F5 101 Serisi: Sertifika Yönetimi

Giriş: SSL Sertifikası Nedir?

Bir SSL (Secure Sockets Layer) sertifikası, internet üzerinden güvenli bir bağlantı oluşturmak için kullanılan dijital bir belgedir. Sertifikalar, bir web sunucusunun kimliğini doğrular ve istemci ile sunucu arasındaki veri alışverişinin şifrelenmesini sağlar. Web tarayıcıları ve istemciler, SSL sertifikaları sayesinde güvenli bir bağlantının oluşturulduğunu doğrulayabilir.

SSL Sertifikalarının Türleri

SSL sertifikaları farklı kullanım senaryolarına uygun olarak birkaç türe ayrılır:

1. Kendi Kendine İmzalanmış Sertifikalar (Self-Signed Certificates):
   Bir otoriteye bağlı olmaksızın, doğrudan kullanıcı tarafından oluşturulan ve imzalanan sertifikalardır. Bu tür sertifikalar genellikle geliştirme veya test ortamlarında kullanılır, ancak tarayıcılar tarafından güvenilir olarak işaretlenmez.
2. Root Sertifikalar (Kök Sertifikalar):
   Sertifika Yetkilileri (Certificate Authorities, CA) tarafından oluşturulan ve imzalanan sertifikalardır. Kök sertifikalar, diğer sertifikaların güvenilir olup olmadığını belirleyen temel güvenlik yapı taşlarıdır. Tarayıcılar genellikle güvenilir kök sertifikaların bir listesini önceden yükler.
3. CA Sertifikaları (Certificate Authority Signed Certificates):
   Bir CA tarafından imzalanan sertifikalardır. Bu tür sertifikalar, kullanıcılar ve tarayıcılar tarafından güvenilir olarak kabul edilir. Çoğu ticari web sitesi ve uygulama, kullanıcı güvenini artırmak için bu tür sertifikalar kullanır.
4. Wildcard Sertifikalar:
   Birden fazla alt alan adı (subdomain) için geçerli olan sertifikalardır. Örneğin, bir *.domain.com sertifikası, www.domain.com, mail.domain.com ve blog.domain.com gibi adresler için kullanılabilir.
5. SAN Sertifikaları (Subject Alternative Name):
   Aynı sertifika içerisinde birden fazla alan adını kapsayabilir. Örneğin, hem domain.com hem de www.domain.com adreslerini destekler.
6. Extended Validation (EV) Sertifikalar:
   En üst düzey doğrulama sunan sertifikalardır. Bu sertifikalar, şirketin kimliğini doğrulamak için ek inceleme gerektirir ve genellikle tarayıcının adres çubuğunda şirket adının görünmesini sağlar.

Root ve Self-Signed Sertifikalar Arasındaki Farklar

Root Sertifikalar:
Kök sertifikalar, güvenilir bir CA tarafından oluşturulur ve imzalanır. Sistemlerin güvenlik mekanizmalarında kritik rol oynar, çünkü diğer sertifikaların güvenilirliği bu kök sertifikalara dayanır.

Self-Signed Sertifikalar:
Kendi kendine imzalanmış sertifikalar, bir CA tarafından doğrulanmaz ve yalnızca oluşturulan sistem tarafından güvenilir olarak işaretlenir. Üretim ortamında kullanılmaları güvenlik riskleri yaratabilir, çünkü kullanıcılar bu sertifikalara güvenmekte tereddüt edebilir.

