Güvenlik

SSL ve TLS Sertifika Oluşturulması


İnternet doğası gereği karşımızdakinin doğru kişi olup olmadığını hatta karşımızda olup olmadığını dahi bilemeyeceğiz bir yapıda gelişmiştir. İnternetin gelişimi ile bilgi birikiminin gelişiminin aynı hızla ilerlememekte, ilerleyememektedir. Bu sebeple birçok suiistimal ile karşılaşılmaktadır. Saldırganların iştahını en çok kabartan suiistimal yöntemlerinden biri de son kullanıcının farkında olmadan başka bir web sitesine yönlendirilmesidir.


 


Peki, gerçekten girmeye çalıştığımız web sitesinin aslında erişmek istediğimiz site olduğundan nasıl emin olabiliriz? Burada devreye sertifika kavramı girmektedir. Sertifika ile kimlik doğrulama işlemi yapılır. Web sitesi kendisi son kullanıcıya tanıtır. Kimlik doğrulama sağlandıktan sonra verinin şifreli iletilmesi süreci başlar. En basit anlamıyla, Sertifika kişinin açık anahtarının yetkili bir sertifika otoritesi tarafından imzalanmış halidir denilebilir.


 


Sertifika otoritelerini (Certification Authority-CA), kurumların ve kişilerin gerçek manada o kurum/kişi olduklarını onaylayan üst kurumlar olarak tanımlayabiliriz. CA sertifika başvurusunda bulunan kişi/kurumun gerçekten o kişi/kurum olduğunu garanti eder. Sertifika onaylarını, kayıt otoritesi (Registration Authority-RA) olarak adlandırılan yerel kurumlar aracılığı ile yapabiliriz. Bu kurumlara yapılan sertifika taleplerinde şu adımlar izlenir;


 


·         Sertifika İmzalama isteği oluşturulması


·         Sertifika talebinde bulunulması


·         Kurum bilgilerinin doğrulanması


 


 


1 – Sertifika İmzalama isteği oluşturulması(Certificate Signing Request-CSR)


 


Sertifika talebinde bulunacak olan kurumun sunucusuna uygun bir anahtar çifti oluşturması gerekmektedir. CSR dosyasını herhangi bir web sunucuda oluşturabiliriz.


 


IIS yüklü bir sunucuda CSR oluşturulması


 


Microsoft Yönetim Konsolu (mmc) ‘den Internet Information Services (IIS) Manager açılır.


 


 


image001


 


 


image002


 


 


image003


 


 


Bu adımda Web Sitesi ismi örnek olarak Default Web Site verilmiştir.


 


 


image004


 


 


Properties denilerek Directory Security sekmesine geçilir. Burada Secure Communications altında Server Certificate seçilir.


 


 


image005


 


 


Sihirbaz başlatılır.


 


 


image006


 


 


Create a new certificate denilerek devam edilir.


 


 


image007


 


 


image008


 


 


Name alanı sertifikada görülen “Friendly name” bölümüdür. Bu alana sertifikanın kullanacağını alan adı girilir. Sertifika uzunluğu seçilir. Sertifika otoriteleri bu değerin 2048 bit olacak şekilde girilmesini şart tutmaya başlamışlardır.


 


 


image009


 


 


Bu adımda girilecek parametreler RA tarafından kontrol edilecektir. Bu alanların doldurulması sırasında Türkçe karakterler kullanılmamalı ve girilen kurum adı bilgisi domaine ait WHOIS bilgileri ile aynı olmalıdır.


