SSL Sertifikası Intermediate Chain Kurulumu

SSL sertifikaları, web sitelerinin güvenliğini sağlamak için vazgeçilmez bir unsurdur. Ancak, sertifikanın tam olarak çalışması için intermediate chain’in doğru şekilde kurulması kritik öneme sahiptir. Intermediate chain, kök sertifika otoritesinden (root CA) imzalanan ara sertifikaları içeren zincirdir. Bu zincir eksik olduğunda, tarayıcılar sertifikayı doğrulayamaz ve bağlantı kesilir. Bu makalede, intermediate chain kurulumunu adım adım ele alarak, kurumsal web yöneticilerine pratik rehberlik sunacağız. Kurulum süreci, sunucu türüne göre değişse de temel prensipler aynıdır: doğru dosya sıralaması ve yapılandırma.

Intermediate Chain’in Yapısı ve Önemi

Intermediate chain, SSL sertifikasının güven zincirini tamamlayan ara sertifikalardır. Kök CA doğrudan son kullanıcı sertifikalarını imzalamaz; bunun yerine güvenilir intermediate CA’lar üzerinden işlem yapar. Bu yapı, güvenlik seviyesini artırırken, sertifika yönetimini kolaylaştırır. Zincir bozulduğunda, tarayıcılar “NET::ERR_CERT_AUTHORITY_INVALID” gibi hatalar verir ve kullanıcılar siteye erişemez. Kurumsal sitelerde bu sorun, dönüşüm oranlarını düşürür ve marka itibarını zedeler.

Kurulum sırasında chain dosyası, sunucunun sertifika bloğuna eklenmelidir. Genellikle PEM formatında (.crt veya .pem) bulunur ve birden fazla sertifika içerebilir. Örnek bir chain dosyası şöyle sıralanır: en üstte son kullanıcı sertifikası, ardından intermediate’ler ve en altta kök (ancak kök genellikle dahil edilmez). Bu sıralama, sunucunun chain’i doğru sunmasını sağlar. Pratik takeaway: Sertifika sağlayıcınızdan tam chain dosyasını indirin ve metin editörüyle içeriğini doğrulayın; her sertifika —–BEGIN CERTIFICATE—– ile başlar ve —–END CERTIFICATE—– ile biter.

Kurulum Öncesi Hazırlıklar

Kuruluma başlamadan önce, sertifika dosyalarınızı organize edin. Sağlayıcı panelinden (örneğin Let’s Encrypt, DigiCert veya Comodo) private key, sertifika dosyası (domain.crt) ve intermediate chain (chain.crt) indirin. Dosyaları sunucunuza güvenli yolla aktarın, örneğin SCP ile. Sunucu tarafında, OpenSSL aracını yükleyin: Ubuntu için sudo apt install openssl, CentOS için sudo yum install openssl. Bu araç, chain’i birleştirmek ve doğrulamak için gereklidir.

1. Dosya biçimlerini kontrol edin: openssl x509 -in domain.crt -text -noout komutuyla sertifika detaylarını görüntüleyin.
2. Chain’i test edin: openssl crl2pkcs7 -nocrl -certfile chain.crt | openssl pkcs7 -print_certs -text -noout ile içerdiği sertifikaları listeleyin.
3. Tüm dosyaları /etc/ssl/ gibi güvenli bir dizine taşıyın ve izinleri ayarlayın: chmod 600 domain.key chain.crt.

Bu adımlar, kurulum hatalarını önler ve süreci hızlandırır. Hazırlık aşaması, toplam kurulum süresinin %30’unu kaplar ancak sorunları minimize eder.

Sunucu Türüne Göre Kurulum Adımları

Apache HTTP Sunucusu

Apache’de kurulum, VirtualHost yapılandırmasında yapılır. /etc/apache2/sites-available/your-site.conf dosyasını düzenleyin. SSLCertificateFile direktifiyle domain.crt’yi, SSLCertificateKeyFile ile private key’i, SSLCertificateChainFile ile chain.crt’yi belirtin. Örnek yapılandırma:

SSLEngine on
SSLCertificateFile /etc/ssl/domain.crt
SSLCertificateKeyFile /etc/ssl/domain.key
SSLCertificateChainFile /etc/ssl/chain.crt

Değişiklikleri kaydedin, syntax kontrolü yapın (apachectl configtest) ve yeniden başlatın (systemctl reload apache2). Bu işlem, chain’i otomatik olarak sunar ve tarayıcılar zinciri tam doğrular. Modern Apache sürümlerinde (2.4+), SSLCertificateChainFile yerine SSLCACertificateFile kullanılabilir; her ikisini test edin.

Nginx Web Sunucusu

Nginx’te, server bloğunda ssl_certificate direktifini kullanın. /etc/nginx/sites-available/your-site dosyasını açın ve şöyle güncelleyin:

server {
    listen 443 ssl;
    ssl_certificate /etc/ssl/domain.crt;
    ssl_certificate_key /etc/ssl/domain.key;
}

Burada domain.crt içine chain’i birleştirin: cat domain.crt chain.crt > bundle.crt, ardından ssl_certificate bundle.crt yapın. Nginx’i test edin (nginx -t) ve reload edin (systemctl reload nginx). Bu yöntem, tek dosya ile zinciri yönetir ve performansı optimize eder. Birden fazla intermediate varsa, sıralamaya dikkat edin: kullanıcı sertifikası üstte.

Kurulum Sonrası Doğrulama ve Bakım

Kurulum tamamlandıktan sonra, doğrulama şarttır. SSL Labs’ın online aracını (linkless olarak düşünün) veya komut satırını kullanın: openssl s_client -connect yourdomain.com:443 -servername yourdomain.com. Çıktıda “Verify return code: 0 (ok)” görmelisiniz ve chain tam listelenmelidir. Tarayıcıda siteyi açın; kilit simgesi yeşil ve “Güvenli” yazmalı. Padlock testleri için curl: curl -I https://yourdomain.com, HTTP/2 ve TLS 1.3 desteği kontrol edin.

Bakım için, sertifika yenileme döngüsünü otomatikleştirin: Certbot ile Let’s Encrypt kullanıyorsanız, certbot renew --dry-run cron job ekleyin. Chain güncellemelerini sağlayıcı bildirimleriyle takip edin. Düzenli kontroller, kesinti riskini sıfırlar ve uyumluluğu korur. Pratik takeaway: Aylık doğrulama raporu tutun ve ekibinize prosedürü belgeleyin.

Doğru intermediate chain kurulumu, web sitenizin güvenilirliğini pekiştirir ve kullanıcı deneyimini üst seviyeye taşır. Bu rehberi uygulayarak, olası hatalardan kaçınabilir ve sorunsuz bir SSL altyapısı oluşturabilirsiniz. Kurumsal standartlara uygun bu adımlar, uzun vadeli güvenlik sağlar.