ServBay'de Let's Encrypt ile Otomatik SSL Sertifikası Başvurusu ve Yönetimi

Modern web geliştirmede, prodüksiyon ortamını yerelde birebir simüle etmek çok önemlidir. Bu da HTTPS desteğini kapsar. ServBay, ACME (Automated Certificate Management Environment) protokolü desteğini entegre ederek, Let's Encrypt gibi Sertifika Otoriteleri (CA) üzerinden ücretsiz SSL/TLS sertifikalarını kolayca otomatik olarak başvurup, kurmanızı ve yönetmenizi sağlar. Bu rehberde, Let's Encrypt sertifikasını ServBay'de alıp yerel geliştirme sitenizde nasıl uygulayacağınızı adım adım öğrenebilirsiniz.

Let's Encrypt sertifikası kullanmanın avantajları: Ücretsizdir, süreci otomatikleştirir, yaygın şekilde güvenilirdir ve yerel ortamda HTTPS davranışı, Service Workers, HSTS gibi özellikleri gerçekçi şekilde test etmenizi sağlar.

Ön Koşullar

Let's Encrypt sertifikası başvurusuna başlamadan önce şu koşulları karşıladığınızdan emin olun:

1. Bir genel alan adınız olmalı: Kayıtlı ve aktif bir alan adınız (ör. servbay.demo veya yourdomain.com) olmalı. Let's Encrypt, yerel IP adresi veya .local gibi genel olmayan alan adları için sertifika vermez.
2. Alan adının DNS kayıtlarını yönetebiliyor olmalısınız: ServBay, alan adı doğrulamasında DNS API yöntemini kullanır. Yani, alan adınızın kayıt operatörü veya DNS sağlayıcısının (örn. Cloudflare, GoDaddy, AWS Route 53 vb.) yönetim paneline erişiminiz olmalı ve otomasyon için gerekli API anahtarını oluşturabilmelisiniz.
3. DNS API anahtarı edinme: DNS sağlayıcınızın gereksinimleri doğrultusunda uygun API anahtarı/jeton üretmeniz gerekir. Sağlayıcılara göre bu süreç değişebilir ve tipik olarak DNS kaydı yönetimi yetkisine sahip bir API anahtarı oluşturmak gereklidir. Gerekli API anahtarı ve ortam değişkeninin nasıl alınacağı konusunda acme.sh projesinin DNS API WIKI sayfasına başvurabilirsiniz.

Başvuru Adımları

ServBay'de Let's Encrypt üzerinden SSL sertifikası almak için aşağıdaki adımları izleyin:

1. ServBay Yönetim Panelini Açın: ServBay uygulamasını başlatın, menü çubuğu simgesine tıklayın ve "Yönetim Paneli" (Manager Panel) seçeneği ile web arayüzünü açın.

2. SSL Sertifika Yönetimine Geçin: Yan menüden SSL Sertifikaları (SSL Certificates) bölümünü bulun ve tıklayın.

3. Yeni Sertifika Başvurusu Başlatın: SSL sertifika listesi sayfasının sağ üstündeki yuvarlak “+” butonuna tıklayın. Sertifika başvuru ayarlarını yapacağınız bir pencere açılır.

4. Sertifika Bilgilerini Doldurun: Açılan “Request Certificate” (Sertifika Başvurusu) penceresini aşağıdaki şekilde doldurun:

   • Common Name (Ortak Ad): Sertifikayı tanımlayacak, kolayca ayırt edebileceğiniz bir ad yazın; örneğin servbay-demo-cert veya mydomain-wildcard-cert.
   • Usage Purpose (Kullanım Amacı): TLS/SSL seçin.
   • Request Method (Başvuru Yöntemi): ACME seçin.
   • Issuer (Veren Kuruluş): Let's Encrypt seçin.
   • DNS API Provider (DNS API Sağlayıcı): Açılır listeden DNS/alan adı sağlayıcınızı seçin (ör. cloudflare, godaddy).
   • Algorithm (Algoritma): ECC (Elliptic Curve Cryptography) algoritmasını ve anahtar uzunluğu olarak 384 önerilir. ECC, geleneksel RSA'ya göre daha kısa anahtarla aynı güvenliği sağlar, genellikle hem performans hem de güvenlik açısından daha iyidir.
   • E-Mail Address (E-posta): Geçerli bir e-posta adresi girin. Let's Encrypt bu adresi sertifika süresi ve yenileme sorunları için sizi bilgilendirmek amacıyla kullanır.
   • DNS API Tokens (DNS API Jetonu): DNS sağlayıcınızın gerektirdiği API anahtarını veya jetonunu bu alana yazın. Bunlar genellikle ortam değişkeni formatındadır. Doğru ortam değişkenleri ve değerleri için sağlayıcı belgenize veya acme.sh DNS API WIKI sayfasına bakın. Önemli Not: API bilgisi başına export yazmayın. Örneğin, Cloudflare için değer şöyle olabilir: CF_Key=sdfsdfsdffgfdg\[email protected] (Farklı ortam değişkenlerini ayırmak için \n kullanın).
   • Domain (Alan Adı): Sertifika almak istediğiniz alan adını yazın. Birden fazla alan adı veya genel alan adı (ör. *.servbay.demo) için, bunları İngilizce virgül , ile ayırın (örn. servbay.demo, www.servbay.demo, *.servbay.demo). Genel alan adları için sert başvurusu mutlaka DNS API doğrulaması ile yapılmalıdır.

