SSL Sertifika Manuel Renew

SSL sertifikaları, web sitelerinin güvenliğini sağlamak ve kullanıcı verilerini şifrelemek için kritik öneme sahiptir. Zamanla süresi dolan bu sertifikalar yenilenmezse, siteler erişilemez hale gelebilir veya tarayıcı uyarıları nedeniyle güven kaybına uğrayabilir. Manuel yenileme süreci, otomatik araçların kullanılamadığı kurumsal ortamlarda veya özel yapılandırmalarda vazgeçilmezdir. Bu makalede, SSL sertifikası manuel yenileme işlemini adım adım ele alacak, hazırlık aşamasından doğrulama sürecine kadar pratik rehberlik sunacağız. Kurumsal IT ekipleri için tasarlanmış bu kılavuz, kesintisiz hizmet sürekliliği hedefler.

SSL Sertifika Yenileme Hazırlığı

Manuel yenileme işlemine başlamadan önce, mevcut sertifikanın durumunu tam olarak anlamak şarttır. Öncelikle, sunucunuzda çalışan sertifikanın sona erme tarihini kontrol edin. Linux tabanlı sunucularda openssl x509 -in /path/to/certificate.crt -noout -dates komutuyla bu bilgiye ulaşabilirsiniz. Bu komut, sertifikanın “notAfter” tarihini gösterir ve yenileme için kalan süreyi hesaplamanıza olanak tanır. Ayrıca, sertifika zincirini (intermediate ve root CA’lar) doğrulayın; eksik zincir, tarayıcı hatalarına yol açar.

Hazırlık aşamasında, sertifika sağlayıcınızdan (örneğin Let’s Encrypt, DigiCert veya Comodo) yeni bir sertifika talebi oluşturun. CSR (Certificate Signing Request) dosyasını mevcut private key ile üretin: openssl req -new -key private.key -out request.csr. Bu CSR’yi sağlayıcıya yükleyerek yeni sertifikayı edinin. Dosyaları güvenli bir şekilde sunucuya aktarın ve yedekleyin. Bu adımlar, olası hatalarda geri dönüşü kolaylaştırır ve işlem güvenliğini artırır. Toplamda, hazırlık 30-60 dakika sürer ve kesinti riskini minimize eder.

Yenileme İşleminin Uygulanması

Yeni sertifika dosyalarını (crt, key ve chain) sunucunuzun ilgili dizinine kopyalayın, örneğin Apache için /etc/ssl/certs/. İzinleri ayarlayın: chmod 600 private.key ve chown root:root certificate.crt. Ardından web sunucunuzu yeniden yapılandırın. Apache httpd.conf veya sites-enabled dosyasında SSLCertificateFile, SSLCertificateKeyFile ve SSLCertificateChainFile direktiflerini güncelleyin. Nginx için nginx.conf içinde ssl_certificate ve ssl_certificate_key yollarını belirtin.

• Apache örneği: SSLCertificateFile /etc/ssl/certs/new.crt direktifiyle yeni dosyayı işaretleyin.
• Nginx örneği: ssl_certificate /etc/ssl/certs/new.crt; ssl_certificate_key /etc/ssl/private/new.key; ekleyin.

Değişiklikleri test edin: apachectl configtest veya nginx -t. Sorunsuzsa sunucuyu yeniden başlatın. Bu prosedür, 15-20 dakikada tamamlanır ve canlı sitede kesintiyi önlemek için bakım penceresinde yapılmalıdır. Private key’in değişmemesi, sertifika uyumluluğunu korur.

Apache Sunucusu İçin Detaylı Yapılandırma

Apache’de VirtualHost bloğunda SSL ayarlarını bulun ve yeni dosyaları belirtin. SSLEngine on direktifinin altında, SSLCertificateFile yeni.crt, SSLCertificateKeyFile new.key ve SSLCACertificateFile chain.crt olmalıdır. Mod_ssl modülünün yüklü olduğundan emin olun: a2enmod ssl. Yeniden yükleme sonrası systemctl reload apache2 ile graceful restart yapın. Bu, trafiği kesmeden yenilemeyi sağlar ve log dosyalarında (/var/log/apache2/error.log) hataları izlemenizi önerir. Pratikte, bu adımlar %99 başarı oranıyla çalışır eğer dosya yolları doğruysa.

Nginx Sunucusu İçin Detaylı Yapılandırma

Nginx server bloğunda listen 443 ssl; satırının altında ssl_certificate ve ssl_certificate_key’i güncelleyin. Chain dosyasını birleştirerek tek crt yapabilirsiniz: cat new.crt chain.crt > combined.crt. Ardından nginx -s reload ile uygulayın. Proxy veya load balancer varsa, upstream yapılandırmasını da kontrol edin. Bu işlem, yüksek trafikli sitelerde 5 dakikada biter ve curl -I https://domain.com ile hızlı test edilebilir. Hata durumunda, nginx error.log’u inceleyin.

Doğrulama ve Bakım Önerileri

Yenileme sonrası sertifika durumunu doğrulayın. Tarayıcıda siteyi açın ve kilit simgesine tıklayarak detayları kontrol edin; “Güvenli” ve yeni son kullanma tarihi görünmelidir. Komut satırından openssl s_client -connect domain.com:443 -servername domain.com ile zinciri inceleyin. SSL Labs gibi araçlarla (manuel test için) A+ derecesi hedefleyin. Logları izleyin ve cron job ile otomatik uyarı kurun: Haftalık sertifika kontrol scripti yazın.

Bakım için, sertifika yenilemeyi takvime alın ve ekip eğitimi verin. Manuel süreç, özelleştirilmiş kurulumlarda idealdir ancak otomasyon (Certbot) geçişini değerlendirin. Düzenli yenileme, PCI DSS uyumluluğunu korur ve kullanıcı güvenini pekiştirir.

SSL sertifika manuel yenileme, disiplinli bir yaklaşımla sorunsuz yönetilebilir. Bu rehberi takip ederek, IT ekibiniz kesintisiz güvenli bağlantılar sağlayabilir. Düzenli kontrollerle olası sorunları önleyin ve kurumsal standartlarınızı yükseltin.