SSL (GÜVENLİ CİHAZ) SERTİFİKASI İSTEK DOSYASI OLUŞTURMA VE YÜKLEME TALİMATI

SSL (GÜVENLİ CİHAZ) SERTİFİKASI İSTEK DOSYASI OLUŞTURMA VE YÜKLEME TALİMATI Doküman Kodu Yayın Numarası Yayın Tarihi TALM-001-047 01 29.05.2013 Uyarı : Yalnız Kamu SM dosya sunucudan erişilen elektronik kopyalar güncel ve kontrollü olup, elektronik ortamdan alınacak kağıt baskılar KONTROLSÜZ KOPYA dır

DEĞİŞİKLİK KAYITLARI Yayın No Yayın Nedeni Yayın Tarihi 00 İlk Çıkış 27.12.2011 01 İçerik Güncelleme (Tomcat, JBoss, Exchange 2007 2010, GlassFish 3.x eklendi.) 29.05.2013 TALM-001-047 29.05.2013 2/108

KISALTMALAR Kamu SM SSL IIS WWW Kamu Sertifikasyon Merkezi Secure Socket Layer Internet Information Services World Wide Web TALM-001-047 29.05.2013 3/108

İÇİNDEKİLER 1 Giriş... 6 2 Amaç ve Kapsam... 6 3 Microsoft IIS 7.0... 7 3.1 Sertifika İmzalama İsteği Oluşturma Adımları... 7 3.2 Sertifika Yükleme Adımları... 15 3.3 Sertifika Ayarlama Adımları... 21 4 Microsoft IIS 6.0... 27 4.1 Sertifika İmzalama İsteği Oluşturma Adımları... 27 4.2 Sertifika Yükleme Adımları... 40 5 Apache... 50 5.1 Sertifika İmzalama İsteği Oluşturma Adımları... 50 5.2 Sertifika Yükleme Adımları... 54 6 Sun Java Webserver 7.x... 56 6.1 Sun One 7x Web Sunucusuna Kök ve Alt Kök Sertifikalarını Yükleme Adımları 56 6.2 Sertifika İmzalama İsteği Oluşturma Adımları... 64 6.3 Sertifika Yükleme Adımları... 72 7 Tomcat - JBoss... 83 7.1 Sertifika İmzalama İsteği Oluşturma Adımları... 83 7.2 Sertifika Yükleme Adımları... 84 8 Exchange 2010... 85 8.1 Sertifika İmzalama İsteği Oluşturma Adımları... 85 8.2 Sertifika Yükleme Adımları... 86 8.3 Sertifika Özel Anahtarı (.pfx) Yedekleme Adımları... 87 8.4 Sertifika Özel Anahtarı (.pfx) Yükleme Adımları... 90 9 Exchange 2007... 92 9.1 Sertifika İmzalama İsteği Oluşturma Adımları... 92 9.2 Sertifika Yükleme Adımları... 93 9.3 Sertifika Özel Anahtarı (.pfx) Yedekleme Adımları... 94 9.4 Sertifika Özel Anahtarı (.pfx) Yükleme Adımları... 104 TALM-001-047 29.05.2013 4/108

10 GlassFish 3.x... 106 10.1 Sertifika İmzalama İsteği Oluşturma Adımları... 106 10.2 Sertifika Yükleme Adımları... 107 TALM-001-047 29.05.2013 5/108

1 Giriş Güvenli haberleşme yapmak için gerekli SSL (Güvenli Cihaz) Sertifikası kullanmak adına yapılması gereken adımların, farklı platformlarda nasıl yapıldığının anlatıldığı dokümandır. 2 Amaç ve Kapsam Kamu SM den Güvenli Cihaz Sertifikası hizmeti almayı planlayan müşterilerin SSL (Güvenli Cihaz) Sertifikası istek dosyası oluşturma ve sertifika yükleme adımlarını anlatmak. Bu kapsamda, en çok kullanılan web sunucuları için SSL (Güvenli Cihaz) Sertifikası istek dosyası oluşturma ve sertifika yükleme talimatı oluşturulmuştur. Talimat sırası ile Microsoft IIS 7.0, Microsoft IIS 6.0, Apache, Sun Java Webserver 6.x, Sun Java Webserver 7.x, Tomcat, JBoss, GlassFish 3.x web sunucuları ve Microsoft Exchange 2007, 2010 mail sunucularında imzalama isteği oluşturma ve sertifika yükleme adımlarını anlatmaktadır. TALM-001-047 29.05.2013 6/108

3 Microsoft IIS 7.0 Windows işletim sistemi yüklü bilgisayarlar için IIS 7.0 kullanarak SSL (Güvenli Cihaz) Sertifikası istek dosyası oluşturma ve sertifika yükleme. 3.1 Sertifika İmzalama İsteği Oluşturma Adımları Önemli Uyarı! : Sertifika imzalama isteği oluştururken girdiğiniz bilgilerde "Türkçe Karakter" kullanmayınız. a. Start»Control Panel» Administrative Tools» Internet InformationServices (IIS) Manager uygulaması çalıştırılır. Açılan ekranda sol taraftaki panelden sunucu ismi seçilir ve ortadaki panelden Server Certificate seçeneğine çift tıklanır. TALM-001-047 29.05.2013 7/108

b. Sağ taraftaki panelden Create Certificate Request seçeneği tıklanır. Ve bilgiler eksiksiz doldurulur. TALM-001-047 29.05.2013 8/108

c. Distinguished Name Properties ekranındaki bilgiler eksiksiz doldurulur. 1 - Common Name SSL sertifikasını aldığınız web sunucusunun adresi başında http veya https kullanmadan yazılır. 2 - Organization sertifika sahibi olan kurum veya kuruluşun adı yazılır. 3 - Organizational unit kurum veya kuruluşun ilgili birimi yazılır. 4 - City/locality bulunduğunuz şehri veya ilçeyi yazılır. 5 - State/province bulunduğunuz eyalet veya şehir yazılır. 6- Country/region iki harfli ülke kodu yazılır. (Türkiye için "TR") TALM-001-047 29.05.2013 9/108

