SSL Sertifika CSR Yenileme

SSL sertifikaları, web sitelerinin güvenliğini sağlamak ve kullanıcı verilerini korumak için vazgeçilmez bir unsurdur. Zamanla sertifikaların süresi dolduğunda veya anahtar çifti yenilenmesi gerektiğinde, CSR (Certificate Signing Request) yenileme işlemi devreye girer. CSR, sunucunuzun özel anahtarı ile birlikte oluşturulan ve sertifika yetkilisine (CA) sunulan bir dosyadır. Bu dosya, sertifikanın kimlik bilgilerini içerir ve yenileme sürecinin temel taşıdır. Bu makalede, CSR yenileme işlemini adım adım ele alacak, kurumsal ortamlar için pratik rehberlik sunacağız. Süreci doğru yönetmek, kesintisiz güvenlik ve uyumluluk sağlar.

CSR Yenileme Sürecinin Temelleri

CSR yenileme, mevcut sertifikanızın süresinin dolmasına yakın bir zamanda gerçekleştirilmelidir; ideal olarak son 30 gün içinde. Bu işlem, yeni bir özel anahtar oluşturmayı ve CSR dosyasını üretmeyi içerir. Eski CSR’yi kullanmak güvenlik riski taşır, çünkü anahtar çifti yenilenmelidir. Kurumsal sunucularda, bu işlem genellikle OpenSSL gibi araçlarla yapılır ve domain bilgisi, organizasyon detayları gibi alanlar doğru girilmelidir.

Öncelikle, sunucunuzda mevcut özel anahtarı yedekleyin. Yeni bir anahtar çifti oluşturmak için komut satırını kullanın. Örneğin, 2048-bit RSA anahtar için standart parametreler önerilir. CSR oluştururken, Common Name (CN) alanına tam domain adınızı yazın (örneğin, www.ornekfirma.com). Organization (O), Locality (L) gibi alanlar şirket bilgilerinizi yansıtmalıdır. Bu detaylar, sertifika sağlayıcısının doğrulama sürecini hızlandırır ve hataları önler.

• Özel anahtarı güvenli bir konumda saklayın; asla paylaşmayın.
• CSR dosyasını PEM formatında kaydedin (.csr uzantılı).
• Ortam değişkenlerini kullanarak şifreleme seviyesini artırın (örneğin, -sha256).

OpenSSL ile CSR Yenileme Adımları

OpenSSL, Linux tabanlı sunucularda en yaygın kullanılan araçtır ve CSR yenileme için esneklik sağlar. İşleme başlamadan önce OpenSSL’in yüklü olduğundan emin olun (örneğin, Ubuntu’da sudo apt install openssl). Yeni özel anahtar oluşturun: openssl genrsa -out yeni_ozel_anahtar.key 2048. Ardından CSR üretin: openssl req -new -key yeni_ozel_anahtar.key -out yenicert.csr. Bu komut, interaktif bir form açar; CN, O, OU gibi alanları şirketinize özgü doldurun.

Non-interaktif yöntem için config dosyası kullanın. Bir openssl.cnf dosyası oluşturun ve [req] bölümünde distinguished_name ayarlarını tanımlayın. Komut: openssl req -new -key yeni_ozel_anahtar.key -out yenicert.csr -config openssl.cnf -sha256. Bu yaklaşım, otomasyon için idealdir ve kurumsal CI/CD pipeline’larında entegre edilebilir. Oluşturulan CSR’yi metin editörüyle açıp kontrol edin; BEGIN CERTIFICATE REQUEST ile başlamalıdır.

Config Dosyası Örneği ve Kullanımı

Config dosyasında [req] altında prompt = no ayarlayarak otomatik doldurma sağlayın. [distinguished_name] bölümünde countryName = TR, stateOrProvinceName = Istanbul, organizationName = Ornek Sirket gibi değerler belirtin. Bu, tekrarlanan yenilemelerde tutarlılık sağlar. Komutu çalıştırdıktan sonra CSR’yi kopyalayın ve sağlayıcıya yapıştırın. ECC anahtarlar için genpkey komutunu tercih edin: openssl genpkey -algorithm EC -out eckey.pem -pkeyopt ec_paramgen_curve:prime256v1.

Güvenlik Doğrulaması

CSR’yi doğrulayın: openssl req -in yenicert.csr -noout -text. Bu, CN ve diğer DN bilgilerini gösterir. Anahtarın gücünü kontrol edin: openssl rsa -in yeni_ozel_anahtar.key -check. Kurumsal politikaya göre anahtarı şifreleyin: openssl rsa -in yeni_ozel_anahtar.key -out sifreli_anahtar.key -aes256. Bu adımlar, PCI DSS gibi uyum standartlarını karşılar ve olası sızıntılara karşı koruma sağlar.

Hosting Panelleri ve Windows Ortamında CSR Yenileme

cPanel veya Plesk gibi hosting panellerinde CSR yenileme grafiksel arayüzle basitleştirilmiştir. cPanel’de SSL/TLS bölümüne gidin, “Certificate Signing Requests (CSR)” sekmesini seçin. Domain, e-posta, şirket bilgilerini girin ve Generate butonuna tıklayın. Oluşan CSR’yi kopyalayın. Bu yöntem, teknik olmayan ekipler için uygundur ancak özel anahtar yönetimini dikkatli yapın.

Windows sunucularda IIS Manager kullanın. Server Certificates’e sağ tıklayın, Create Certificate Request. Detayları doldurun (2048-bit minimum), .req dosyası indirin. Bu dosya PEM’e dönüştürülebilir: certutil -encode req.txt yenicert.csr. Kurumsal Active Directory entegrasyonu için SAN (Subject Alternative Names) ekleyin, birden fazla domain kapsar.

cPanel Adım Adım Rehberi

cPanel ana sayfada Security > SSL/TLS > Private Keys’e gidin, yeni anahtar oluşturun. CSR sekmesinde Generate CSR ile devam edin. Alanlar: Domains (ana domain ve subdomainler), Key Type (RSA 2048), Signature Algorithm (SHA-256). CSR hazırlandıktan sonra View sekmesiyle inceleyin. Bu işlem 2-3 dakika sürer ve sunucu yeniden başlatma gerektirmez.

IIS’te SAN Eklemeli CSR

IIS Manager’da Attributes sekmesinde dns=www.ornek.com&dns=mail.ornek.com yazın. Bu, wildcard veya multi-domain sertifikaları için kritiktir. Request’i kaydedin ve OpenSSL ile dönüştürün eğer CA PEM isterse. Dönüşüm sonrası, yeni sertifikayı Complete Certificate Request ile yükleyin. Bu, Exchange Server gibi kurumsal uygulamalarda kesintisiz geçiş sağlar.

CSR yenileme işlemini tamamladıktan sonra, yeni sertifikayı sunucunuza yükleyin ve eskiyi devre dışı bırakın. Düzenli testler yapın (örneğin, SSL Labs ile) ve otomasyon araçları (Let’s Encrypt ACME) entegre edin. Bu yaklaşım, işletmenizin dijital güvenliğini sürekli kılar ve olası kesintileri önler. Profesyonel destek için sertifika sağlayıcınızın dokümanlarını inceleyin.