IIS 7 – SSL Sertifikası Oluşturmak ve SSL Sertifikası Kurulumu

Merhabalar bu makalemizde aslında kurulumu basit olan fakat bir çok kişi tarafından gerek sıkça sorulan gerkese merak edilen bir konu olan IIS üzerine SSL sertifikası kurulumuna değineceğiz. Kısaca SSL ile ilgili bilgi vermemiz gerekirse SSL (Secure Socket Layer) kullanıcınızla sunucunuz arasında ki verileri şifreleyerek iletişimin güvenli bir şekilde sağlanmasını gerçekletiren bir iletişim protokolüdür diyebiliriz. SSL, Netscape firması tarafından geliştirilmiş bir güvenlik protokolüdür ve günümüzde online işlemlerin artmasıyla önemi daha da artmış bir kavram olarak göze çarpmaktadır.

Şimdi dilerseniz hem yalın bir anlatımla hemde basit mantıksal yapısıyla SSL sertifikamızı nasıl oluşturacağımıza değinelim.

Bir SSL sertifikası satın almanın ilk adımı ilgili sunucu üzerinden bir SSL isteği oluşturmaktır. Fakat bu istek öncesinde nasıl bir alan adı için bu sertifikayı kullanacağız bu çok önemlidir. Yani bir hesap bilgilerinin girişinin yapılacağı yada bir online ödeme için alış-verişin sonlandırılacağı bir sub domain için mi (örneğin https://shop.domain.com veya https://login.domain.com) yoksa genel alan adınız için mi alacaksınız bu SSL sertifasını bunu önceden kararlaştırmış olmanız önemli.

Bunların kararından sonra SSL sertifikasını önceden nereden de alacağınızı belirlemeniz de önemli. İsteklerinize göre SSL sağlayıcınız değişebilir. Fakat önde gelen bir kaç firma var. Verisign, Thawte, Comodo, RapidSSL, GeoTrust ve yine bu firmaların sahibi olduğu başka SSL sertifikası sağlayan firmalarda mevcut. SSL sertifikalarındak ücret farklıkları ise sağladıkları güvenlikten ziyade sizlere sundukları olası bir online dolandırıcılıkta tarafınıza ödemeyi taahüt ettikleri ödenekle ilgili. Yani 2048 bitlik Comodo sertifikası daha ucuz olan 2048 bitlik bir sertifadan daha iyi bir güvenlik sağlıyor olması sebebiyle değil farklı ödenek taahütleri sebebiyle pahalı olabiliyor. Yani burda işin tekniğinden çok taahüt kısmında farklılıklar doğabiliyor yada yine sertifika satıcılarının web siteleri için verdiği ek güvenlik hizmetleri olabiliyor. Bunlar ayrı bir konu olduğu için detayına girmiyorum. Fakat sorulabileceğini tahmin ettiğim için kısaca değinmeyi faydalı görüyorum.

Şimdi benim örnek senaryomda SSL için Comodo firması sertifika içinde test.huseyinsevin.com subdomaini kullanılacak. Hazırsak şimdi işlemlerimize başlıyalım.

Şimdi IIS yönetim konsolunu açalım ve aşağıdaki resimde görülen alana gelelim.

Şimdi buradan bir tane sertifika isteği oluşturalım. Bu işlem için sağ panelde ki “Create Certificate Request” linkine tıklayalım. Şu şekilde yani.

Şimdi açılan penceredeki ve resimde görülen yerleri kendimize uygun şekilde dolduralım. Burada önemi olan Common Name bu ad sertifayı hangi alan adı/sub domain için kullanacak isek o olmalı.

Şimdi son adımda oluşturacağımız sertifikanın bit uzunluğunu ve şifreleme methodunu seçelim. RSA şifreleme algoritmasını kullanacağız. Burada ise önemli olan konu Bit length değeri. Bu değerin 1024 mü yoksa 2048 mi olması sertifikayı alacağınız yerin kim olduğuna bağlı olarak değişir. Bunu sertifika alacağınız yerden öğrenebilirsiniz. Mesela Comodo bunun için 2048 bitlik bir değeri isterken RapidSSL de 1024 istiyor. Bu değeri istediklerinden farklı girersseniz size hatalı CSR kodu gibi bir uyarı veririr. Duruma göre sertifika isteğini yeniden oluşturmanız gerekebilir. Ben Comodo için bir sertifika isteği oluşturacağım ve Comodo dan 2048 bitlik bir SSL sertifikası satın alacağım o yüzden ben Bit length değerini 2048 giriyorum. 256, 286, 512 veya daha başka değerlerde girmeniz gerekbilir dediğimiz gibi sertifikayı alacağınız yere veya kaç bitlik sertifika istediğinize bağlı olarak değişir. Ben ise 1024 bitlik sertifikayı öneriyorum. Bunun bir sebebide tarayıcı tarafındaki desteğinin daha iyi olabileceğini düşünmem. Ama bu tabiki tamamen sizin güvenlik ihtiyaçlarınıza göre değişebilir.

