Buraya muhtemelen Google dizin konusundan geldiniz. Sunucularınızda HTTPS etkinleştirmek konusunu çözmek ve sitenizi daha güvenli bir yer haline getirmek istiyorsunuz.
Evet bunu birlikte yapabiliriz.
Hadi başlayalım:
Bu adımda sırasıyla şu maddeleri yerine getirmeniz gerekiyor:
- 2048 bitlik bir genel özel anahtar çifti oluşturulması / RSA
- CSR kullanımı- anahtarı işleyen sertifika imzalama isteği
- Sertifikaları temin etmek veya birden fazla sertifika alabilmek için CSR’nin CA ile paylaşılması- Yetkiliye bildirim
Elde edilen sertifikanın /etc /ssl ( Lunux ve Unix) veye IIS gereken yerler için Windows webi kullanarak erişilmeyen bir bölgeye yükleyin. Bu işlemi masaüstünden tamamlayın.
Genel / Özel Anahtar Çifti Nasıl Oluşturulur?
Anahtar çiftleri ve CSR oluşturmak için genel olarak openssl komut satırı kullanılır. Bu zaten işletim sistemleriyle geliyor. Linux, BSD, Mac, OS ve X buna dahildir.
2048 bitlik bir anahtar çifti korunmak için çok daha iyi bir tercih olacaktır çünkü 1024 bit anahtarlar genel olarak saldırılar karşısında daha savunmasızdır. Güvenlik noktasında en az veya en çok tercihi yapılma z burada orta yolu bulmak şarttır. 4096 bit bir anahtar olayları abartmak anlamına gelirken 1024 bit ise hafife almak demektir. Bu yüzden 2048 bitlik bir anahtar şimdilik en sağlıklısı diyebiliriz.
RSA anahtar çiftini oluşturmak için gerekli komut:
Openssl gensra – out www.example.com.key 2048
Bu komut şunu elde etmenizi sağlar:
Generating RSA private key, 2048 bit long modulus
.+++
……………………………………………………………………………+++
e is 65537 (0x10001)
Sertifika İmzalama İsteği Oluşturma
Burada yapacağınız şey genel anahtarınızı ve web sitenizin bilgilerini sertifika imzalama isteğine yani Csr’ye yerleştirmek olacak.
Openssl komutu sizden gerekli ola n etkileşimli veriyi isteyecektir.
Bu komutu çalıştırmak için;
openssl req -new -sha256 -key www.example.com.key -out www.example.com.csr
Komut girişini yaptıktan sonra şunları elde edeceksiniz:
You are about to be asked to enter information that will be incorporated into your certificate request
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter ‘.’, the field will be left blank.
—–
Country Name (2 letter code) [AU]:CA
State or Province Name (full name) [Some-State]:California
Locality Name (for example, city) []:Mountain View
Organization Name (for example, company) [Internet Widgits Pty Ltd]:Example, Inc.
Organizational Unit Name (for example, section) []:Webmaster Help Center Example
Team
Common Name (e.g. server FQDN or YOUR name) []:www.example.com
Email Address []:[email protected]
Please enter the following ‘extra’ attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
CSR’nin geçerliliğini sağlama almanız gereken bir diğer adımdır. Burada bir komut daha kullanmanız gerekir.
CSR geçerlilik komutu:
openssl req -text -in www.example.com.csr -noout
Komutu doğru verdiğinizden emin olun, çünkü elde edeceğiniz cevap şu şekilde olmalıdır. Aksi halde hata yapmmış olabilirsiniz.
Komut sonucunda alınması gereken sonuç:
Certificate Request:
Data:
Version: 0 (0x0)
Subject: C=CA, ST=California, L=Mountain View, O=Google, Inc.,
OU=Webmaster Help Center Example Team,
CN=www.example.com/[email protected]
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
Public-Key: (2048 bit)
Modulus:
00:ad:fc:58:e0:da:f2:0b:73:51:93:29:a5:d3:9e:
f8:f1:14:13:64:cc:e0:bc:be:26:5d:04:e1:58:dc:
…
Exponent: 65537 (0x10001)
Attributes:
a0:00
Signature Algorithm: sha256WithRSAEncryption
5f:05:f3:71:d5:f7:b7:b6:dc:17:cc:88:03:b8:87:29:f6:87:
2f:7f:00:49:08:0a:20:41:0b:70:03:04:7d:94:af:69:3d:f4:
…
Sertifikaları Temin Etmek veya Birden Fazla Sertifika Alabilmek için CSR’nin CA ile Paylaşılması- Yetkiliye Bildirim
Sertifika yetkililer farklı şekillerde çalışabilir. CSR göndermek için tercih edilen yöntemler her yetkili için farklı olabilmektedir. Bazen web sitesinde bir form kullanımıyla bazen e-posta yoluyla bazen de bunların tam terci bir yöntemle yetkiliye bildirim yapmanız gerekebilir.
CSR’yi yetkili CA’nıza gönderdikten sonra geçerlilik sertifikanızı veya sertifikalarınızı almak için yönergeleri takip etmeniz gerekiyor.
Farklı yetkililer bu vouching hizmeti için farklı ücretler talep ederler. Standart bir fiyatlandırma yoktur bu durum sizi şaşırtmasın.
Joker karakter veya standart DNS adıyla eşleştirme için farklı seçeneklerde şu fiyatlar karşınıza çıkacaktır.
-
Standart: 16 dolar / yıllık
-
Joker karakter: 150 dolar/ yıllık
Eğer alan adı sayınız 9 dan daha düşükse joker sertifikaya ihtiyacınız yoktur. 9 ve üzeri alan adları için joker sertifika önerilir.
Daha az alan adınız olduğunda tek ad sertifikası almak çok daha makuldür.
Joker karakter sertifikalarında joker karakter sadece bir DNS etiketi için geçerlidir.
/etc/ssl Sertifikaları, (Linux ve Unix) veya IIS’nin (Windows) ihtiyacı olan her yerde kullanılır. Bu kodu tüm ön sunucularınıza kopyalayın.
HTTPS Etkinleştirmek
Sunucularınızda HTTPS etkinleştirmek güvenlik için önemli adımdır. Yukarıdaki tüm adımlar da buna istinaden detaylı olarak anlatıldı. Bu nedenle lütfen bunu önemseyin.
Şimdi sırayla;
Sunucuyu HTTPS etkinleştirmek ve HTTPS desteği için hazır hale getirin, Mozilla Sunucu Yapılandırma aracını bunun için kullanın.
Qualys üzerinden SSL testi yapın bu test düzenli olarak gerçekleştirin ve notunuz daima A ve A+ olsun.
Bu adımlardan sonra iki farklı seçenekle karşılaşacaksınız. Her ikisinden birini seçerek yola devam edebilirsiniz.
- İçerik sunduğunuz her ana bilgisayar için bir IP adresi ataması yapın.
- Ad tabanlı sanal barındırma hizmetini kullanın.
Çoğunlukla burada sanal barındırma tercih ediliyor bunun sebebi ise IP adresinin korunması olarak tanımlanabilir.
Burada unutmamanız gereken adım şudur: Çok sayıda ana bilgisayar veya alt alan adınız olduğunda her biri için doğru sertifikaya ihtiyacınız olacak. HTTPS etkinleştirmek güvenli hareket etmenizi sağlayacak.
