Sertifikalar; intranet yada internet ortamında client-server arasında güvenlik gerektiren işlemler için kullandığımız yöntemlerden biridir. İşte bu sertifikaları temin ettiğimiz otoritelere Certificate Authority (CA) denilmektedir. İnternet ortamında sertifika satın alacağınız birçok kuruluş vardır. İsterseniz siz de kendi yapınızda güvenliği sağlamak için bir CA yapılandırabilir ve sertifikalarınızı bu CA üzerinden oluşturabilirsiniz. Sertifikalar günümüzde birçok uygulama tarafından kullanılmakta olduğu için (Exchange Server, Lync, güvenlik gerektiren bazı web uygulamaları gibi) çoğu Web Admin’in ve Sistem Uzmanlarının bilgi sahibi olması gereken bir konu olmaktadır.

Temel olarak 3 farklı sertifika tipi vardır:

Self-Signed: Uygulamanın kendisi tarafından oluşturulan sertifikalardır. Örneğin Exchange Server yada IIS üzerinde herhangibir sertifika sağlayıcısına gerek kalmadan Self-Signed bir sertifika oluşturabilir ve kullanabilirsiniz. Hatta Exchange Server’ı kurduğunuzda bir Self-Signed sertifika otomatik olarak oluşturulur ve Exchange işlemleri için bu sertifika kullanılır. Ancak Self-Signed Sertifikalar genelde test amaçlı olarak kullanılır ve bir production ortamında tercih edilmezler.

Public Key Infrastructure (PKI): Bu yapı ile ağınızda bir Certificate Server yapılandırabilir ve uygulamalarınız için sertifikalarınızı bu server üzerinden dağıtabilirsiniz. Böylece tüm sertifikalarınız tek bir noktada toplanmış ve tek bir noktadan yönetilmiş olacaktır. Biz de bu makalemizde Active Directory Certificate Services’ı yapılandırarak bir web uygulamasının bir bölümünün (yada isterseniz hepsinin) bu CA üzerinden sağlamış olduğumuz sertifika ile güvenliğinin nasıl sağlanacağını ve bu işlemi gerçekleştirmek için neler yapılması gerektiğini göreceğiz.

Trusted Third-Party Certificates: Sertifika sağlamanın diğer bir yöntemi de uygulamanız için gerekli olan sertifika yada sertifikaların Third-Party bir sertifika sağlayıcısından satın alınmasıdır. Bu tarz sertifikaların kullanımı daha kolaydır ve yaygın bir kullanıma sahiptir. Trusted Third-Party Sertifikalar, clientlar tarafından otomatik olarak güvenilirdir. Örneğin aşağıdaki Hotmail oturum açma ekranında SSL’li bir bağlantının gerçekleştirileceğini ve burada kullanılan sertifikanın VeriSign tarafından imzalandığını görüyorsunuz.

Trusted Third Party Sertifikaları nereden ve nasıl temin etmeniz gerektiğine makalenin son kısmında değineceğim. Yavaş yavaş uygulamamıza başlayabiliriz. Örneğimizde, Active Directory ortamında bir Certification Authority (CA) yapılandıracağız ve buradan elde ettiğimiz bir sertifikayı yine intranet ortamımızda yer alan bir IIS Server üzerindeki web sayfasının bir bölümünde nasıl kullanmamız gerektiğini inceleyeceğiz. 2 tane server’ımız var. Bir tanesi DC (Active Directory Certificate Services’i bu server üzerine kuracağız), diğeri de IIS Server.

Active Directory Certificate Services kurulumu için DC’ye gidelim. Server Manager’ı açalım ve aşağıdaki adımları takip edelim.

Yukarıda gelen ekranda Certification Authority ve CA’ya web arayüzünden de erişebilmek için Certification Authority Web Enrollment’ı seçelim ve Next diyelim.

CA, Active Directory ortamına hizmet edecekse Enterprise, WorkGroup ortamında yapılandıracaksanız Standalone’ı seçmeniz gerekmektedir. Active Directory olan bir ortamda CA yapılandırmak istiyoruz. O zaman Enterprise seçeneğini işaretliyoruz.

Bazen bir Root CA yapılandırıp, bu Root CA’in altında yine Root’a bağlı kalmak şartıyla alt CA’ler oluşturmanız gerekebilir. Böyle bir durumda Root’un altındaki CA’leri Subordinate CA olarak yapılandırmanız gerekmektedir. Biz ilk Certification Authority’mizi yapılandırmak istediğimiz için Root CA’i işaretliyor ve Next diyoruz.

