Bugün ziyaret ettiğiniz hemen hemen her web sitesi SSL sertifikaları kullanarak HTTPS üzerinden yayın yapmaktadır. Henüz sitenize SSL kurmadıysanız sizin de SSL kurma ve kullanmaya başlama vaktiniz gelmiş olmalı. Zira sitenizi HTTPS üzerinden yayınlamanın birçok avantajı var. Neden HTTPS üzerinden yayın yapmamız gerektiğine ilişkin yazıma buradan göz atabilirsiniz. Diğer taraftan hosting üzerinde SSL kullanıp da Localhost’ta SSL kullanmamak gerçekten baş belası. Zira bağlantı ve yönlendirmelerde sürekli http ile https’yi birbirine dönüştürmekle ya da en iyi ihtimal bunun için bir eklenti vs. yazmakla çırpınır durursunuz. İşte bu sorunu halletmek için yerel sunucuya SSL sertifikası kurmak en akıllı çözümdür. Tabi bunun için öncelikle yerel sunucuda SSL sertifikası oluşturmak gerekeceği açıktır.

Sorun

Özellikle habipoguz.com’un 4.0 sürümü ile birlikte WordPress ve SSL kullanmaya başladıktan sonra WordPress’in site içi bağlantıları “https://” şeklindeki iletişim protokolü ile birlikte kaydettiği nazara alındığında yerel sunucuda linklerin “http” ile kullanılıyor, hosting’te “hhtps” ile kullanılıyor olması sebebiyle bu işin böyle gitmeyeceğini anladım ve yerel sunucuya ssl sertifikası kurmak için araştırmalara başladım. Bu arada uzun cümleler kurmam, bir nevî meslek hastalığı sanırım. 🙂 Bu araştırmalar sırasında Türkçe kaynak bulamadığım gibi İngilizce kaynaklardaki yönergeleri harfi harfine uygulamama rağmen Google Chrome her zaman NET::ERR_CERT_COMMON_NAME_INVALID hatası verdi.

Adres satırındaki kırmızı renkli “Güvenli değil” uyarısının da ayrıca ne kadar can sıkıcı olduğu aşağıdaki resimden görülüyor.

Ben tarayıcı olarak Google Chrome’u kullanmam sebebiyle Google Chrome’dan ekran görüntüleri paylaştım ama Mozilla Firefox, Opera, Internet Explorer gibi popüler tarayıcılarda da aynı sorun var ve benzer ifadelerle yerel sunucudaki web sitesini HTTPS üzerinden düzgün şekilde göstermiyorlar.

Yerel sunucuya SSL sertifikası kurmak konusunda İnternette bulduğum makaleler yazıldığı zamanlarda doğru idi ama artık değil. Zira buradaki tartışmalardan da anlaşılacağı üzere sorun, Google Chrome’un Ocak 2017’den bu yana sertifikalarda commonName eşleşmesi için verdiği desteği kaldırmasından ve Ocak 2017’den beri bir subjectAltName gerektirmesinden kaynaklanıyormuş. Diğer tarayıcıların commonName desteğini ne zaman kaldırdığına ise bakmadım. Neticede hiç biri artık desteklemiyor. Neyse ki bunu da artık çözebiliyoruz.

Sorunun Çözümü

WampServer kurulumu’nu bu yazımda anlatmıştım. Ben de yerel sunucu olarak WampServer kullanmam sebebiyle anlatımlarımı artık WampServer ile birlikte gelen OpenSSL kullanarak yapacağım. WampServer’ı indirip setup dosyasını açtığınızda varsayılan olarak c:\wamp64\ dizinine ya da 32bit sürümünü indirmişseniz c:\wamp\ dizinine kurmak isteyecektir. Tavsiyem, ek bir ayarla vesaire ile uğraşmak istemiyorsanız varsayılan şekilde kurulsun.