Next butonuna tıklanır. TALM-001-047 29.05.2013 10/108

d. Cryptographic Service Provider Properties ekranındaki bilgiler seçilir. 2 "Bit Length" 2048 seçilir. 1 Cryptographic service provider Microsoft RSA SChannel Cryptographic Provider seçilir. Next butonuna tıklanır. TALM-001-047 29.05.2013 11/108

e. File Name ekranından Specify a file name for the certificate request bilgisini girmek için kutucuğun sağ tarafındaki butonuna tıklanır. TALM-001-047 29.05.2013 12/108

f. Specify save as file name ekranında Sertifika İsteği için isim belirlenip Open butonuna tıklanır. TALM-001-047 29.05.2013 13/108

g. File Name ekranında Finish butonunu tıklanır ve oluşturduğunuz sertifika isteği TÜBİTAK BİLGEM Kamu Sertifikasyon Merkezi ne gönderilir. TALM-001-047 29.05.2013 14/108

3.2 Sertifika Yükleme Adımları a. Start»Control Panel» Administrative Tools» Internet InformationServices (IIS) Manager uygulaması çalıştırılır. Açılan ekranda sol taraftaki panelden sunucu ismi seçilir ve ortadaki panelden Server Certificate seçeneğine çift tıklanır. TALM-001-047 29.05.2013 15/108

b. Açılan ekranda sağ taraftaki panelden Complete Certificate Request" seçeneğine tıklanır. TALM-001-047 29.05.2013 16/108

c. Specify Certificate Authority Response ekranında File name containing the certification authority s response bilgisini girmek için kutucuğun sağ tarafındaki butonuna tıklanır. TALM-001-047 29.05.2013 17/108

d. Open ekranında TÜBİTAK BİLGEM Kamu Sertifikasyon Merkezi tarafından size gönderilen SSL Sertifikası seçilir ve Open butonuna tıklanır. TALM-001-047 29.05.2013 18/108

e. Friendly name alanına web sunucusuna uygun bir isim girilir ve ardından OK butonuna basılır. TALM-001-047 29.05.2013 19/108

f. Açılan ekranın Server Certificates panelinde SSL sertifikasının yüklendiği görülebilir. TALM-001-047 29.05.2013 20/108

3.3 Sertifika Ayarlama Adımları a. Start»Control Panel» Administrative Tools» Internet InformationServices (IIS) Manager uygulaması çalıştırılır. Açılan ekranda solda yer alan Connections panelinden SSL sertifikasının yüklemiş olduğu web sunucusunu seçilir. TALM-001-047 29.05.2013 21/108

b. Sites panelinden SSL ile bağlanılması istenen web sitesi seçilir ve Actions panelinden Bindings tıklanır. TALM-001-047 29.05.2013 22/108

c. Site Bindings ekranında Add butonu tıklanır. d. Add Site Binding ekranındaki bilgiler eksiksiz seçilir. 1 Type https seçilir. 2 IP address All Unassigned veya IP seçilir. 3 Port 443 girilir. 4 SSL certificate yüklenen SSL sertifikası seçilir. Not: SSL sertifikasını görmek için View butonunu tıklanabilir. TALM-001-047 29.05.2013 23/108

OK butonuna tıklanır. e. Site Bindings ekranını kapatmak için Close butonuna tıklanır. TALM-001-047 29.05.2013 24/108

f. Açılan ekranda sağ taraftaki panelden Manage Web Site menüsünden web servisini Stop ile kapatıp, Start ile açmak gerekir. TALM-001-047 29.05.2013 25/108

g. Web sayfasını SSL ile açmak için http:// yerine https:// kullanılır. TALM-001-047 29.05.2013 26/108

4 Microsoft IIS 6.0 Windows işletim sistemi yüklü bilgisayarlar için IIS 6.0 kullanarak SSL (Güvenli Cihaz) Sertifikası istek oluşturma ve yüklenmesi. OWA Exchange 2007 içinde aynı adımlar takip edilir. 4.1 Sertifika İmzalama İsteği Oluşturma Adımları Önemli Uyarı! : Sertifika imzalama isteği oluştururken girdiğiniz bilgilerde "Türkçe Karakter" kullanmayınız. a. Kurulum aşamasında Web Sitesi ismi örnek olarak Default Web Site olarak verilmiştir. TALM-001-047 29.05.2013 27/108

b. "Default Web Site" üzerinde sağ tuşa basılarak Properties kısmına geçilir. TALM-001-047 29.05.2013 28/108

TALM-001-047 29.05.2013 29/108

c. "Directory Security" sekmesi tıklanır. Daha sonra "Secure Communication" bölümünde "Server Certificate..." sekmesi seçilir. TALM-001-047 29.05.2013 30/108

d. Sihirbazı başlatmak için "Next" butonuna tıklanır. TALM-001-047 29.05.2013 31/108

e. "Create a New Certificate" seçili iken "Next" butonuna tıklanır. TALM-001-047 29.05.2013 32/108

f. "Prepare the request now, but send it later" seçili iken "Next" butonuna tıklanır. TALM-001-047 29.05.2013 33/108

g. Aşağıdaki name kısmı, sertifikanızda görülen "Friendly name" bölümünü temsil eder. Buraya sertifikanızı kullanacağınız alan adı girilir. Bit lenght kısmında sertifika uzunluğu seçilir (Tavsiye edilen 2048 bit'tir). TALM-001-047 29.05.2013 34/108

h. "Organization" kısmına kurumunuzun ticari unvanı, "Organization Unit" kısmına da Bölüm/Departman adı yazılır. Buraya girilen bilgilerle Alan adı WHOIS bilgileri aynı olmak zorundadır. TALM-001-047 29.05.2013 35/108

i. "Common name" kısmına kullanılmak istenen alan adı ismi girilir. TALM-001-047 29.05.2013 36/108

j. "Country/Region" kısmına "TR", State/province kısma il, City/locality kısmına bulunduğunuz ilçe yazılarak devam edilir. TALM-001-047 29.05.2013 37/108

k. Girdiğiniz bilgilere göre Sertifika İmzalama İsteği "CSR" dosyası oluşturulmuştur. Dosyayı diskinizde belirlediğiniz bir yere kaydedebilirsiniz. TALM-001-047 29.05.2013 38/108