   Not: Ekran görüntüsünde Common Name olarak Test yazılmıştır, pratikte daha açıklayıcı bir ad seçmeniz önerilir.

5. Başvuruyu Gönderin: Tüm bilgilerin doğru olduğundan emin olduktan sonra pencerenin altındaki “Request” (Başvur) butonuna tıklayın.

6. Başvurunun Tamamlanmasını Bekleyin: ServBay, arka planda ACME istemcisini başlatarak sağladığınız DNS API bilgileriyle alan adı sahipliğinizi doğrular ve Let's Encrypt'ten sertifika ister. Bu işlem, DNS kayıtlarının yayılma hızına ve Let's Encrypt sunucusunun yanıtına göre birkaç dakika sürebilir. Tamamlandığında sertifikanız SSL sertifika listenize otomatik eklenir.

Sertifika Kullanımı

Başvurduğunuz sertifika başarıyla listede göründüğünde, onu yerel web sitenizde kullanıma alabilirsiniz:

1. Web Sitesi Ayarlarına Gidin: ServBay yönetim paneli sol menüsündeki Web Siteleri (Websites) seçeneğine tıklayın.
2. Web Sitesi Ayarlarını Düzenleyin: Sertifika uygulamak istediğiniz siteyi bulun, sağındaki düzenleme ikonuna (genellikle bir kalem simgesi) tıklayın.
3. HTTPS/SSL Yapılandırmasını Düzenleyin: Site ayarlarında SSL/HTTPS ile ilgili bölümü bulun. Genellikle sertifika kaynağınızı seçebileceğiniz bir seçenek vardır.
4. ACME Sertifikasını Seçin: Sertifika kaynağı olarak ACME'yi seçin. Ardından, sağda açılan listede başvurduğunuz, Common Name ile belirttiğiniz sertifikayı seçin.
5. Ayarları Kaydedin: Değişiklikleri kaydedin. ServBay site yapılandırmasını baştan yükler ve yeni SSL sertifikasını aktif eder. Şimdi yerel sitenize HTTPS üzerinden erişebilirsiniz.

Ekran görüntüsü, web sitesi ayarlarında ACME sertifika seçimini gösteriyor.

Sertifika Yenileme

Let's Encrypt sertifikaları 90 gün geçerlidir. ServBay'de yerleşik otomatik yenileme mekanizması bulunur. ACME sertifikanızın süresi dolmaya yaklaştığında (genellikle son 30 gün kala), ServBay aynı ayarlarla otomatik yenileme girişiminde bulunur. Sizin müdahale etmenize gerek yoktur. Ancak DNS API anahtarınızın geçerli kalması gereklidir. Yenileme sırasında bir problem olursa, Let's Encrypt kayıtlı e-posta adresinize bildirim gönderir.

ACME Protokolü ve DNS API Doğrulaması Hakkında

• ACME Protokolü: Alan adı doğrulaması ve sertifika alınma/yönetim süreçlerini otomatikleştirmeye olanak sağlayan açık bir standarttır. Let's Encrypt gibi CA’lar ile istemci yazılımlar (örn. ServBay’e gömülü ACME istemcisi) arasında iletişimi sağlar.
• DNS API Doğrulaması: ACME'nin desteklediği, alan adının size ait olduğunu gösteren bir doğrulama yöntemidir. İstemci, DNS API aracılığıyla alan adınızda özel bir TXT kaydı ekler ve CA sunucusu bu kaydı kontrol ederek alan adının sizde olup olmadığını onaylar. DNS API doğrulaması özellikle şu durumlar için idealdir:
  • Genel (wildcard) alan adı sertifikası almak (ör. *.servbay.demo)
  • Yerel ServBay örneğiniz genel ağdan erişilemiyor (iç ağda çalışıyor veya ISS'niz 80/443 portlarını engelliyor).

Sertifika Algoritması Seçimi: ECC mi RSA mı?