Güncelleme – 09/03/2020: Kurulumdan sonra Apache Server’a Windows’un konsol uygulaması (cmd / Windows Command Prompt / Windows komut istemi) üzerinden erişim sağlıyoruz. Windows 10’un önceki güncellemelerinde sağ tık menüsüne “Terminal” diye bir bağlantı eklenmişti ve sağ tıklayıp hemen Terminal’i açabiliyorduk. Lakin şimdi fark ettim ki geri kaldırılmış ve Windows Terminal’i ek olarak indirip kurmanız gerekiyor. Kaldı ki Terminal’i tıkladığınızda “Windows PowerShell” olarak açılıyor ve işlemlere onun üzerinden devam ettiğinizde OpenSSL hatası alıyorsunuz. O yüzden hazır elimizde mis gibi “Komut İstemi” varken Terminal’i indirip çalıştırma fikrini unutun gitsin. Komut İstemi var işte; akmaz, kokmaz.
Windows + R tuş kombinasyona basıp gelen ekrana “cmd” yazıp “Tamam” tuşuna basarak konsol ekranına (Komut İstemi) ulaşın. Bu şekilde C:\Windows\System32\cmd.exe dosyasına ulaşırsınız.

Windows konsol üzerinden öncelikle Apache Server’a erişim sağlıyoruz. sizin komut satırınız, kullandığınız Apache sürümüne göre değişiklik gösterebilir. Benim bu yazıyı ilk yazdığım sırada kurduğum WampServer’da gelen Apache sürümü 2.4.35‘tir. 09/03/2020 itibariyle kurduğum mevcut 2.4.41 sürümünde aynı işlemleri yeniden gerçekleştirdiğimde de hiçbir sorun yaşamadım. Apache Server’a bağlanmak için şu komut satırını kullanın:

cd c:\wamp64\bin\apache\apache2.4.35\bin

1. Adım: Kök SSL Sertifikasının Oluşturulması

Windows konsol üzerinden Apache Server’a ulaştıktan sonra, ilk adımda, bir kök güvenli giriş katmanı (Root SSL) sertifikası oluşturmanız gerekiyor. Bu kök sertifikasını daha sonra münferit alan adları için üreteceğiniz sertifikaları imzalamak için kullanacaksınız. SSL ekosistemine aşina değilseniz, DNSsimple’dan gelen bu makale, SSL kök sertifikaları hakkında yeterli bilgi veriyor.

Bir RSA-2048 anahtarı oluşturun ve onu root.key adıyla kaydedin. Bu dosya kök SSL sertifikası oluşturmak için anahtar olarak kullanılacaktır. Bir sertifika oluşturmak için bu anahtarı her kullandığınızda girmeniz için sizden bir anahtar parolası (pass phrase) oluşturmanız istenir. Normalde konsol üzerinden ürettiğiniz dosyalar c:\wamp64\bin\apache\apache2.4.35\bin klasörü içine kaydedir. Apache’nin program dosyalarıyla karışmaması için her alan adı için bir klasör oluşturmanızı tavsiye ederim. Zira ben öyle yapıyorum. Kök sertifikası için c:\wamp64\bin\apache\apache2.4.35\bin klasörünün içine ssl_localhost adında bir klasör oluşturun. Bu klasörün içine anahtar dosyasını oluşturmak için şu komut satırını kullanın:

openssl genrsa -des3 -out ssl_localhost/root.key 2048

Enter pass phrase for ssl_localhost/root.key’e bir parola girin. Örneğin localhost.

Verifying – Enter pass phrase for ssl_localhost/root.key’e parolayı yeniden yazdığınızda ssl_localhost klasörünün üçüne root.key dosyası oluşturulmuş olacak.