TALM-001-047 29.05.2013 39/108

4.2 Sertifika Yükleme Adımları Öncelikle Internet Information Services (IIS) Manager açılır. TALM-001-047 29.05.2013 40/108

a. Web Sitesi ismi örnek olarak Default Web Site verilmiştir. TALM-001-047 29.05.2013 41/108

b. "Default Web Site" üzerinde sağ tuşa basarak Properties kısmına geçilir. TALM-001-047 29.05.2013 42/108

c. "Directory Security" sekmesine ve buradan "Server Certificate..." butonuna tıklanır. TALM-001-047 29.05.2013 43/108

d. "Welcome to the Web Server Certificate Wizard" açılış sayfası "Next" ile geçilir. TALM-001-047 29.05.2013 44/108

e. "Process the pending request and install the certificate" seçili iken Next butonuna basılır. TALM-001-047 29.05.2013 45/108

f. ".csr" dosyanız ile oluşturulan ve tarafımızdan size gönderilen "CER" dosyası sunucuya kopyalanıp, dosya yolu gösterilir. TALM-001-047 29.05.2013 46/108

g. "SSL port this web site should use:" "443" iken Next ile geçilir. TALM-001-047 29.05.2013 47/108

h. Burada sertifika bilgilerinizin özetini görmektesiniz. Bu kısım Next ile geçilir. TALM-001-047 29.05.2013 48/108

i. "Finish" butonuna basılarak yükleme tamamlanır. TALM-001-047 29.05.2013 49/108

5 Apache OenSSL yüklü bilgisayarlar için Apache kullanarak SSL (Güvenli Cihaz) Sertifikası istek oluşturma ve yüklenmesi. 5.1 Sertifika İmzalama İsteği Oluşturma Adımları Önemli Not: CSR oluşturmak için, sunucunuza uygun bir anahtar çifti oluşturmanız gerekecektir. Bu iki öğe birlikte dijital sertifika anahtar çiftini oluştururlar ve ayrılamazlar. Eğer genel/özel anahtar dosyanızı ya da şifrenizi unutur ve yeni bir tane oluşturursanız SSL Sertifikanız uyuşmaz. Böyle bir durumda yeni bir sertifika almanız ve ödeme yapmanız gerekecektir. Kurumumuz türkçe karakter desteği sunmaktadır yalnız bu desteği alabilmeniz için openssl. cnf dosyanızda birtakım ayarlar yapmanız gerekmektedir. RHEL4 için; # vi /usr/share/ssl/openssl.cnf string_mask=nombstr #yerine string_mask=utf8only #olarak değiştirilir. Adım 1: Anahtar Çifti Oluşturma "openssl" anahtar çifti ve CSR oluşturmak için kullanılır. Bu araç OpenSSL paketiyle beraber gelir ve genellikle /usr/local/ssl/bin altında bulunur. Eğer başka bir yere kurduysanız anlatılanları kendinize göre uyarlamanız gerekmektedir. TALM-001-047 29.05.2013 50/108

Aşağıdakileri komut istemine girin: openssl genrsa -des3 -out www.alanadi.com.key 2048 Bu komut 2048 bit RSA özel anahtarı oluşturur ve bunu www.alanadi.com.key dosyasında saklar. Şifre ibaresi çıktığında güvenli bir şifre girin ve unutmayın, bu şifre özel anahtarı korumakta kullanılır. Hem özel anahtar ve hem sertifika SSL için gereklidir. Not: Özel anahtar oluştururken şifre gereksinimini kaldırmak için -des3 ibaresini komut içerisinden çıkararak işlem yapılır. TALM-001-047 29.05.2013 51/108

Adım 2: CSR Oluşturma Aşağıdakileri komut istemine girin: openssl req -new -key www.alanadi.com.key -out www.alanadi.com.csr Common Name= Sertifika alacak sitenin DNS ismi girilmelidir. Bu komut ekrana sertifikanın X.509 niteliklerini getirecek: www.alanadi.com adına düzenlenmiş sertifika alanadi.com adresinde kullanılırsa hata verecektir Lütfen CSR oluştururken e-mail adresi, şifre ya da opsiyonel kurum adresi girmeyin. Genel/özel anahtar çifti şimdi oluşturulmuştur. Özel anahtar (www.alanadi.com.key) sunucu bilgisayar TALM-001-047 29.05.2013 52/108

üzerinde yerel olarak saklanır ve çözme işlemi için kullanılır. CSR formundaki genel kısım (www.alanadi.com.csr) sertifika kaydı için kullanılır. Aşağıdaki resim bir csr dosyasının içeriğini göstermektedir. İçeriği gönderim formuna eklemek için herhangi bir metin editörüyle açılıp kopyalama yapılır. (Gereksiz karakterler eklediğinden dolayı Microsoft Word tavsiye edilmez) CSR işlemini tamamladıysanız adresine göndermeniz gerekmektedir. Adım 3: Özel Anahtarı Yedeklemek Özel anahtarınız olan.key dosyanızı yedeklemeniz ve güvenli bir yerde saklamanız tavsiye edilir. Sistem sorunlarına karşı disket ya da taşınabilir bir ortam kullanmanız iyi bir seçim olacaktır. TALM-001-047 29.05.2013 53/108