SSL Sertifikası Türleri

BIG-IP sisteminde kullanılabilecek SSL sertifikaları şu şekilde sınıflandırılabilir:

1. Kendi Kendine İmzalanmış Sertifika (Self-Signed Certificate):
   Bu tür sertifikalar, kendi özel anahtarıyla imzalanır. BIG-IP yazılımında varsayılan olarak kullanılan ve “default” olarak adlandırılan bir kendi kendine imzalanmış sertifika bulunmaktadır. Bu sertifika SSL trafiğini sonlandırmak için kullanılabilir. Ayrıca, mevcut kendi kendine imzalanmış sertifikaları yenileyebilir veya ek kendi kendine imzalanmış sertifikalar oluşturabilirsiniz.
2. CA Sertifikası (Certificate Authority):
   Bu tür sertifikalar, bir Sertifika Yetkilisi’nin (CA) özel anahtarıyla imzalanır. CA sertifikaları, BIG-IP sistemindeki kendi kendine imzalanmış sertifikaların yerine güvenilir bir üçüncü taraf tarafından imzalanmış sertifikalar kullanmanıza olanak tanır. Güvenilir CA sertifikalarıyla BIG-IP sistemlerini kimlik doğrulamak, kendi kendine imzalanmış sertifikalardan daha güvenlidir.

SSL Sertifikalarının Yönetimi

BIG-IP sisteminde SSL sertifikalarını yönetmek için aşağıdaki işlemleri gerçekleştirebilirsiniz:

Yeni SSL Sertifikaları ve Anahtarlarıyla Çalışma

1. Kendi Kendine İmzalanmış SSL Sertifikası Oluşturma

Kendi kendine imzalanmış bir SSL sertifikası oluşturmak için şu adımları izleyebilirsiniz:

1. BIG-IP yapılandırma arayüzüne giriş yapın.
2. SSL Sertifikası Listesi sayfasına gidin:
   • BIG-IP 13.x ve sonrası: System > Certificate Management > Traffic Certificate Management > SSL Certificate List
   • BIG-IP 12.x ve öncesi: System > File Management > SSL Certificate List
3. “Create” seçeneğini tıklayın.
4. Sertifika için bir ad belirleyin.
5. “Issuer” listesinde “Self” seçeneğini seçin.
6. Ortak Ad (Common Name) ve diğer sertifika ayarlarını yapılandırın.
7. Anahtar Özellikleri (Key Properties) altında uygun bir Anahtar Türü (Key Type) ve Boyut (Size) seçin.
8. “Finished” düğmesine tıklayın.

Yeni Sertifika İçin SSL Profili Oluşturma

Yeni bir SSL sertifikası kullanabilmek için, F5 BIG-IP üzerinde doğru bir SSL profili oluşturmanız gerekir. Bu SSL profili, yük dengeleyicinin HTTPS trafiğini yönetmesini sağlar.

1. Yeni Bir Client SSL Profili Oluşturma

F5 BIG-IP, yük dengeleleyicisinin istemcilerle güvenli bir bağlantı kurabilmesi için bir Client SSL Profili kullanır. Bu profili oluşturmak için şu adımları takip edebilirsiniz:

1. Local Traffic > Profiles > SSL > Client > Create yolunu takip edin.
2. Oluşturulacak profile anlamlı bir isim verin. İsimlendirme konusunda “ssl” ve “client” anahtar kelimelerini kullanmanız, ilerleyen zamanlarda yüzlerce obje arasında bu profili kolayca bulmanıza yardımcı olacaktır.
3. Add butonuna tıklayarak sertifika, anahtar ve zincir bilgilerinizi belirtin.

Bu aşamada, eğer sertifikalarınız tek bir obje altında birleşmişse, certificate, key, ve chain seçeneklerinde aynı ismi göreceksiniz. CSR (Certificate Signing Request) oluştururken bir parola belirlemediyseniz, Passphrase bölümünü boş bırakabilirsiniz.

2. Sertifika, Anahtar ve Zincir Detaylarının Girilmesi

Sertifikanız, anahtarınız ve zinciriniz F5 BIG-IP’deki aynı obje altında yer alıyorsa, her üçü için de açılır listelerden doğru objeyi seçmeniz yeterlidir. Bu işlem sonunda, profilinize tüm gerekli sertifika bilgileri eklenmiş olacaktır.