Sertifika başvurusu sırasında ECC veya RSA algoritmalarından birini seçebilirsiniz.

• RSA: Klasik asimetrik anahtar algoritmasıdır. Maksimum uyumluluğa sahiptir; neredeyse tüm tarayıcılar ve istemcilerce desteklenir. Yaygın anahtar uzunlukları: 2048 ya da 4096 bit.
• ECC: Eliptik eğri tabanlı kriptografi algoritmasıdır. Aynı güvenlik düzeyi için RSA'ya göre daha kısa anahtar kullanır (örn. ECC 256 bit ≈ RSA 3072 bit), böylece TLS el sıkışmaları hızlanır ve sunucu/istemci yükü azalır. Modern tarayıcılar ve işletim sistemleri ECC desteğine sahiptir.

Öneri: Yeni sertifika başvuruları için ECC algoritması ve 384 bit anahtar seçmeniz, hem performans hem güvenlik açısından tavsiye edilir. Eğer çok eski istemci/uyumluluk gerekliyse, RSA seçeneği de kullanılabilir.

Dikkat Edilmesi Gerekenler

• DNS Yayılma Süresi: Başvuru yaptıktan sonra DNS TXT kaydı değişikliklerinin dünyaya yayılması birkaç dakika ila birkaç saat alabilir. Eğer başvurunuz hemen başarısız olursa bir süre sonra tekrar deneyin.
• API Anahtarı Güvenliği: DNS API anahtarınız ile alan adı DNS kayıtlarında tam yetkiniz olur; gizliliğini koruyun ve paylaşmayın.
• Let's Encrypt Hız Sınırı: Let's Encrypt, sertifika başvurularına kota/takvim sınırı uygular. Sık başvuru/yenileme talepleri sınırı aşmaya yol açabilir. Normalde ServBay’in otomatik yenileme işlevi bu sınırı aşmaz.

Sıkça Sorulan Sorular (SSS)

• S: Alan adım yerel bir IP adresine yönleniyor; yine de Let's Encrypt ile sertifika alabilir miyim?
  • C: Evet, DNS API doğrulamasını kullanarak alabilirsiniz. Let's Encrypt, alan adının genel bir IP'ye yönlenip yönlenmediğine bakmaz, yalnızca sizdeki DNS kayıt kontrolünü sınar.
• S: Sertifika başvurum başarısız oldu, ne yapmalıyım?
  • C: Öncelikle verdiğiniz DNS API anahtarı/doğrulama değerlerinin doğru ve yetkili olduğunu kontrol edin. Doğru DNS API sağlayıcısını seçtiğinizden emin olun. Bazen DNS kaydı tam yayılmamış olabilir; birkaç dakika beklendikten sonra tekrar denenebilir. Sorunun ayrıntısı için ServBay günlüklerini de inceleyebilirsiniz.
• S: Sertifika süresi dolmadan ne kadar önce ServBay otomatik yenileme yapar?
  • C: Normalde sertifika süresinin dolmasına 30 gün kala otomatik yenileme başlatılır.
• S: Yerel geliştirme ortamında .local uzantılı alan adları için sertifika çıkarabilir miyim?
  • C: Hayır. Let's Encrypt yalnızca herkese açık, kayıtlı alan adları için sertifika düzenler. .local ya da yerel IP adresleri için, ServBay User CA veya ServBay Public CA ile kendi imzaladığınız veya sahte CA ile imzalanmış sertifikalar üretebilirsiniz.
• S: DNS sağlayıcım ServBay'in listesinde yoksa ne yapmalıyım?
  • C: ServBay’in dahil ettiği ACME istemcisi çoğu popüler DNS sağlayıcısını destekler. Eğer çok nadir bir sağlayıcı kullanıyorsanız manuel ayar gerekebilir. Sağlayıcınızın desteklenip desteklenmediği ve nasıl yapılandırılacağı için acme.sh DNS API WIKI’ye bakın. Eğer ServBay arayüzünde ilgili seçenek yoksa, ServBay desteğiyle iletişime geçebilirsiniz.

Özet

ServBay’in ACME protokolünü entegre etmesiyle, yerel geliştirme ortamında Let's Encrypt SSL sertifikası almak ve yönetmek fazlasıyla kolaylaştı. DNS API doğrulama desteği sayesinde alan adınız (ve wildcard alanlarınız) için ücretsiz, otomatik yenilenen sertifikalarınızı hızla alıp kurabilir, HTTPS ile prodüksiyon ortamına en yakın biçimde yerel test ve geliştirme yapabilirsiniz. Bu rehberdeki adımları izleyerek ServBay ile sitenizi güvenli bağlantılar üzerinden hemen çalıştırmaya başlayabilirsiniz.