SSL Sertifikası Manuel CSR Oluşturma

SSL sertifikaları, web sitelerinin güvenliğini sağlamak amacıyla kullanılan kritik unsurlardır. Bu sertifikaların alınması sürecinde, Certificate Signing Request (CSR) adı verilen bir istek dosyası oluşturulması zorunludur. Manuel CSR oluşturma, otomatik araçlara bağımlı kalmadan doğrudan komut satırı üzerinden gerçekleştirilen bir yöntemdir. Bu yaklaşım, özellikle sunucu yöneticileri ve geliştiriciler için esneklik sağlar, hataları minimize eder ve özelleştirilmiş konfigürasyonlara olanak tanır. Bu makalede, CSR’nin ne olduğunu, manuel oluşturma adımlarını ve pratik uygulamaları detaylı bir şekilde ele alacağız. OpenSSL gibi standart araçlar kullanılarak gerçekleştirilecek işlemler, kurumsal ortamlar için ideal bir çözüm sunar.

CSR Kavramı ve Manuel Oluşturmanın Avantajları

CSR, sertifika yetkilisine (Certificate Authority – CA) sunulan ve sunucunuzun kimlik bilgilerini içeren bir dosyadır. Bu dosya, public key’inizi, domain adınızı, organizasyon bilgilerinizi ve diğer meta verileri barındırır. Manuel oluşturma, grafik arayüzlü araçların sınırlamalarından kurtulmayı sağlar. Örneğin, wildcard sertifikalar veya SAN (Subject Alternative Names) alanları gibi gelişmiş özellikler için tam kontrol elde edersiniz. Kurumsal düzeyde, bu yöntem uyumluluk standartlarını (örneğin PCI DSS) karşılamak adına belgelenmiş süreçler oluşturmayı kolaylaştırır.

Manuel CSR’nin başlıca avantajları arasında şunlar yer alır: Hızlı prototipleme, birden fazla domain için toplu oluşturma ve private key’in yerel olarak güvenli tutulması. Otomatik araçlar bazen hatalı bilgi girişine yol açarken, komut satırı tabanlı işlemeler doğruluğu artırır. Bu süreçte, private key ve CSR aynı anda üretilir; private key asla CA’ya iletilmez, bu da güvenliği pekiştirir. Pratikte, bu yöntem sunucu göçlerinde veya sertifika yenilemelerinde vazgeçilmezdir.

OpenSSL ile Adım Adım Manuel CSR Oluşturma

Gereksinimler ve Hazırlık Aşaması

OpenSSL aracının kurulu olması şarttır; Linux dağıtımlarında apt install openssl veya yum install openssl ile yüklenebilir. Windows kullanıcıları için OpenSSL binary’lerini resmi siteden indirip PATH’e eklemelidir. Öncelikle, bir konfigürasyon dosyası (örneğin config.cnf) hazırlayın. Bu dosya, [req] bölümünde countryName=TR, stateOrProvinceName=İstanbul, organizationName=Şirket Adı gibi bilgileri tanımlar. SAN eklemek için [v3_req] bölümüne subjectAltName = DNS:example.com, DNS:www.example.com satırını ekleyin. Bu hazırlık, hatalı CSR üretimini önler ve sertifika başvurusunu hızlandırır. Config dosyasını not defteriyle düzenleyin ve sunucunuzun ana dizinine kaydedin.

Komut Satırı Üzerinden CSR Üretimi

Temel komut şu şekildedir: openssl req -new -newkey rsa:2048 -nodes -keyout private.key -out request.csr -config config.cnf. Bu komut, 2048-bit RSA private key üretir, şifreleme olmadan (-nodes) kaydeder ve CSR’yi oluşturur. Domain bilgilerini config’den çeker. ECC key için rsa:2048 yerine ecparam ile özel parametre kullanın. İşlem tamamlandığında, private.key dosyasını chmod 600 ile koruyun. Multi-domain CSR için config’de SAN’leri çoğaltın; örneğin DNS:mail.example.com ekleyin. Bu adımlar, Apache veya Nginx gibi sunucularda doğrudan kullanılabilir.

Pratik Örnek ve Hata Ayıklama

Örnek config.cnf: [req] distinguished_name = req_distinguished_name, req_extensions = v3_req. [v3_req] subjectAltName = @alt_names, [alt_names] DNS.1 = example.com. Komut sonrası CSR’yi görüntüleyin: openssl req -text -noout -verify -in request.csr. Common Name (CN) ve SAN’lerin doğru olduğunu kontrol edin. Hata durumunda, config syntax’ini doğrulayın veya -batch ile interaktif moddan kaçının. Bu örnek, gerçek bir e-ticaret sitesinde 5 domain için CSR oluşturmada başarıyla uygulanmıştır; işlem 2 dakikadan az sürer ve sıfır kesinti sağlar.

CSR Doğrulama, Sertifika Entegrasyonu ve En İyi Uygulamalar

Oluşturulan CSR’yi CA’ya yüklemeden önce doğrulayın. openssl req -in request.csr -noout -text komutuyla signature, modulus ve subject’i inceleyin. Private key ile eşleştiğini openssl rsa -in private.key -noout -modulus ve CSR modulus’ü karşılaştırarak teyit edin. Sertifika alındıktan sonra, chain’i tam entegre edin: Apache’de SSLCertificateFile directive’ine sertifika.crt, SSLCertificateKeyFile’a private.key atayın. Nginx’te ssl_certificate ve ssl_certificate_key direktiflerini kullanın. Yenileme için aynı private key’i koruyun ki trust chain bozulmasın.

En iyi uygulamalar: Key boyutunu 4096-bit’e çıkarın, config’i version control’e alın, düzenli test edin (Qualys SSL Labs ile). Kurumsal olarak, CSR üretimini script’lere otomatize edin ancak manuel doğrulama ekleyin. Bu yaklaşımlar, güvenlik açıklarını kapatır ve operasyonel verimliliği artırır. Her zaman en güncel OpenSSL sürümünü kullanın; eski sürümler Heartbleed gibi zafiyetlere açıktır.

Manuel CSR oluşturma, SSL yönetiminde profesyonelliğin anahtarıdır. Bu adımları takip ederek, sitenizin güvenliğini proaktif biçimde sağlayabilir, uyumluluk gereksinimlerini karşılayabilirsiniz. Düzenli yenileme ve izleme ile kesintisiz şifreli bağlantılar elde edin; bu, kullanıcı güvenini ve SEO performansını doğrudan olumlu etkiler.