3. SSL Profilinin Kaydedilmesi

Yukarıdaki adımları tamamladıktan sonra, sayfanın alt kısmında yer alan Finished butonuna tıklayarak bu yeni Client SSL Profile‘ı kaydedebilirsiniz. Bu profil, HTTPS trafiği için sertifikanızı kullanabilmenizi sağlar.

4. SSL Profilinin Sanal Sunucuya Uygulanması

SSL profili oluşturduktan sonra, bu profili belirli bir sanal sunucuda kullanmak için şu adımları izleyin:

1. Local Traffic > Virtual Servers > Virtual Server List menüsüne gidin.
2. İlgili sanal sunucuyu seçin ve SSL Profile (Client) bölümünde yeni oluşturduğunuz Client SSL Profile‘ı seçin.

Bu işlemden sonra, yük dengeleleyici HTTPS trafiğini yeni sertifikayla yönlendirmeye başlayacaktır.

2. CA İçin SSL CSR ve Özel Anahtar Oluşturma

Bir CA sertifikası almak için bir Sertifika İmza Talebi (CSR) oluşturmanız gerekir. Bunun için:

1. Yapılandırma arayüzüne giriş yapın ve SSL Sertifikası Listesi sayfasına gidin.
2. “Create” seçeneğini seçin ve benzersiz bir ad girin.
3. “Issuer” listesinde “Certificate Authority” seçeneğini seçin.
4. Gerekli Ortak Ad (Common Name) değerini girin (ör. www.domain.com).
5. Anahtar Özelliklerini yapılandırın ve gerekirse FIPS donanım güvenlik modülü (HSM) kullanımı için ayarları yapın.
6. “Finished” seçeneğini tıklayın ve CSR’yi sisteminizde bir dosya olarak indirin.

Bir SSL sertifikası alırken, oluşturulan CSR dosyasının sertifikayla uyumlu olduğundan emin olmak önemlidir. Bu uyumluluk, özel anahtar, CSR ve sertifikanın aynı kriptografik veriyi paylaşmasıyla sağlanır.

CSR dosyası oluşturulduktan sonra bir sertifika otoritesine (CA) gönderilir ve imzalanmış sertifika alınır. Ancak, bu sertifikayı kullanmadan önce CSR ve sertifikanın eşleştiğini doğrulamanız gerekir. Bu işlem için çevrimiçi araçlar veya komut satırı araçları kullanılabilir.

Sertifika ve CSR Eşleştirme Kontrolü

CSR ile sertifika eşleşmesini kontrol etmek için şu araçları veya yöntemleri kullanabilirsiniz:

• Cert-Match Web Araçları
  Sertifika eşleşme kontrolü için aşağıdaki çevrimiçi aracı kullanabilirsiniz:
  • SSL Shopper
• Bu siteler, CSR ve sertifika dosyalarını karşılaştırarak uyumluluğu doğrular. CSR ve sertifikayı yükleyerek Common Name (CN), Organization (O) ve diğer bilgilerin eşleşip eşleşmediğini görebilirsiniz.

• OpenSSL ile Kontrol
  CSR ve sertifikayı manuel olarak doğrulamak için OpenSSL kullanılabilir. Aşağıdaki komutlarla CSR ve sertifikanın “modulus” değerlerini karşılaştırabilirsiniz:

openssl req -noout -modulus -in example.csr | 
openssl md5 openssl x509 -noout -modulus -in example.crt | openssl md5 

• Her iki komutun çıktısı aynı olmalıdır. Eğer farklıysa, sertifika ile CSR uyumsuzdur.

Chain Sertifikası Nedir ve Neden Gereklidir?

Chain sertifikası (ara sertifika), bir SSL sertifikasının tarayıcılar ve diğer istemciler tarafından güvenilir olarak kabul edilmesini sağlar. Bu yapı, sertifika otoritesinin (CA) root sertifikasına kadar uzanan bir zincir oluşturur.