Organization: Kurumun ticari unvanı


Organization Unit: Departman


 


 


image010


 


 


Common Name: Kullanılmak istenilen domain adresi


 


 


image011


 


 


Country/Region: Ülke kodu (TR)


State/Province: İl


City/Locality: İlçe


 


 


image012


 


 


CSR dosyası RA’ya gönderilecek şekilde hazırlanmıştır;


 


 


image013


 


 


image014


 


 


2 – Sertifika Talebinde Bulunulması


 


Üretilen CSR ile sertifika talebinde bulunulur. CSR’ın RA’ ya iletilmesi ile birlikte bir başvuru formu doldurulması gerekmektedir. Bu formda teknik sorumlu kişinin iletişim bilgileri ve fatura/kurum bilgileri yer alır. Kurum içerisindeki yetkili yöneticinin onayı ile RA’ya bu form gönderilir. Yönetici onayında CA tarafından sunulan abonelik anlaşmasının okunup, onaylandığı taahhüt edilir. Talep formuyla birlikte aşağıdaki belgeler RA’ya iletilir:


 


·         Kurumsal sicil kaydı (özel şirketler için ticari sicil gazetesi) fotokopisi


·         Kurum yetkilisine/yetkililerine ait imza sirkülerinin fotokopisi


·         Sunucu (SSL) sertifikasının bedelinin ödendiğine dair banka dekontu


·         Kurumun, sunucuya ait alan adına sahipliğini gösterir belgenin örneği


 


Bu mekanizma onaycı kurumlar arasında işleyiş sırası olarak farklılık gösterebilir. Bazı kurumlar başvuru için talep yazısı istemekte, ardından CSR ile başvuru formunu istemektedir.


 


 


image015


 


 


3 – Kurum Bilgilerinin Doğrulanması


 


 


RA, kendisine iletilen belgeleri kontrol edip doğrulanmasının ardından gerekli bilgileri CA’ya gönderir. CA, başvuran kişi/kurumun Public Key’ inin Hash’ ini alıp kendi Private Keyi ile şifreler (imzalar). Yani, dijital imza Public Key Hashi’nin CA’in Private Keyi ile şifrelenmesidir. CA, başvuruyu yapan kişi/kurumun Public Keyi ve ve bu Hash’i kullanarak sertifika üretir[1].


 


4- Sertifikanın Sunucuya Yüklenmesi


 


 


Microsoft Yönetim Konsolu (mmc) ‘den Internet Information Services (IIS) Manager açılır. Bu bölümde CSR oluşturmada ilerlenen adımlar izlenir.


Default Web Site üzerinde Properties denilerek Directory Security sekmesine geçilir. Burada Secure Communications altında Server Certificate seçilir.


 


 


image016


 


 


Sihirbaz başlatılır.


 


 


image017


 


 


Process the Pending Request and Install the Certificate seçilerek devam edilir.


 


 


image018


 


 


 


CA tarafından teknik sorumluya ulaştırılan sertifika seçilerek yükleme işlemi tamamlanır.


 


 


image019


 


 


5- Sertifika Temininin Ardından Yapılması Gereken Adımlar


 


 


Üretilen sertifika RA tarafından teknik sorumlu kişi ile paylaşılıp yüklenmesinin ardından teknik sorumlu bu adımda sertifikayı yedeklemeli ve güvenli bir harici depolama ortamında saklanmalıdır.


 


IIS yüklü bir sunucuda sertifikanın yedeklenmesi


Microsoft Yönetim Konsolu (mmc) ‘den Certificates açılır.


 


 


image020


 


 


Computer Account seçilir.


 


 


image021


 


 


Local Computer seçilerek işlem tamamlanır


 


 


image022


 


 


“Add/Remove Snap-in” penceresini kapatmamızın ardından Console Root” altında, Certificates (Local Computer)”>Personal>Certificates” da sertifikayı görebiliriz.


 


 


image023


 


 


All Tasks>Export denilir;


 


 


image024


 


Sihirbaz başlatılır;


 


 


image025


 


 


Private key ile birlikte export edilir;


 


 


image026


 


 


Include all certificates in the certification path if possible” ve “Enable strong protection” seçilerek devam edilir.


 


 


image027


 


 


Sertifika dosyasını güvenli olarak saklamak için bir şifre girilir. Bu şifre import edilme işlemi sırasında sorulacaktır.


 


 


image028


 


 


Yedek dosyasına isim verilerek işlem tamamlanır.


 


 


image029


 


 


image030


 


 


Bu yedek dosyası kullanılmak istenildiğinde import edilmesi yeterli olacaktır. Gerekli root sertifikalar ve private-public key bu dosya içerisindedir.

İlgili Makaleler

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu