SSL Sertifika Chain Kurulumu

SSL sertifika zinciri kurulumu, web sitelerinin güvenliğini artırmak ve tarayıcı uyumluluğunu sağlamak için kritik bir adımdır. Modern web ortamında, SSL/TLS sertifikaları yalnızca tek bir dosyadan ibaret değildir; bunlar bir zincir halinde çalışır. Bu zincir, kök sertifika yetkilisi (Root CA), ara sertifika yetkilileri (Intermediate CA) ve son kullanıcı sertifikasından (End-Entity Certificate) oluşur. Yanlış bir zincir kurulumu, tarayıcı uyarılarına yol açar ve kullanıcı güvenini zedeler. Bu makalede, kurumsal bir yaklaşımla SSL sertifika zincirini adım adım nasıl kuracağınızı öğreneceksiniz. Özellikle Apache ve Nginx gibi popüler web sunucularına odaklanarak, pratik talimatlar sunacağız.

SSL Sertifika Zincirinin Temel Bileşenleri

SSL sertifika zinciri, her sertifikanın bir öncekine güvenmesini sağlayan hiyerarşik bir yapıdır. Kök CA sertifikası en üstte yer alır ve tarayıcılar tarafından önceden güvenilir olarak kabul edilir. Ara sertifikalar, kök ile son kullanıcı sertifikası arasında köprü görevi görür. Bu zincir, sunucunuzun kimliğini doğrular ve şifreli bağlantıyı etkinleştirir. Zinciri doğru kurmak, Let’s Encrypt gibi ücretsiz sağlayıcılar veya DigiCert gibi ticari otoritelerle çalışırken zorunludur.

Zincir dosyasını oluştururken, PEM formatını tercih edin. Tüm ara sertifikaları ve kök sertifikayı tek bir dosyada birleştirin, ancak kök sertifikayı opsiyonel olarak ekleyin çünkü tarayıcılar onu bilir. Örnek bir zincir dosyası şöyle görünür: Önce son kullanıcı sertifikası, ardından ara sertifikalar sırayla gelir. Her sertifika —–BEGIN CERTIFICATE—– ile başlar ve —–END CERTIFICATE—– ile biter. Bu yapıyı OpenSSL ile doğrulayın: openssl crl2pkcs7 -nocrl -certfile chain.pem | openssl pkcs7 -print_certs -text -noout.

Kök Sertifika Yetkilisi (Root CA)

Kök CA, zincirin temeli olup, tarayıcı ve işletim sistemi depolarında saklanır. Bu sertifikayı manuel eklemenize gerek yoktur, ancak zincirde belirtmek doğrulama hızını artırabilir. Root CA’lar, VeriSign veya GlobalSign gibi kuruluşlar tarafından yönetilir ve yıllarca geçerlidir. Zincir kurulumunda, sağlayıcınızdan gelen bundle dosyasını inceleyin; kök genellikle en sonda yer alır.

Ara Sertifika Yetkilileri (Intermediate CA)

Ara sertifikalar, kök ile son kullanıcı arasında birden fazla katman oluşturur. Örneğin, Let’s Encrypt’te R3 intermediate’ı kullanın. Bu sertifikaları zincire doğru sırayla ekleyin: openssl x509 -in intermediate.crt -text -noout ile detaylarını kontrol edin. Eksik ara sertifika, “ERR_CERT_AUTHORITY_INVALID” hatasına neden olur. Sağlayıcınızın panelinden tam zinciri indirin ve metin editörüyle sırayı ayarlayın.

Son Kullanıcı Sertifikası (End-Entity)

Bu, domaininize özel sertifikadır ve private key ile eşleşir. Zincirin en üstünde yer alır. Kurulumda, fullchain.pem dosyasını kullanın ki tarayıcı zinciri otomatik takip etsin. Doğrulama için: openssl verify -CAfile chain.pem server.crt. Bu komut zincirin bütünlüğünü test eder.

Sertifika Zincirini Hazırlama Adımları

Sertifika dosyalarınızı aldıktan sonra, zinciri hazırlamak için sistematik bir süreç izleyin. Öncelikle, sağlayıcınızdan tam bundle’ı indirin. Ardından, bir metin editörüyle dosyaları birleştirin: En üste server.crt, ortalara intermediate.crt’ler ve sona root.crt. Boş satır bırakmayın. PEM formatını doğrulayın ve base64 kodlamasını kontrol edin. Bu adım, kurulum hatalarını önler.

• Tüm sertifika dosyalarını PEM formatına dönüştürün: openssl x509 -inform DER -in cert.der -out cert.pem.
• Zincir sırasını sağlayıcı dokümantasyonuna göre ayarlayın; örneğin Sectigo için usercert-first.
• OpenSSL ile zinciri test edin: cat server.crt chain.crt > fullchain.crt; openssl crl2pkcs7 gibi araçlar kullanın.
• Private key ile eşleştirmeyi sağlayın: openssl rsa -in private.key -check.

Bu hazırlık, sunucu yapılandırmasını basitleştirir. Özellikle wildcard sertifikalarda, zincir subdomain’ler için de geçerlidir. Hazırlanan fullchain.crt dosyasını sunucunuza yükleyin ve izinleri ayarlayın: chmod 600 fullchain.crt private.key.

Web Sunucularında Kurulum Uygulamaları

Apache Sunucusu İçin Kurulum

Apache’te, VirtualHost bloğunda SSLCertificateFile ve SSLCertificateChainFile direktiflerini kullanın. /etc/apache2/sites-available/your-site.conf dosyasını düzenleyin: SSLCertificateFile /path/to/server.crt, SSLCertificateKeyFile /path/to/private.key, SSLCertificateChainFile /path/to/chain.crt. Mod_ssl etkinleştirin: a2enmod ssl. Yapılandırmayı test edin: apachectl configtest. Yeniden başlatın: systemctl restart apache2. SSL Labs ile tarayıcı uyumluluğunu doğrulayın.

Nginx Sunucusu İçin Kurulum

Nginx’te, server bloğunda ssl_certificate ve ssl_certificate_key kullanın. ssl_certificate /path/to/fullchain.pem; ssl_certificate_key /path/to/private.key;. /etc/nginx/sites-available/default dosyasını güncelleyin. Syntax kontrolü: nginx -t. Yeniden yükleyin: nginx -s reload. HSTS başlığını ekleyin: add_header Strict-Transport-Security “max-age=31536000” always;. Bu, zincirin doğru çalıştığını sağlar ve A+ derecesi alır.

SSL sertifika zinciri kurulumunu tamamladıktan sonra, sitenizin güvenliği önemli ölçüde artar. Düzenli yenileme ve izleme ile kesintisiz şifreli bağlantı sağlayın. Bu adımları uygulayarak, kurumsal standartlarda güvenli bir web altyapısı oluşturun ve kullanıcı deneyimini optimize edin.