Chain Sertifikası Olmadan Ne Olur?

Bir chain sertifikası olmadan, sertifikanız root CA tarafından doğrudan imzalanmadığı için güvenilirlik hataları oluşabilir:

• Tarayıcılar, sertifikayı “güvenilmez” olarak işaretler.
• Mobil cihazlar veya özel uygulamalar bağlantı sorunları yaşayabilir.

Chain Sertifikası Nasıl Oluşturulur?

Chain sertifikasını oluşturmak için CA’nın sağladığı ara sertifikaları kullanabilirsiniz. Genellikle CA, bir veya daha fazla ara sertifika sağlar. Bu sertifikalar zincirleme yapılmalıdır:

1. Chain Dosyası Oluşturma
   Ara sertifikaları birleştirmek için şu adımları izleyin:

cat intermediate1.crt intermediate2.crt > chain.crt 

1. Bu komut, birden fazla ara sertifikayı tek bir dosyada birleştirir.
2. Chain Sertifikası Nereden Alınır?
   Zincir sertifikası genellikle CA’nın web sitesinden indirilebilir. CA tarafından sağlanan sertifika paketi (ZIP dosyası) içinde ara sertifikalar bulunur. Aşağıda popüler CA’ların chain sertifikası indirme bağlantıları verilmiştir:
   • DigiCert
   • GlobalSign
   • Let’s Encrypt

Chain Sertifikası F5 BIG-IP Üzerinde Nasıl Yüklenir?

1. Ara Sertifikayı Yükleme
   Ara sertifikayı veya oluşturduğunuz chain.crt dosyasını F5’e yükleyin:
   • System > File Management > SSL Certificate List bölümünden yeni bir sertifika ekleyin.
2. SSL Profile ile Zincir Sertifikasını Tanımlama
   Yeni bir Client SSL Profile oluştururken şu adımları takip edin:
   • Certificate: Sunucu sertifikasını seçin.
   • Key: Sertifika ile uyumlu özel anahtarı seçin.
   • Chain: Oluşturduğunuz chain.crt dosyasını seçin.

Bu işlem sonrası zincirleme tamamlanır ve sertifika, tarayıcılar ve istemciler için tam güvenilir hale gelir.

3. SSL Sertifikası İçe Aktarma

CA tarafından gönderilen imzalanmış bir SSL sertifikasını BIG-IP sistemine yüklemek için:

1. Sertifikayı bir metin dosyasına kaydedin. Dosya, “BEGIN CERTIFICATE” ve “END CERTIFICATE” etiketlerini içermelidir.
2. Yapılandırma arayüzüne giriş yapın.
3. SSL Sertifikası Listesi sayfasına gidin ve “Import” seçeneğini seçin.
4. “Certificate Name” alanında sertifika adını girin veya mevcut bir sertifikayı üzerine yazmak için ilgili seçeneği belirleyin.
5. Sertifikayı yüklemek için dosya seçin veya metni yapıştırın.
6. “Import” düğmesini tıklayın.

Mevcut SSL Sertifikaları ve Anahtarlarıyla Çalışma

Sertifika Yenileme

Bir CA’dan alınmış SSL sertifikasını yenilemek için yeni bir CSR ve özel anahtar oluşturmanız önerilir. Yenilenen sertifikayı sisteme yükledikten sonra, mevcut trafiği kesmeden yeni sertifika kullanılmaya başlanır.

Sertifika Özelliklerini Görüntüleme

Mevcut sertifikaların özelliklerini görüntülemek için:

1. Yapılandırma arayüzüne giriş yapın.
2. SSL Sertifikası Listesi sayfasında, incelemek istediğiniz sertifikayı seçin.

Bu işlem sertifikanın ortak ad, son kullanma tarihi, genel anahtar uzunluğu gibi bilgilerini görüntülemenizi sağlar.

About the Author

melih can altan

Administrator

View All Posts