5.2 Sertifika Yükleme Adımları Sertifikanız size mail yoluyla ulaştırılacaktır. Sertifikanızın dosya uzantısı "sertifika.crt" şeklindeyse olduğu şekliyle kullanabilir. Dosya uzantısı ".txt" şeklinde geldiyse notepad ya da vi kullanarak sertifika dosyası açılır. "-----BEGIN CERTIFICATE REQUEST" ve "-----END OF CERTIFICATE REQUEST-----" kısmını kapsayacak şekilde yeni bir dosyaya, dosya ismi www.alanadi.com.crt olarak kaydedilir. Dosya içeriğinde bu kısımlar dışında karakterler ve boşluk bulunmamalıdır. Gerekliyse dosya sunucu bilgisayara taşınır. a. Sertifika depolanmak istenen Apache klasörüne kopyalanır. (Örneğin:/etc/httpd/conf/ssl.key/ ya da /etc/httpd/conf/ssl.crt/) b. Herhangi bir text editörle Apache httpd.conf dosyası açılır. Sertifikaya ait SSL VirtualHost bilgileri yerleştirilir. Aşağıdaki iki komutun virtual host içerisinde olduğundan emin olunur. Yoksa eklenir. SSLCertificateKeyFile /sertifika/dosyasının/depolandıgı/adres/www.alanadi.com.key SSLCertificateFile /sertifika/dosyasının/depolandıgı/adres/www.alanadi.com.crt TALM-001-047 29.05.2013 54/108

Not bazı örneklerinde Apache http.conf ve ssl.conf dosyası içerir. Yukarıdaki komutların sadece birisinde olmasına dikkat edilir. Aksi takdirde çakışma yaratacak ve Apache başlatılamayacaktır. c. Değişiklikler kaydedilerek text editörden çıkılır. d. Değişikliklerin algılanması için Apache yeniden başlatılır. e. VirtualHost ayarlarına 443 portunu ve tekil ip adresi verildiğinden emin olunur. Apache isim temelli virtual hostları desteklememektedir. Eğer server da firewall kurulu ise 443 portunun açık olduğundan emin olunur. TALM-001-047 29.05.2013 55/108

6 Sun Java Webserver 7.x 6.1 Sun One 7x Web Sunucusuna Kök ve Alt Kök Sertifikalarını Yükleme Adımları Sunucunuza Kök ve Alt Kök sertifikalarını yüklemek için aşağıdaki resimlerde gösterilen adımları takip ediniz. Önemli Not: Kök ve Alt Kök sertifikalarını "Bilgi Deposu" adresinden bulabilir veya Kök Sertifikası, Güvenli Cihaz Sertifikası linklerini kullanarak direkt makinanıza indirebilirsiniz a. Sun One Web Server Admin ekranında "Configuration" bağlantısına tıklanılır. TALM-001-047 29.05.2013 56/108

b. Configuration ekranında geçerli Domaine ait linke tıklanılır. TALM-001-047 29.05.2013 57/108

c. Açılan ekranda "Certificates" bağlantısı altında yer alan "Certificate Authorities" linkine tıklanır. Bu ekran açıldıktan sonra "Install" butonuna basılır. TALM-001-047 29.05.2013 58/108

d. "Install CA Certificate Wizard" ekranında "Token" seçeneği "Internal" olarak ayarlanır ve "Next" butonuna basılır. TALM-001-047 29.05.2013 59/108

e. "Certificate File" seçeneği işaretlenip KÖK Sertifikasını indirdiğiniz adres belirtilir. Ardından "Next" butonuna basılır. TALM-001-047 29.05.2013 60/108

f. "Certificate Type" seçeneği "CA Certificate" olarak işaretlenip "Next" butonuna basılır. TALM-001-047 29.05.2013 61/108

g. Gelen Ekranda "Finish" butonuna basılır TALM-001-047 29.05.2013 62/108

h. Aynı işlem Alt KÖK sertifikası içinde uygulanır. KÖK ve Alt KÖK Sertifikalarının yüklendiği kontrol edilir. TALM-001-047 29.05.2013 63/108

6.2 Sertifika İmzalama İsteği Oluşturma Adımları Sunucunuza Kamu Sertifikasyon Merkezin aldığınız SSL sertifikanızı yüklemek için aşağıdaki resimlerde gösterilen adımları takip ediniz. Önemli Not: İşlemlerin sonunda "Deploy" etmez iseniz yeni ayarların aktif olmayacaktır. Eğer "Deploy" esnasında web servisinin yeniden başlatılması gerektiği ibaresini görürseniz mutlaka yapılmasına izin veriniz. a. Sun One Web Server Admin ekranında "Configuration" bağlantısına tıklanılır. Geçerli Domain tıklanır. "Certificates" bağlantısı altında yer alan "Server Certificates" bağlantısına gelinir ve "Request" butonuna basılır. TALM-001-047 29.05.2013 64/108

b. Gelen ekranda SSL isteği oluşturulacak domain seçilir ve "Next" butonuna basılır. TALM-001-047 29.05.2013 65/108

c. Açılan ekranda "Token" seçeneği "Internal" olarak ayarlanır ve "Next" butonuna basılır. TALM-001-047 29.05.2013 66/108

d. İstenen gerekli bilgiler doldurulur ve "Next" butonuna basılır. TALM-001-047 29.05.2013 67/108

e. Gelen ekranda "RSA" seçeneği işaretlenip "Key Size" 2048 olacak şekilde ayarlanır. Ve ardından "Next" butonuna basılır. TALM-001-047 29.05.2013 68/108

f. "CA Signed Certificate" seçeneği işaretlenip "Next" butonuna basılır. TALM-001-047 29.05.2013 69/108

g. Bilgiler kontrol edildikten sonra "Finish" butonuna basılır. TALM-001-047 29.05.2013 70/108

h. Açılan sayfadaki bilgiler bilgisayara kopyalanır ve "Close" butonuna basılır. TALM-001-047 29.05.2013 71/108

