Let's Encrypt Wildcard SSL Kurulumu
Let's Encrypt, ücretsiz ve otomatik olarak yenilenen SSL/TLS sertifikaları sağlayan güvenilir bir sertifika yetkilisi olarak, web sitelerinin güvenliğini artırmak için
Let’s Encrypt, ücretsiz ve otomatik olarak yenilenen SSL/TLS sertifikaları sağlayan güvenilir bir sertifika yetkilisi olarak, web sitelerinin güvenliğini artırmak için vazgeçilmez bir araçtır. Özellikle wildcard sertifikalar (*.alanadiniz.com), alt alan adlarınızı tek bir sertifika ile kapsayarak yönetim kolaylığı sunar. Bu makalede, Let’s Encrypt wildcard SSL kurulumunu adım adım ele alacağız. Kurumsal ortamlar için ideal olan bu işlem, sunucu maliyetlerini düşürürken güvenlik standartlarını yükseltir. Sunucu yöneticileri ve geliştiriciler için pratik bir rehber niteliğinde olup, Certbot aracı kullanılarak gerçekleştirilecektir. Kurulum sırasında dikkat edilmesi gereken noktaları detaylandırarak, sorunsuz bir entegrasyon sağlayacağız.
Wildcard Sertifikaların Avantajları ve Kullanım Alanları
Wildcard sertifikalar, ana alan adı ve tüm alt alan adlarını (örneğin, *.ornek.com) tek bir sertifika ile korur. Bu, birden fazla subdomain için ayrı sertifikalar yönetme ihtiyacını ortadan kaldırır ve operasyonel verimliliği artırır. Let’s Encrypt’in ACME protokolü sayesinde sertifikalar 90 günde bir otomatik yenilenir, manuel müdahaleyi minimize eder. Kurumsal web uygulamaları, API sunucuları ve çoklu tenant sistemlerde sıkça tercih edilir.
Güvenlik açısından, wildcard sertifikalar HTTPS trafiğini şifreleyerek veri bütünlüğünü ve gizliliğini sağlar. OWASP standartlarına uyumlu olarak, modern tarayıcılar tarafından tam desteklenir. Maliyet avantajı ise barizdir: Ücretsiz olması, yıllık binlerce lira tasarruf sağlar. Ancak, wildcard’ların private key güvenliğine ekstra özen gösterilmesi gerektiğini unutmamak lazımdır; anahtar dosyasını yalnızca root kullanıcısının erişebileceği konumda saklayın.
Sistem Ön Koşulları ve Hazırlık Aşaması
Kuruluma başlamadan önce, sunucunuzun Ubuntu 20.04 veya üstü gibi desteklenen bir Linux dağıtımına sahip olması şarttır. Domain’inizin DNS kayıtlarını yönetebilmeniz ve sunucuda 80/443 portlarının açık olması gereklidir. Root veya sudo erişimi zorunludur. Certbot’u Snap ile yüklemek en stabil yöntemdir; bu, bağımlılık sorunlarını önler.
- Snapd’yi güncelleyin:
sudo apt update && sudo apt install snapd. - Certbot’u yükleyin:
sudo snap install --classic certbot. - DNS sağlayıcınızın API erişimini doğrulayın; wildcard için HTTP yerine DNS-01 challenge kullanılır.
Bu hazırlıklar, kurulum süresini kısaltır ve hataları önler. Firewall kurallarını kontrol edin: UFW ile sudo ufw allow 'Apache Full' veya Nginx eşdeğeri komutunu çalıştırın. Sunucu IP’sinin domain A kaydına doğru yönlendiğinden emin olun.
Adım Adım Wildcard Sertifika Kurulumu
DNS-01 Challenge ile Sertifika Talebi
Wildcard sertifikası için DNS challenge zorunludur, çünkü HTTP challenge alt alan adlarını kapsamaz. Certbot ile sudo certbot certonly --manual --preferred-challenges dns -d '*.ornek.com' -d ornek.com komutunu çalıştırın. Certbot, TXT kaydı için bir değer verecektir (örneğin, _acme-challenge.ornek.com). DNS panelinizden bu kaydı ekleyin ve yayılmasını bekleyin (genellikle 5-15 dakika). Doğrulama sonrası sertifika /etc/letsencrypt/live/ornek.com/ dizininde oluşur: fullchain.pem ve privkey.pem dosyaları.
Bu adımda, DNS sağlayıcınıza göre manuel işlem yapın; Cloudflare veya Route53 için plugin’ler mevcut ancak manuel yöntem evrenseldir. Sertifika boyutu 2048-bit RSA veya ECDSA olabilir, modern tarayıcılar için ECC önerilir.
Web Sunucusuna Sertifika Entegrasyonu
Apache için: /etc/apache2/sites-available/000-default.conf dosyasında VirtualHost bloğuna SSLEngine on ekleyin. Ardından
SSLCertificateFile /etc/letsencrypt/live/ornek.com/fullchain.pem
SSLCertificateKeyFile /etc/letsencrypt/live/ornek.com/privkey.pemsudo a2enmod ssl && sudo systemctl reload apache2. Nginx’te server bloğuna ssl_certificate ve ssl_certificate_key direktiflerini yerleştirin, sudo nginx -t && sudo systemctl reload nginx ile test edin.
Entegrasyon sonrası, tarayıcıda siteyi HTTPS ile açın; kilit simgesi görünmeli. HSTS header’ını ekleyerek (add_header Strict-Transport-Security “max-age=31536000”;) kalıcı HTTPS zorlayın. Logları izleyin: /var/log/letsencrypt/letsencrypt.log.
Otomatik Yenileme Ayarları
Yenileme için cron job oluşturun: sudo crontab -e ile 0 12 * * * /usr/bin/certbot renew –quiet ekleyin. Test edin: sudo certbot renew --dry-run. Bu, 30 gün kala otomatik yeniler ve sunucuyu yeniden başlatır. Hook’lar ile web sunucusunu reload edin: –post-hook “systemctl reload apache2”.
Başarılı kurulum, uptime’ı %99.9’a taşır ve PCI DSS uyumluluğunu sağlar. İzleme için Healthchecks.io benzeri araçlar entegre edilebilir.
Sertifika Bakımı ve Güvenlik İpuçları
Kurulum sonrası düzenli bakım şarttır. Sertifika süresini certbot certificates ile kontrol edin. Key rotation için yıllık yenileme yapın. Güvenlik için, sertifika dizinine 700 izin verin: sudo chmod 700 /etc/letsencrypt. Saldırılara karşı fail2ban ile 443 portunu koruyun.
Wildcard’ların kapsadığı alt alan adlarında tutarlılık sağlayın; yeni subdomain eklerken manuel doğrulama gerekmez. Monitoring script’leri yazarak e-posta bildirimleri kurun. Bu yaklaşımlar, kurumsal ölçekte kesintisiz güvenlik sağlar.
Let’s Encrypt wildcard SSL kurulumu, web altyapınızı modernize ederken operasyonel yükü azaltır. Bu rehberi takip ederek, güvenli ve ölçeklenebilir bir yapı elde edebilirsiniz. Düzenli güncellemelerle sisteminizi güçlendirin ve kullanıcı güvenini pekiştirin.