Yeni bir kök SSL sertifikası oluşturmak için bu anahtarı kullanaksınız. Kök sertifikanızı oluşturmak için şu komut satırını kullanın:

openssl req -x509 -new -nodes -key ssl_localhost/root.key -sha256 -days 1825 -out ssl_localhost/root.pem -config c:\wamp64\bin\apache\apache2.4.35\conf\openssl.cnf

Yukarıdaki komut satırında sertifikasının geçerlilik süresi 1825 gün (5 yıl) olarak ayarlanmıştır. Gün sayısını istediğiniz gibi değiştirebilirsiniz. Ayrıca isteğe bağlı diğer bir takım bilgiler de sizden istenir. Bu bilgileri de dilediğiniz gibi doldurun.

2. Adım: Kök SSL Sertifikasının Bilgisayara Yüklenmesi

Yerel sunucunuzdaki alan adları için sertifika üretmeye başlamadan önce bir kereye mahsus az evvel oluşturduğunuz kök SSL sertifikasını bilgisayarınıza yüklemeniz gerekir. Böylece bilgisayarınıza, kök sertifikanıza güvenmesini söylemiş olacaksınız. Kök SSL sertifikanızı bilgisayarınıza yükledikten sonra, bu kök sertifikasının ürettiği alan adı SSL sertifikalarına bilgisayarınızın güvenmesini sağlamış olacaksınız.

Win + R -> certmgr.msc -> Güvenilen Kök Sertifika Yetkilileri -> Eylem -> Tüm Görevler -> Al adımlarını takip ettikten sonra “İleri” düğmesine tıklayın ve C:\wamp64\bin\apache\apache2.4.35\bin\ssl_localhost konumundaki root.pem dosyasını seçin. “Güvenilen Kök Sertifika Yetkilileri” depolama alanına kaydedin.

3. Adım: Yerel Sunucudaki Alan Adları İçin SSL Sertifikalarının Oluşturulması

ssl.test örnek alan adı için yerel sunucuda bir SSL sertifikası oluşturun. Bunun için öncelikle c:\wamp64\bin\apache\apache2.4.35\bin klasörünün içine ssl_test adında bir klasör oluşturun. Alan adı SSL sertifikası oluşturmak için bir domain.cnf dosyasına ve bir de domain.ext dosyasına ihtiyacınız olacak. Burada oluşturacağınız domain.cnf ve domain.ext dosyalarını bir kez oluşturduktan sonra diğer alan adları için de kopyala – yapıştır yöntemi ile kullanabilirsiniz. Tabi bu dosyaları bir editörle (örneğin Notepad++) açıp içindeki domain name’leri değiştirmeniz gerekir. domain.cnf dosyasını oluşturmak için Notepad++’ı açıp aşağıdaki kodları yapıştırın ve ssl_test klasörünün içine domain.cnf adıyla kaydedin.

[req]
default_bits = 2048
prompt = no
default_md = sha256
distinguished_name = dn

[dn]
C=TR
ST=Turkey
L=Ankara
O=SSLTest
OU=SSLTest
emailAddress=ssl@localhost
CN = ssl.test

Yine X509 v3 sertifikası oluşturmak için Notepad++’ı açıp aşağıdaki kodları yapıştırın ve ssl_test klasörünün içine domain.ext adıyla kaydedin. subjectAltName’i burada nasıl belirttiğimize dikkat edin.

authorityKeyIdentifier=keyid,issuer
basicConstraints=CA:FALSE
keyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment
subjectAltName = @alt_names

[alt_names]
DNS.1 = ssl.test

4. Adım: Yerel Sunucudaki Alan Adları İçin SSL Sertifikalarının Üretilmesi

Yukarıdaki aşamaları geçtikten sonra artık yerel sunucudaki alan adlarınıza SSL sertifikası üretmek için hazırsınız. Şu hâlde elinizde, root.key, root.pem, domain.cnf ve domain.ext adlarında dört dosya var. Artık domain.cnf dosyasında depolanan yapılandırma ayarlarını kullanarak ssl.test alan adı için bir sertifika anahtarı oluşturabilirsiniz. Bu anahtar root.key dosyasında saklanır. Sertifika anahtarı üretmek için aşağıdaki komut satırını kullanın. ssl_localhost klasörüne oluşturduğunuz root.key ve root.pem dosyalarını da ssl_test klasörüne kopyaladığınızdan emin olun. Sertifika anahtarı üretmek için kullanacağınız komut satırı:

openssl req -new -sha256 -nodes -out ssl_test/ssl.test.csr -newkey rsa:2048 -keyout ssl_test/ssl.test.key -config c:\wamp64\bin\apache\apache2.4.35\bin\ssl_test\domain.cnf