Şimdi CSR kodunu kaydedelim. Bunun için ben masaüstünü seçtim. Siz dilerseneniz daha farklı bir sabit konum seçebilirsiniz farklı bir sabit konumda CSR kodunuz kalsa daha iyi olabilir. İhtiyacınız olursa tekrar oluşturmak yerine burdaki kod tekrar kullanabilirsiniz. Benim ihtiyacım yok o yüzden masaüstünde.

Bu işlemler bittiğinde ise artık SSL sertifikamızı nereden almak istiyor isek o siteyi ziyaret edeceğiz ve oluşturduğumuz CSR kodu ile sertifika isteğimizi firmaya ileteceğiz. İşlemleri tamamladıktan sonra (ki gayet basit işlemler CSR kodumuzu vermek gibi) onlarda bize bu isteğimiz doğrultusunda geçerli bir SSL sertifikası türetecekler. Ve bu sertifika mail adresimize gelecek. —–BEGIN CERTIFICATE—– diye başlar ve gayet uzun sayı ve harflerden oluşur ve sonuda —–END CERTIFICATE—– diye biter. Eğer sertifikanız bu şekilde verilmiş ise bu içeriği komple kopyalayım ve bir text editörüne yapıştıralım ve uzantısınıda certificate.p7b diye kaydedelim. Aslında .p7b uzantısı yine SSL sertifikasını aldığınız yere göre .cert olarakta değişir.

Comodo sertifikaları bana düzenlenmiş bir şekilde e-posta ekimde göndermiş. Fakat bazı yerler bu şekilde verebiliyor.

Şimdi biz oluşturulan bu sertifikayı sunucuya nasıl yüklemeliyiz ona bakalım.

Sertifika dosyalarını sorunsuzca kaydettiğinizi var sayıyor ve gerekli işlemleri belirtiyorum…

IIS ten Sertifika isteği oluşturulduğumuz sayfaya geri gelelim ve Complete Certificate Request linkine tıklayalım. Sertifikanın bulunduğu yolu göster ve Frendly Name e bir isim verelim, bir karışıklık yaşamamak adına bu ismi sertifikayı kullanacağımız site adıyla aynı yapalım.

OK diyelim ve işlemi sonlandıralım. Artık SSL sertifikamızı kullanılmak üzere IIS üzerine almış bulunuyoruz.

Şimdi son adıma gelelim. Ben bir web sitesi oluşturacağım siz eğer oluşturulmuş bir web siteniz için bu sertifikayı kullancak iseniz şu adımları takip edin.

İlgili web sitesinin üzerine gelip sağ tıklayalın ve Edit Bindings i tıklayın. Açılan pencereden Add diyerek https protokolünü web sitesi için ekleyelim. Aşağıdaki gibi yani.

Burda önemli bulduğum bir konuyu vurgulamak isitorum. Eğerki port olarak 443 ü kullanmak istemiyor iseniz bunu farklı bir portla alternatif olarak 8443 ile veya dilediğiniz bir başka port ile değiştirebilirsiniz. Fakat bu durumda sitenizi ziyaret edecek kişilerin adres satırı sonuna ilgili port numarasını eklemeleri gerekecektir. Örneğin https://test.huseyinsevin.com:8443 gibi. Yani portu değiştirebiliyorsunuz. İllaki 443 olması gerekmiyor.

Şimdi web sitesi oluştururken sertifikayı nasıl site açma işlemi ile birlikte tamamlayacağımıza bakalım. Aslında bu adımda gayet basit, normal web sitesini nasıl oluşturuyor isek o şekilde oluşturacağız. Sadece Binding kısmından Type seçeneği için https i ve ilgili sertifikayı seçeceğiz. Şu şekilde.

Makalemizde Friendly Name için bir öneride bulunmuştuk ve demiştik ki bu ada kullanılacak sitenin adını verin demiştik. Mesela siz sunucusunda 100 den fazla site barındıran birisi olabilirdiniz. Yada çok fazla SSL sertifkası kullanan bir yapınız olabilir. Friendly Name e site ile ilgili bir isim vermese idiniz SSL certificate drop/down listen ilgili sertifikanın hangisi oldunu zor seçebilir yada karıştırabilirdiniz. Şimdi bu hali ile açtığımız sub domain için hatalı bir sertifika seçme durumunu en aza indirebiliyoruz. Daha pratik.

Eve bir makalemizi daha tamamladık. Bu makalede IIS 7.X ürünü için nasıl SSL sertifika isteğinde bulunacağımız ile SSL sertifikamızı web sitemiz için nasıl etkinleştireceğimiz konusuna değindik. Dilerim ihtiyaçları olanlra yol gösterici ve anlaşılır bir makale olumştur.

Saygılarımla.