Yukarıdaki ekranda ise hangi şifreleme algoritmasının kullanılmasını istiyorsanız, onu seçebilirsiniz. Varsayılan ayarları değiştirmiyor ve Next diyoruz.

Satın aldığınız yada bizim gibi intranet ortamında bir CA tarafından oluşturulacak olan her sertifikanın bir geçerlilik süresi vardır. Bu süre sonunda sertifikanın yenilenmesi gerekmektedir. Yukarıdaki ekranda, oluşturulacak olan sertifikaların geçerlilik süresini ayarlayabilirsiniz. 5 yıl diyor ve Next butonuna tıklıyorum.

Sertifika database’i ve log dosyalarının nerede tutulacağını yukarıda görüyorsunuz. İsterseniz bu path’leri değiştirebilirsiniz.

CA kurulumunun en başında Certification Authority Web Enrollment seçeneğini işaretlediğimiz için bazı IIS komponentlerinin kurulması gerekmektedir. Yukarıdaki ekran bu yüzden gelmektedir.

Kurulumdan sonra CA web arayüzüne http://<ServerName>/certsrv şeklinde erişebilirsiniz.

Yada Administrative Tools altından Certification Authority seçeneğine tıklayarak CA’e erişebilirsiniz.

Certification Authority’mizi başarıyla kurduk. Şimdi de diğer serverımıza gidiyorum. IIS üzerindeki yapımızı inceleyelim.

www.yazilimdevi.com ismiyle bir web sitemiz var. Yine bu sitenin altında bir application şeklinde (virtual directory de olabilirdi) Odeme isminde bir applicationumuz var.

 

Sitemizin tamamında değil de sadece ödeme bilgilerinin girileceği ekranda SSL’in çalışmasını istiyorum (Gerekli DNS ayarları yapıldı. DNS üzerinde www.yazilimdevi.com ismiyle bir CNAME yada Host A kaydı oluşturabilirsiniz). Bu yüzden Siteyi 80. Porttan yayınladım. Ancak tıklayınız yazısına tıklandığında https://www.yazilimdevi.com/Odeme şeklinde yeni bir sayfanın açılmasını, yani bu açılan sayfanın SSL ile çalışmasını istiyorum. Şu anda Odeme sayfası, www.yazilimdevi.com ‘un altında bir Application olarak yapılandırıldığı için http://www.yazilimdevi.com/Odeme dediğinizde SSL’siz bir şekilde aşağıdaki ekran gelmektedir.

Şimdi bu ödeme ekranını SSL’li hale getirelim. Bu işlem için öncelikle bir sertifika isteğinde bulunmamız gerekiyor. Bunun için sitemizi yayınladığımız IIS’i açalım. Aşağıdaki işlemleri takip edelim.

Biz bir web sayfası için sertifika talebinde bulunacağımız için bu işlemleri IIS üzerinden yapıyoruz. Eğer örneğin Exchange için sertifika talep etmemiz gerekseydi, bu işlemi Exchange Management Console üzerinden gerçekleştirecektik.

Yukarıdaki Server Certificates ekranında öncelikle bir Certificate Request’i oluşturmamız gerekiyor. Burada yapacağımız işlem ister kendi CA’inizden sertifika talep etmek için olsun, isterseniz de Third-Party bir sertifica otoritesinden alacağınız sertifika olsun aynı şekilde gerçekleşecektir. Third-Party bir Certification Authority’den sertifika satın alacaksanız da öncelikle yukarıdaki ekrandan bir sertifika request’inde bulunacaksınız. Daha sonra buradan elde edeceğiniz text dosyası içeriğini aynen birazdan yapacağımız gibi kopyalayıp karşı tarafa gönderip, bu şekilde istekte bulunacaksınız ve birkaç gün içerisinde sertifikanız size gönderilecektir. Yani bu kısımdan sonra yapacağınız tüm işlemler aynı olacaktır. Bu kısımdan sonrasını dikkatle takip ediniz.

Yukarıdaki ekranda Common Name kısmı önemlidir. Bu kısma biraz değinelim.