Bu komut satırının çalıştırılması ile birlikte ssl_test klasörüne ssl.test.csr ve ssl.test.key adında iki dosya daha oluşturulur. ssl.test alan adı için bir alan adı sertifikası oluşturmak amacıyla daha önce oluşturduğumuz kök SSL sertifikası ile sertifika imzalama talebi yayınlanır. Bunun çıktısı ise ssl.test.crt adlı bir sertifika dosyasıdır. Bu sertfika dosyasını oluşturmak için şu komut satırını kullanın.

openssl x509 -req -in ssl_test/ssl.test.csr -CA ssl_test/root.pem -CAkey ssl_test/root.key -CAcreateserial -out ssl_test/ssl.test.crt -days 1825 -sha256 -extfile ssl_test/domain.ext

Enter pass phrase for ssl_test/root.key: alanına root.key anahtarı için oluşturduğumuz parolayı yazın. Örneğimizde, localhost.

Şifrenin doğru yazılması ile birlikte artık yerel sunucudaki örnek ssl.test alan adı için bir SSL sertikası oluşturduk ve kullanıma hazır. Bir sonraki yazımda oluşturduğumuz bu SSL sertifikasını WampServer’a nasıl kaydedeceğimizi ve kullanacağımızı anlatmayı umuyorum.

Sağlıcakla kalın.

Güncelleme – 09/03/2020: Adem Şahin’in, yorum bölümünde, hata aldığını belirtmesi üzerine yazımı gözden geçirerek işlemleri tekrar denedim ve çıktılarını şu şekilde özetleyebilirim:

1. Ben en son WampServer’ın 3.1.14 sürümünü kullanmıştım ve bu yazıyı da WampServer v3.1.14 üzerinde test ederek yazmıştım. Ondan sonra Localhost bir vesile ile silindi ve ben de yeniden kurmadım. O gün bugündür her gün bilgisayar başındayım ve Visual Studio’da hatırı sayılır epey .Net projesi gerçekleştirdim. :))
2. Yorum üzerine yeniden WampServer indirmek istediğimde artık WampServer’ın 3.2.0 sürümü vardı. Onu indirip kurduğum, yukarıdaki işlem adımlarını 2.4.35 yerine 2.4.41 yazarak yeniden gerçekleştirdiğimde hiçbir sorun yaşamadım. Bu kez mevcut WampServer’ı kaldırıp elde daha önceden var olan WampServer’ın v3.1.14 sürümü kurdum ve yeniden denediğimde elbette bir hata almadım; sonuç gayet olumlu ve ssl.test alan adı için ürettiğim SSL sertifikası sorunsuz çalıştı. Bu da ekran görüntüsü:
3. Ayrıca şunu da belirtmek isterim ki WampServer’ı ilk kurduğunuz zaman “LoadModule ssl_module modules/mod_ssl.so” satırının başındaki kare işaretini (hashtag) silmeniz ve sunucuyu yeniden başlatmanız gerekiyor. Keza extra klasörünün içindeki “httpd-ssl.conf” dosyasında da oluşturduğunuz SSL sertifikalarını Apache sunucusuna tanıtmanız gerekiyor. Muhtemelen ziyaretçimin hata alması, buralardaki eksik ya da hatalı yapılandırmalardan kaynaklanıyor olabilir. Dediğim gibi umulur ki oluşturulan sertifikaların Apache sunucusuna nasıl tanıtılacağına ilişkin hususlar da başka bir yazımın konusu olsun.

Tekrar sağlıcakla kalın.