6.3 Sertifika Yükleme Adımları Sunucunuza Kamu Sertifikasyon Merkezin aldığınız SSL sertifikanızı yüklemek için aşağıdaki resimlerde gösterilen adımları takip ediniz. Önemli Not: İşlemlerin sonunda "Deploy" etmez iseniz yeni ayarların aktif olmayacaktır. Eğer "Deploy" esnasında web servisinin yeniden başlatılması gerektiği ibaresini görürseniz mutlaka yapılmasına izin veriniz. a. Sun One Web Server Admin ekranında "Configuration" bağlantısına tıklanılır. Geçerli Domain tıklanır. "Certificates" bağlantısı altında yer alan "Server Certificates" bağlantısına gelinir ve "Install" butonuna basılır. TALM-001-047 29.05.2013 72/108

b. Gelen ekranda "Token" seçeneği "Internal" olarak seçilir. TALM-001-047 29.05.2013 73/108

c. Açılan ekranda "Certificate File" seçeneği işaretlenip sertifikanın adresi girilir ve ardından "Next" tuşuna basılır. TALM-001-047 29.05.2013 74/108

d. "Nick Name" alanı doldurulur ve "Next" butonuna basılır. TALM-001-047 29.05.2013 75/108

e. Açılan ekranda bilgiler incelendikten sonra "Finish" butonuna basılıp yükleme tamamlanır. TALM-001-047 29.05.2013 76/108

f. Sertifikanın sisteme yüklendiği kontrol edilir. TALM-001-047 29.05.2013 77/108

g. Ekranda yer alan "HTTP Listeners" bağlantısı tıklanılır ve açılan sayfada "http-listener-1" bağlantısı tıklanır. TALM-001-047 29.05.2013 78/108

h. Açılan sayfada "General" tabında yer alan "Port" numarası "443" e ayarlanır. TALM-001-047 29.05.2013 79/108

i. "SSL" tabında yer alan "SSL" seçeneği "Enable" olarak işaretlenir. "Certificate" seçeneği yukarda vermiş olduğumuz "Nick Name" olarak seçilir. Ve "Apply" butonuna basılır. TALM-001-047 29.05.2013 80/108

j. "HTTP Listeners" ekranında "Deployment Pending" bağlantısına tıklanılır. TALM-001-047 29.05.2013 81/108

k. Açılan sayfada "Deploy" butonuna basılır. TALM-001-047 29.05.2013 82/108

7 Tomcat - JBoss Tomcat veya JBoss yüklü bilgisayarlar için keytool kullanarak SSL (Güvenli Cihaz) Sertifikası istek oluşturma ve yüklenmesi. 7.1 Sertifika İmzalama İsteği Oluşturma Adımları Önemli Not: CSR oluşturmak için, sunucunuza uygun bir anahtar çifti oluşturmanız gerekecektir. Bu iki öğe birlikte dijital sertifika anahtar çiftini oluştururlar ve ayrılamazlar. Eğer genel/özel anahtar dosyanızı ya da şifrenizi unutur ve yeni bir tane oluşturursanız SSL Sertifikanız uyuşmaz. Yeni bir tane almanız ve ödeme yapmanız gerekir. Adım 1: Keystore ve Özel Anahtar Oluşturma Lütfen JDK 1.3.1 ve sonraki sürümlerini kullanınız. Aşağıdaki komutu kullanarak sertifika keystore ve özel anahtar oluşturulur. Unix: $JAVA_HOME/bin/keytool -genkey -alias <kod_adiniz> -keyalg RSA -keysize 2048 -keystore <keystore_adiniz> Bir şifre belirlenir. Varsayılan değer "changeit" olacaktır. Adım 2: CSR Oluşturma CSR aşağıdaki komut kullanılarak oluşturulur. keytool -certreq -keyalg RSA -alias <kod_adiniz> -file certreq.csr -keystore <keystore_dosyaniz> Not: CSR oluştururken, web sitenizin adresini (örn. www.alanadi.com) "first- and lastname" alanına giriniz. certreq.csr dosyasının içeriğini görmek ve kopyalamak için herhangi bir metin editör kullanabilirsiniz. Not: Dosya içeriğini Begin New Certificate Request ve End New Certificate Request satırları dahil olmak üzere tümünü kopyalamanız gerekmektedir. TALM-001-047 29.05.2013 83/108

7.2 Sertifika Yükleme Adımları Eğer dokümandaki bilgileri sunucunuzda uygulayamaz iseniz, yazılımınızın üreticisinden ya da Tomcat desteği veren bir firmadan yardım almanızı öneririz. Sertifikanızı mail yoluyla alacaksınız. Dosya adı sertifikaniz.crt şeklinde olmalıdır. SSL Sertifikanızı import etmek için aşağıdaki komut girilir. keytool -import -alias <kod_adiniz> -keystore <keystore_adiniz> -trustcacerts -file <sertifikanizin_dosya_adi> TALM-001-047 29.05.2013 84/108

8 Exchange 2010 Microsoft Exchange 2010 yüklü sunucular için Exchange Management Shell kullanarak SSL (Güvenli Cihaz) Sertifikası istek dosyası oluşturma, sertifika yükleme ve özel anahtar yedekleme. 8.1 Sertifika İmzalama İsteği Oluşturma Adımları Önemli Uyarı! : Sertifika imzalama isteği oluştururken girdiğiniz bilgilerde "Türkçe Karakter" kullanmayınız. a. Start»Programs» Microsoft Exchange Server 2010»Exchange Management Shell uygulaması çalıştırılır. Açılan ekranda aşağıdaki komut dizisi bilgileriniz doğrultusunda özelleştirildikten sonra çalıştırılır. New-ExchangeCertificate -GenerateRequest -KeySize 2048 -SubjectName c=tr, s=ankara, l=yenimahalle, o=tubitak UEKAE, ou=kamusm, cn=mail.kamusm.gov.tr -DomainName webmail.kamusm.gov.tr, autodiscover.kamusm.gov.tr, mail.kamusm.gov.tr -PrivateKeyExportable $True Set-Content -Path c:\mail_kamusm_gov_tr.csr SubjectName Sertifika sahibinin belirleyici kriterlerinin yer aldığı uzantıdır. Bu alana aşağıdaki bilgiler doğru olarak girilmelidir; Common Name / cn= SSL sertifikasını aldığınız mail sunucu adı etki alanı ile beraber yazılır. Organization / o= sertifika sahibi olan kurum veya kuruluşun adı yazılır. Organizational unit / ou= kurum veya kuruluşun ilgili birimi yazılır. City/locality / l= bulunduğunuz şehri veya ilçeyi yazılır. State/province / s= bulunduğunuz eyalet veya şehir yazılır. Country/region / c= iki harfli ülke kodu yazılır. (Türkiye için "TR") TALM-001-047 29.05.2013 85/108

