırasında varsayılan olarak oluşturulan Authentication (Auth) sertifikasıdır.
Bu sertifika çoğunlukla göz ardı edilse de aslında:
- OAuth tabanlı kimlik doğrulama
- Hybrid yapılandırmalar (Exchange – Office 365 entegrasyonu)
- Microsoft ekosistemi ile entegrasyon (ADFS, Skype for Business, SharePoint) gibi süreçlerin merkezindedir.
Problem: Varsayılan olarak 5 yıl geçerlidir ve otomatik yenilenmez.
Sonuç: Süresi dolduğunda, Exchange ortamınızda ciddi erişim ve kimlik doğrulama sorunları oluşur.
Auth Sertifikasının Çalışma Mantığı
Exchange İçindeki Rolü
- Token Signing: Exchange OAuth protokolünde access token imzalamak için Auth sertifikasını kullanır.
- Trust Anchor: Office 365 veya diğer Microsoft servisleri, bu sertifikaya güvenerek kimlik doğrulamasını onaylar.
- Modern Authentication: Outlook, OWA, ECP gibi servisler MFA/SSO gibi özelliklerde bu sertifikaya ihtiyaç duyar.
Hybrid Senaryolarda Önemi
- Office 365 ile mail flow ve takvim paylaşımı çalışmazsa genelde ilk bakılacak yerlerden biri Auth sertifikasıdır.
- Hybrid Configuration Wizard (HCW), geçerli bir Auth sertifikası olmadan yapılandırmayı tamamlayamaz.
Öneri: Hybrid çalışıyorsanız Auth sertifikasını sadece yenilemekle kalmayın; aynı zamanda Office 365 tarafına da publish edin.
Sertifika Yaşam Döngüsü
- Varsayılan Geçerlilik: 5 yıl
- Oluşturulma Anı: Exchange kurulurken otomatik üretilir.
- Depolama: Local Computer / Personal sertifika mağazasında bulunur.
- Bitme Riski: 5 yıl sonunda sistem otomatik olarak yenilemez, IT yöneticisinin manuel müdahalesi gerekir.
Bazı yöneticiler Auth sertifikasının “yenilense bile otomatik devreye girdiğini” düşünür. Hayır. Yeni sertifikanın thumbprint’i AuthConfig üzerinde ayrıca tanımlanmalıdır.
Sertifika Süresi Dolduğunda Yaşanan Sorunlar
1 Teknik Sorunlar
- OAuth tabanlı kimlik doğrulama başarısız olur.
- Outlook istemcileri modern authentication üzerinden giriş yapamaz.
- OWA ve ECP erişim hataları:
- Chrome: redirect loop hatası
- IE: Server Error in ‘/owa’ Application
2 Hybrid Sorunlar
- Office 365 ile federasyon kopar.
- Cross-premises takvim paylaşımı çalışmaz.
- Mailbox migration işlemleri başarısız olur.
3 Log ve Event ID’ler
- Event ID 1309 – IIS Application hata logu
- Event ID 24 – Exchange Server Auth Service hatası
Sertifika Yenileme Adımları
1 Mevcut Sertifikayı Kontrol
Get-AuthConfig | fl CurrentCertificateThumbprint
Get-ExchangeCertificate | where {$_.Subject -like "*Auth*"} | fl FriendlyName, NotAfter
2 Yeni Sertifika Oluşturma
New-ExchangeCertificate -KeySize 2048 -PrivateKeyExportable:$true `
-SubjectName "CN=Microsoft Exchange Server Auth Certificate" `
-FriendlyName "Microsoft Exchange Server Auth Certificate" `
-DomainName mail.domain.local
3 Yeni Sertifikayı Tanımlama
Set-AuthConfig -NewCertificateThumbprint <YeniThumbprint> -NewCertificateEffectiveDate (Get-Date)
4 Servisleri Yeniden Başlatma
Get-ExchangeServer | %{Invoke-Command -ComputerName $_.Name -ScriptBlock {Restart-Service MSExchangeServiceHost}}
Get-ExchangeServer | %{Invoke-Command -ComputerName $_.Name -ScriptBlock {Restart-WebAppPool MSExchangeOWAAppPool}}
Get-ExchangeServer | %{Invoke-Command -ComputerName $_.Name -ScriptBlock {Restart-WebAppPool MSExchangeECPAppPool}}
5 Eski Sertifikayı Temizleme
Set-AuthConfig -ClearPreviousCertificate
Kriz Senaryosu: Sertifika Süresi Dolmuşsa
- Acil Durum Adımı: Hemen yeni sertifika oluşturun.
- OWA/ECP çalışmıyorsa: IIS AppPool yeniden başlatın.
- Hybrid yapı bozulduysa: HCW’yi yeniden çalıştırın.
- Token cache sorunları varsa: ADFS/Skype for Business gibi sistemlerde trust relationship’i yenileyin.
Monitoring ve Otomasyon
1 PowerShell ile Sertifika Takibi
Get-ExchangeCertificate | where {$_.Subject -like "*Auth*"} |
select FriendlyName,NotAfter | ft -AutoSize
2 Uyarı Scripti
- Bitmeye 60 gün kala IT ekibine e-posta atsın.
- Task Scheduler ile günlük çalıştırılsın.
3 3rd Party Monitoring
- SCOM, PRTG, Nagios gibi monitoring araçlarına Auth sertifika bitiş tarihi eklenebilir.
Sık Yapılan Hatalar ve Kaçınma Yolları
Hata: Sertifika yenilenir ama AuthConfig’e atanmaz.
Çözüm: Set-AuthConfig komutunu mutlaka çalıştırın.
Hata: IIS AppPool restart edilmez.
Çözüm: OWA/ECP için AppPool’ları yeniden başlatın.
Hata: Eski sertifika temizlenmez.
Çözüm: Set-AuthConfig -ClearPreviousCertificate ile kaldırın.
Exchange Auth sertifikası küçük bir ayrıntı gibi görünse de aslında tüm Exchange ekosisteminin güvenlik ve kimlik doğrulama bel kemiğidir. Süresi dolduğunda hem kullanıcı deneyimi hem de kurumsal işleyiş durma noktasına gelebilir. Bu nedenle proaktif monitoring, doğru yenileme süreci ve en iyi uygulamalar ile yönetilmelidir. Böylece hem hibrit entegrasyonlarınız hem de kurum içi servisleriniz kesintisiz şekilde çalışmaya devam eder.
