Public Sertifika Alım Süreci
İnternet ortamında bir çok istemci tarafından kabul gören bir djital SSL sertifikası almak istiyorsunuz ancak hangi adımları gerçekleştireceğinizi bilmiyor olabilirsiniz. Bu yazımızda teknik detaylara girmeden bir sertifika alım sürecini genel bir çerçevede anlatacağız.
Hangi domain (FQDN) için sertifika alınacak ?
Sertifika alım sürecinin ilk aşaması sertifikanın bir domain name için mi yoksa birden fazla domain name için mi alınacağı kararlaştırılmalıdır. Genellikle sertifika almak isteyen kullanıcıların çok önemsemediği kısım bu aşamadır.
Diyelim www.xyz.com şeklinde bir siteniz var. Bunun yanı sıra giris.xyz.com gibi bir subdomain'iniz daha var. Siz gidip sertifikayı www.xyz.com için alırsanız, malesef giris.xyz.com sertifika almış olmazsınız. Bu yüzden bir uygulama için alıyorsanız ve o uygulamanın her tarafında şifreleme istiyorsanız o uygulamanın kullandığı tüm alan adları içinde sertifika oluşturmanız gerekecektir. Yok ben sadece giris.xyz.com kısmının şifreli olmasını istiyorum diyorsanız, uygulamızı ona göre önceden düşünüp geliştirmiş olmanız gerekmektedir.
Bunu şundan belirtiyorum. Çünkü bir çok geliştirici ssl 'in bir gün karşısına çıkacağını bilmeden geliştiriyor. Bir web sitesi www.xyz.com gibi bir sayfa geliştirmiş olabilir. Resimleri de img.xyz.com gibi bir subdomain altında sunabilir ve web sayfasındaki linklerden bu subdomainden çağırıyor olabillir. Siz direkt sunucu da tüm site şifreli olacak şekilde ayarlarsanız, o zaman kullanıcı tarayıcıdan uyarı alacaktır.
Ne tip bir sertifika almam gerekir ?
Hangi tür domain'ler için sertifika alacağınızı belirlediniz. İkinci aşamada fiyat, sertifika araştırması yapmak istiyorsunuz. Bu aşama belkide en zor aşama. Çünkü önünüze bir çok otorite bir çok farklı sertifika tipi çıkıyor. Bu aşamada benim fikrim sertifika kaydedici firmayla daha önceden çalışıyorsanız onlara isteklerinizi açık ve detaylı belirterek sormak olacaktır. Ancak sizlere sadece ellerindeki sertifika tiplerinden register edebileceğinden daha fazla detayı bilmenizi öneririm. Bu sebeple aşağıdaki bu sorunuza cevaben aşağıdaki soru başlıklarınızı okumanızı öneririm. Aşağıdakileri bilmeniz yeterli olacaktır. Yeniden oluşturma, 1 hafta içinde iptal edebilme, temin süresi, doğrulama yöntemi, sigorta vs. genellikle otoritenin iş modeliyle alakalı şeylerdir.
Mobil uyumlu sertifika nedir ?
Sertifika alım sürecinde sertifikanızın mobil cihazlarda da uyumlu olmasını isteyebilirsiniz. Sertifika kaydedici firmaların sitelerine gittiğinizde sertifikanın mobil uyumlu olduğu belirtilir. Bu şu demektir. Sertifikayı imzalayan CA'in güncel mobil cihazların çoğunda tanındığını söyler. Yani sertifikanın içerisine mobili destekler gibi ekstra bir alan yoktur. Bilindik, rankı yüksek bir CA tarafından imzalanmış bir sertifika alıyorsanız mobil istemciler tarafından tanınıyor olmaması çok azdır. Ancak yine de sertifikanın detay kısmında bu detayın verilmiş olduğundan emin olunuz.
Alan adı doğrulama (domain validation, dv) nedir ?
Sertifika alırken public CA'ler sizin gerçekten domain'in yöneticisi olduğunuz doğrulamaları gerektiğinden alan adı doğrulaması yaparlar. Yoksa herkes herkesin yerine sertifika alır. Genellikle domain'in whois bilgisinde yer alan yönetici mail adresine ya da admin@domaininiz.com adresine doğrulama maili gönderip belirtilen linkten onaylama seçeneğine basmanızı bekler. Bu sebeple sadece alan adı doğrulama gerektiren sertifikaları otorite tarafından kısa bir süre içinde hızlıca temin etmek mümkün.
Kurum doğrulama nedir ?