DomainName - Bu uzantı sertifika için bir alternatif isim listesi sağlar. Subject X.500 distinguished name format içerebilmesine ragmen Subject Alternative name User Principal Name (UPN), e-mail address, Internet Protocol (IP) address, ya da Domain Name System (DNS) name gibi sunumlara izin verir. Common Name bu uzantıda belirtilmelidir. mail.kamusm.gov.tr Keysize Bu uzantı ile RSA Anahtar Şifreleme boyutu belirlenir. Path Sertifika İstek Dosyasının kaydedileceği dizini işaret eder. PrivateKeyExportable Özel anahtarın export edilmesini sağlayan uzantıdır. Bu parametre ile Özel anahtar export edilerek sertifikanın başka bir sunucuya taşınması sağlanır. b. Path uzantısında belirtilen dizinde oluşan.csr uzantılı Sertifika isteği TÜBİTAK BİLGEM Kamu Sertifikasyon Merkezi ne gönderilir. 8.2 Sertifika Yükleme Adımları a. Start»Programs» Microsoft Exchange Server 2010»Exchange Management Shell uygulaması çalıştırılır. Aşağıdaki bilgiler doğrultusunda TÜBİTAK BİLGEM Kamu Sertifikasyon Merkezi tarafından gönderilen SSL Sertifikası sisteme yüklenir. Import-ExchangeCertificate -FileData ([Byte[]]$(Get-Content -Path c:\mail_kamusm_gov_tr.cer -Encoding byte -ReadCount 0)) b. Sertifikanın kullanılacağı servisler etkinleştirilir. 1. Yüklenen sertifikanın thumbprint bilgisi alınır, Get-ExchangeCertificate TALM-001-047 29.05.2013 86/108

2. Sertifika, kullanılacak servislerde etkinleştirilir. Servisler kullanıma özel olarak belirlenmelidir. (POP, IMAP, SMTP, IIS, UM) Enable-ExchangeCertificate -Thumbprint 07911FB0CBDC0494ECFAE6FD62B046ED11B6D6D8 -Services "POP,IMAP,SMTP,IIS" 8.3 Sertifika Özel Anahtarı (.pfx) Yedekleme Adımları Önemli Uyarı! : Sertifikanız özel anahtar olmadan başka bir sunucu üzerinde çalışmayacaktır. Sertifikanın başka bir sunucu üzerine taşınabilmesi için özel anahtarın yedeklenmesi gerekir. Özel anahtarın kaybedilmesi durumunda sertifika başka bir sunucuya taşınamaz, bu durumda yeni bir tane almanız ve ödeme yapmanız gerekir. a. Start»Programs» Microsoft Exchange Server 2010»Exchange Management Console uygulaması açılır. b. Microsoft Exchange» Microsoft Exchange On-Premises» Server Configuration altından Mail sunucu seçilir. Exchange Certificates altında import edilen sertifika üzerine sağ tıklanır, Export Exchange Certificate seçeneği ile devam edilir. TALM-001-047 29.05.2013 87/108

TALM-001-047 29.05.2013 88/108

c. Dışarı alınacak özel anahtar dizini belirlenerek güçlü bir şifre ile koruma altına alınmalıdır. TALM-001-047 29.05.2013 89/108

8.4 Sertifika Özel Anahtarı (.pfx) Yükleme Adımları Adım 1:.PFX Dosyasını Sisteme Yükleme a. Başlat menüsünden çalıştır ı tıklatın ve mmc yazın. b. File tıkladıktan sonra Add/Remove Snap-in seçin. c. Certificates e çift tıklayın. Açılan pencereden Local Computers seçerek ilerleyin. d. Console Root» Certificates (Local Computer)» Personal üzerine sağ tıklayın, All Tasks»Import seçeneğine tıklayın. e. Sertifika yükleme sihirbazı takip ederek özel anahtarınızı içeren.pfx dosyanızı yerini göstererek otomatik belirlenen depolama alanına yükleme işlemini tamamlayın. Adım 2: Yeni Sertifikayı Aktif Hale Getirme a. Start»Programs» Microsoft Exchange Server 2007»Exchange Management Shell uygulamasını çalıştırın. b. Thumbprint değerini almak için aşağıdaki komut dizisini çalıştırın. Get-ExchangeCertificate -DomainName your.domain.name c. Sertifikayı aktif hale getirmek için aşağıdaki komut dizisini kendi thumbprint değeriniz ile değiştirdikten sonra çalıştırın. Enable-ExchangeCertificate -Thumbprint 07911FB0CBDC0494ECFAE6FD62B046ED11B6D6D8 -Services "POP,IMAP,SMTP,IIS" TALM-001-047 29.05.2013 90/108

d. Sertifikanızın başarı ile yüklendiğini doğrulamak için aşağıdaki komut dizisini çalıştırın. Doğru thumbprint karşısında services altında SIP ve W harfleri yazmalıdır. Get-ExchangeCertificate e. IE, ActiveSync, ve Outlook. ile sunucunuza bağlanarak sertifikanızı doğrulayın. TALM-001-047 29.05.2013 91/108