Common Name kısmında *.yazilimdevi.com yazabilirsiniz. Böylece buradan üretilecek olan sertifikayı tüm sub domainlerinizde kullanabilirsiniz. Bu şekilde kullanılan sertifikalara WildCard Certificates diyoruz. Çoğu durumda böyle bir sertifika satın almanız bir güvenlik zaafiyeti olacaktır. Bunun yerine SSL gerektiren her subdomain için ayrı bir sertifika kullanmanız daha doğru olacaktır. Örneğin odeme.yazilimdevi.com için bir sertifika, satinal.yazilimdevi.com için ayrı bir sertifika kullanmanız daha güvenli bir yöntem olacaktır. Bizim yapımızda www.yazilimdevi.com altındaki bir application’a SSL uygulamamız gerekiyor. O zaman common name kısmına www.yazilimdevi.com yazıyorum. Eğer bir subdomain şeklinde olsaydı, Common Name kısmına odeme.yazilimdevi.com şeklinde yazacaktık. Diğer gerekli bilgileri de yazıyor ve Next diyoruz.

Yukarıdaki ekranda Default seçenekleri değiştirmiyor ve Next diyoruz.

Bu request sonucunda bir text dosyası oluşturacağını söylemiştik. Bu dosyayı masaüstüne kaydet diyor ve Next diyorum.

Masaüstündeki text dosyamızın içeriği yukarıdaki gibi olacaktır. CA’den sertifika talep ederken yukarıdaki içeriği kullanacağız. Hepsini seçiyor ve kopyalıyoruz. Daha sonra aşağıdaki adımları takip edelim.

Sertifikamız başarılı bir şekilde oluşturuldu. Şimdi IIS üzerinden, sertifika isteğimizi tamamlamamız gerekiyor.

Şimdi son durumu bir inceleyelim.

www.yazilimdevi.com için SSL istemiyoruz. O zaman yukarıda herhangibir değişiklik yapmıyoruz. Şimdi de Odeme isimli Application için SSL ayarlarını kontrol edelim.

Default olarak yukarıdaki gibidir. Biz buraya SSL ile erişilmesiniz istiyoruz. O zaman Require SSL seçeneğini işaretleyelim. Son görüntümüz aşağıdaki gibi olacaktır.

Sonucu görmek için web sitemize bağlanabiliriz.

Yukarıdaki ekranda bir sertifika hatası alıyoruz. Client tarafına bu sertifikayı yüklememiz gerekiyor. İsterseniz bunu iç ağdaki kullanıcılarınız için bir group policy ile de yapabilirsiniz. Ben manuel olarak bu işlemi gerçekleştireceğim.

Yukarıda, bu CA’i güvenilen CA’ler içerisine eklemek için Trusted Root Certification Authorities seçeneğini işaretliyor ve Next diyoruz.

Sertifika import işlemimiz de gerçekleşti. Artık sitemize güvenli bir şekilde bağlanabilmemiz gerekiyor.

Yukarıdaki ekranda Odeme sayfamıza güvenli bir şekilde bağlanabildiğimizi görüyoruz. http ile bağlanılmaya çalışıldığında aşağıdaki gibi bir hata alacaksınız.

Sertifikanızı Third-Party bir Sertifika otoritesinden aldığınızda import işlemleriyle uğraşmanıza gerek kalmayacaktır. İçeride ve dışarıdaki tüm kullanıcılarınız güvenli bir şekilde uygulamanıza erişebileceklerdir. Dolayısıyla uygulamanız internet ortamına da hizmet edecekse, kullanılacak sertifikayı satın almanız daha uygun bir yöntem olacaktır. Şimdi de sertifikayı satın alma işleminin nasıl yapılacağına kısaca bir göz atalım. Sertifikalarınızı GoDaddy gibi sitelerden satın alabilirsiniz.

Yukarıdaki ekrandan hangi seçenek sizin için uygunsa onu kullanabilirsiniz. Sertifika düzenlemek için aynen bizim yaptığımız işlemleri gerçekleştireceksiniz. Önce bir text dosyası oluşturacak, bu dosyanın içeriğini GoDaddy’de ilgili yere yapıştıracaksınız. Daha sonra sertifikanız sizin için download’a sunulacak. Siz de bu sertifika yardımıyla Certificate Request işlemini tamamlayacaksınız.

Uzunca bir makalenin daha sonuna geldik. Sertifika işlemleri çok sık kullanacağınız işlemler olacaktır. Makalenin uzunluğu nedeniyle bazı basit gördüğüm noktaları atlamış olabilirim. Takıldığınız noktalar olursa mail yoluyla yada sitedeki Soru Sor bölümünden sorularınızı sorabilirsiniz. Hepinize iyi çalışmalar.