Bazı sertifikaları alırken CA'ler sadece domain'in sahip olup olmadığınıza bakmaz. Bunun yanı sıra kurumsal doğrulama da yaparlar. Bunun için sizlerden ticari sicil gazetesi gibi kurumunuzu doğrulayacak belgeleri de talep ederler. Bunun yanı sıra kurumunuzdan yetkili bir kimseyi telefon üzerinden de arayabilirler. Tamamen otoritenin iş modeline bağlı bir durumdur. Süreç doğal olarak sadece alan doğrulaması olmaması sebebiyle daha uzundur. Bu aşamanın daha hızlı ilerlemesini istiyorsanız belgelerinizin İngilizce olanlarını gönderiniz ve telefonla arama yapılacağı söylendiğinde uygun zamanlarınızı belirtiniz.
Extended Validation (EV) sertifika nedir?
EV özellikli sertifikaların bir kaç avantajı vardır. Ancak en bilindik alınma sebebi tarayıcılarda EV alanına belirttiğiniz ticari ünvanın görülmesidir. Genellikle ticari satış yapan firmalar, bankalar EV özellikli sertifikaları tercih ederler. Bu tarz sertifikaları almak içinde tabi ki kurumsal doğrulama yapmanızı isterler.
Wildcard Sertifika Nedir?
Bir domain'in altındaki tüm subdomain'leri de kapsayan sertifika tipidir. Bu sertifikayı genellikle bilinçsizce alındığından, bu sertifikayı almadan önce iyi düşünmek gerekir. Gerçekten wildcard'a gerek duyuyor muyum sorusunu kendinize sormalısınız. Özellikle kurumsal firmaların elinden geldikçe ve zorunlu kalmadıkça wildcard kullanmamasını öneririm. Wildcard kolaya kaçmaktır. Wildcard sertifikasının ele geçirilmesi durumunda sıkıntısı da büyük olacaktır.
SAN desteği nedir ?
Sertifikaları genellikle 1 tek hostname için alırız. Ancak olur da farklı hostnameler için ya da bir domain'in birden fazla alt domaini için tek bir sertifika almak istiyorsanız; bu durumda SAN destekli sertifikaları tercih edebilirsiniz. Özellikle firmaların SAN destekli sertifikalarında ne kadar hostname 'e izin verdiklerini kontrol ediniz. Bazısı 20'e kadar bazısı 250'e kadar destekleyebilir. Standartta sayı kısıtı yoktur. Ama public CA'ler kendileri iş modelleri oluştururlar ve ona göre belirlerler.
Satın alım yapmadan önce kontrol
Bu adımı belkide en başa yazmam gerekti, ancak sertifika otoritelerini tanımadığını varsayarak burada yazmaya karar verdim. Çoğu zaman özellikle kurumsal yerlerde bir sertifika birden fazla alınıp unutulunca tekrardan alınabiliyor. Bu yüzden ilgili sertifika otoritesinden veya sürekli çalıştığınız firmanın sağlamış olduğu panellerden ya da sertifikaların yüklendiği uygulama sunuculardan sertifikanın daha önceden alınıp almadığını da kontrol ediniz.
CSR kodu oluşturma ve Sertifika talebi
Sertifika tipini belirlediniz. Başvuru işlemi sırasında ne kadar süreli bir sertifika alacağınızı da belirlediniz. Şimdi bir CSR kod oluşturucu yazılımla CSR kod oluşturmaya. Genellikle Windows sunucularda IIS Sunucusundan bunu rahatlıkla yapabilirsiniz. Linux 'larda da tercihiniz openssl aracı olabilir.
CSR oluşturmanın temel mantığı oluşturduğunuz private key'e bağlı public key'i otoriteye paylaşmak. CSR kodunu online sitelerden kesinlikle oluşturmayın. Sertifikanın yükleneceği sunucu da veya erişimi kısıtlı güvenli denilebilecek bir sunucu da oluşturunuz. Çünkü CSR oluşturmadan önce private anahatarda burada yer aldığından private anahtarın dışarıya çıkmaması gerekmemektedir.
CSR oluşturucu da sizden istenilen alanları özellikle kurumsal sertifika alacaksanız doğru girmeye özen gösteriniz. Oluşturduğunuz CSR bilgisini daha sonra manuel olarakta gözden geçirin. Oluşan CSR kodunun çıktısını herhangi bir web sayfasında da görüntülemenizde bir sakınca yoktur. Çünkü içerisinde private anahtar yoktur.
CSR ile birlikte firmaya CSR bilgisi gönderilir. Firma sizin CSR'ınıza bakar ve satın aldığınız sertifika tipine göre sizi doğrulamaya çalışır. Firmanın doğrulama aşamalarını geçtikten sonra sertifikanız firma tarafından oluşturulup sizlere genellikle mail aracılığıyla gönderilir.
Böylece sertifika alım süreci tamamlanmış ve sertifikanız sizlere gelmiş olur. Bundan sonraki aşama sertifikanın private key'inin de olduğu uygulama sunucusuna yüklenmesi aşamasıdır.
Kaynak: https://www.gokhankesici.com/public-sertifika-alim-sureci/