9 Exchange 2007 Microsoft Exchange 2007 yüklü sunucular için Exchange Management Shell kullanarak SSL (Güvenli Cihaz) Sertifikası istek dosyası oluşturma, sertifika yükleme ve özel anahtar yedekleme. 9.1 Sertifika İmzalama İsteği Oluşturma Adımları Önemli Uyarı! : Sertifika imzalama isteği oluştururken girdiğiniz bilgilerde "Türkçe Karakter" kullanmayınız. c. Start»Programs» Microsoft Exchange Server 2007»Exchange Management Shell uygulaması çalıştırılır. Açılan ekranda aşağıdaki komut dizisi bilgileriniz doğrultusunda özelleştirildikten sonra çalıştırılır. New-ExchangeCertificate -GenerateRequest -KeySize 2048 -SubjectName c=tr, s=ankara, l=yenimahalle, o=tubitak UEKAE, ou=kamusm, cn=mail.kamusm.gov.tr -DomainName webmail.kamusm.gov.tr, autodiscover.kamusm.gov.tr, mail.kamusm.gov.tr -PrivateKeyExportable $True Set-Content -Path c:\mail_kamusm_gov_tr.csr SubjectName Sertifika sahibinin belirleyici kriterlerinin yer aldığı uzantıdır. Bu alana aşağıdaki bilgiler doğru olarak girilmelidir; Common Name / cn= SSL sertifikasını aldığınız mail sunucu adı etki alanı ile beraber yazılır. Organization / o= sertifika sahibi olan kurum veya kuruluşun adı yazılır. Organizational unit / ou= kurum veya kuruluşun ilgili birimi yazılır. City/locality / l= bulunduğunuz şehri veya ilçeyi yazılır. State/province / s= bulunduğunuz eyalet veya şehir yazılır. Country/region / c= iki harfli ülke kodu yazılır. (Türkiye için "TR") DomainName - Bu uzantı sertifika için bir alternatif isim listesi sağlar. Subject X.500 distinguished name format içerebilmesine ragmen Subject Alternative name User Principal Name (UPN), e-mail TALM-001-047 29.05.2013 92/108

address, Internet Protocol (IP) address, ya da Domain Name System (DNS) name gibi sunumlara izin verir. Common Name bu uzantıda belirtilmelidir. mail.kamusm.gov.tr Keysize Bu uzantı ile RSA Anahtar Şifreleme boyutu belirlenir. Path Sertifika İstek Dosyasının kaydedileceği dizini işaret eder. PrivateKeyExportable Özel anahtarın export edilmesini sağlayan uzantıdır. Bu parametre ile Özel anahtar export edilerek sertifikanın başka bir sunucuya taşınması sağlanır. d. Path uzantısında belirtilen dizinde oluşan.csr uzantılı Sertifika isteği TÜBİTAK BİLGEM Kamu Sertifikasyon Merkezi ne gönderilir. 9.2 Sertifika Yükleme Adımları Start»Programs» Microsoft Exchange Server 2007»Exchange Management Shell uygulaması çalıştırılır. Aşağıdaki bilgiler doğrultusunda TÜBİTAK BİLGEM Kamu Sertifikasyon Merkezi tarafından gönderilen SSL Sertifikası sisteme yüklenerek, kullanılacak servislerde etkinleştirilir. Servisler kullanıma özel olarak belirlenmelidir. (POP, IMAP, SMTP, IIS, UM) Import-ExchangeCertificate -Path C:\mail_kamusm_gov_tr.cer Enable-ExchangeCertificate -Services "SMTP, IMAP, POP, IIS" TALM-001-047 29.05.2013 93/108

9.3 Sertifika Özel Anahtarı (.pfx) Yedekleme Adımları Önemli Uyarı! : Sertifikanız özel anahtar olmadan başka bir sunucu üzerinde çalışmayacaktır. Sertifikanın başka bir sunucu üzerine taşınabilmesi için özel anahtarın yedeklenmesi gerekir. Özel anahtarın kaybedilmesi durumunda sertifika başka bir sunucuya taşınamaz, bu durumda yeni bir tane almanız ve ödeme yapmanız gerekir. a. Windows+R tuşu ile çalıştır uygulaması açılarak mmc.exe uygulaması çalıştırılır. TALM-001-047 29.05.2013 94/108

b. File» Add/Remove Snap-in Menüsüne giriş yapılır. TALM-001-047 29.05.2013 95/108

c. Certificates Snap-in ine fare ile çift tıklanır. Açılan pencereden Computer accont seçilerek next butonuna tıklanır. TALM-001-047 29.05.2013 96/108

d. Local Computer seçilerek Finish butonuna tıklanır. TALM-001-047 29.05.2013 97/108

e. Console Root» Certificates (Local Computer)» Personal» Certificates yolu izlenerek Issued To altına gelen sertifikanızın üzerine fare ile sağ tıklanarak export seçeneği seçilir. TALM-001-047 29.05.2013 98/108

f. Export Private Key ekranında Yes, export the private key seçilerek next butonuna tıklanır. TALM-001-047 29.05.2013 99/108

g. Certificate Export Wizard ekranında Export all extended properties seçilerek next butonuna tıklanır. TALM-001-047 29.05.2013 100/108

h. Password ekranından özel anahtarı korumak için güçlü bir şifre belirlenerek next butonu ile devam edilir. TALM-001-047 29.05.2013 101/108

i. File to Export ekranında özel anahtar ın hangi dizin e çıkartılacağı belirlenir, next butonu ile devam edilir. TALM-001-047 29.05.2013 102/108

j. Özel anahtarı dışarı aktarma işlemi Finish butonuna tıklanarak tamamlanır. TALM-001-047 29.05.2013 103/108

9.4 Sertifika Özel Anahtarı (.pfx) Yükleme Adımları Adım 1:.PFX Dosyasını Sisteme Yükleme f. Başlat menüsünden çalıştır ı tıklatın ve mmc yazın. g. File tıkladıktan sonra Add/Remove Snap-in seçin. h. Certificates e çift tıklayın. Açılan pencereden Local Computers seçerek ilerleyin. i. Console Root» Certificates (Local Computer)» Personal üzerine sağ tıklayın, All Tasks»Import seçeneğine tıklayın. j. Sertifika yükleme sihirbazı takip ederek özel anahtarınızı içeren.pfx dosyanızı yerini göstererek otomatik belirlenen depolama alanına yükleme işlemini tamamlayın. Adım 2: Yeni Sertifikayı Aktif Hale Getirme f. Start»Programs» Microsoft Exchange Server 2007»Exchange Management Shell uygulamasını çalıştırın. g. Thumbprint değerini almak için aşağıdaki komut dizisini çalıştırın. Get-ExchangeCertificate -DomainName your.domain.name h. Sertifikayı aktif hale getirmek için aşağıdaki komut dizisini kendi thumbprint değeriniz ile değiştirdikten sonra çalıştırın. Enable-ExchangeCertificate -Thumbprint 07911FB0CBDC0494ECFAE6FD62B046ED11B6D6D8 -Services "POP,IMAP,SMTP,IIS" TALM-001-047 29.05.2013 104/108

i. Sertifikanızın başarı ile yüklendiğini doğrulamak için aşağıdaki komut dizisini çalıştırın. Doğru thumbprint karşısında services altında SIP ve W harfleri yazmalıdır. Get-ExchangeCertificate j. IE, ActiveSync, ve Outlook. ile sunucunuza bağlanarak sertifikanızı doğrulayın. TALM-001-047 29.05.2013 105/108

10 GlassFish 3.x Önemli Not: CSR oluşturmak için, sunucunuza uygun bir anahtar çifti oluşturmanız gerekecektir. Bu iki öğe birlikte dijital sertifika anahtar çiftini oluştururlar ve ayrılamazlar. Eğer genel/özel anahtar dosyanızı ya da şifrenizi unutur ve yeni bir tane oluşturursanız SSL Sertifikanız uyuşmaz. Böyle bir durumda yeni bir sertifika almanız ve ödeme yapmanız gerekecektir. 10.1 Sertifika İmzalama İsteği Oluşturma Adımları Komutlar aşağıdaki dizin altında çalıştırılır. cd $GLASSFISH_HOME/domains/yourdomain/config Not: $GLASSFISH_HOME dizini cat /etc/init.d/glassfish dosyası içinden kontrol edilebilir. Adım 1: Özel Anahtar Oluşturma Özel anahtar server.keystore dosyası içine oluşturulur. keytool -keysize 2048 -genkey -alias www.kamusm.gov.tr -keyalg RSA -dname "CN=www.kamusm.gov.tr,O=TUBITAK UEKAE,OU=KamuSM,L=Yenimahalle,S=Ankara,C=TR" -keypass masteradminpwd -storepass masteradminpwd -keystore server.keystore Common Name / cn= SSL sertifikasını aldığınız mail sunucu adı etki alanı ile beraber yazılır. Organization / o= sertifika sahibi olan kurum veya kuruluşun adı yazılır. Organizational unit / ou= kurum veya kuruluşun ilgili birimi yazılır. City/locality / l= bulunduğunuz şehri veya ilçeyi yazılır. State/province / s= bulunduğunuz eyalet veya şehir yazılır. Country/region / c= iki harfli ülke kodu yazılır. (Türkiye için "TR") TALM-001-047 29.05.2013 106/108

Adım 2: Sertifika İmzalama İsteği Oluşturma Bir önceki adımda oluşturulan özel anahtar kullanılarak Sertifika İmzalama İsteği oluşturulur. file uzantısında belirtilen dizinde oluşan.csr uzantılı Sertifika isteği TÜBİTAK BİLGEM Kamu Sertifikasyon Merkezi ne gönderilerek sertifika talebinde bulunulur. keytool -certreq -alias www.kamusm.gov.tr -keystore server.keystore -storepass masteradminpwd - keypass masteradminpwd -file www_kamusm_gov_tr.csr 10.2 Sertifika Yükleme Adımları Adım 1: Kök, Alt Kök ve İstek Yapılan Sertifikaların Yüklemesi Kök, Alt Kök ve istek yapılan sertifika sisteme farklı alias değerleri ile ayrı ayrı yüklenmelidir. Sertifikanız size mail yoluyla ulaştırılacaktır. Sertifikanızın dosya uzantısı "sertifika.crt" şeklindeyse olduğu şekliyle kullanabilir. Sertifikanızı $GLASSFISH_HOME /domains/yourdomain/config dizinine kopyaladıktan sonra aşağıdakiler komut istemine girilmelidir Önemli Not: Kök ve Alt Kök sertifikalarını "Bilgi Deposu" adresinden bulabilir veya Kök Sertifikası, Güvenli Cihaz Sertifikası linklerini kullanarak direkt makinanıza indirebilirsiniz cd $GLASSFISH_HOME/domains/yourdomain/config keytool -import -v -trustcacerts -alias root -file kokshs.crt -keystore server.keystore -keypass masteradminpwd -storepass masteradminpwd keytool -import -v -trustcacerts -alias subroot -file akokshs.crt -keystore server.keystore -keypass masteradminpwd -storepass masteradminpwd keytool -import -v -trustcacerts -alias www.kamusm.gov.tr -file sertifika.crt -keystore server.keystore - keypass masteradminpwd -storepass masteradminpwd TALM-001-047 29.05.2013 107/108

Adım 2: GlassFish Yönetim Paneli http://localhost:4848 GlassFish Yönetim Paneli üzerinden aşağıdaki değişiklikler yapılmalıdır. Configurations» server-config» Network Config» Network Listener» http-listener» SSL Certificate NickName: Kullanılmak üzere yüklenen sertifika ya verilen alias yazılmalıdır. Key Store: Oluşturulan keystore adı yazılmalıdır. Değişiklikler kaydedildikten Save sonra http://localhost:8181 adresinden yeni SSL Sertifika ile giriş sağlayabilirsiniz. TALM-001-047 29.05.2013 108/108