Natro’da Ücretsiz Let’s Encrypt SSL Sertifikası Kullanımı ve Güncellenmesi*
*Since Natro is a widely-used web hosting company in TR, this post is written in Turkish.
Natro’nun domain hosting hizmetini kullanıyorum. Hizmeti satın alırken bir domain için ömürboyu ücretsiz SSL de verilmekte. Bu güzel bir hizmet, ancak verilen SSL’in wildcard özelliği olmaması sizleri kısıtlayabilir.
Bu arada IT ve Web dünyasını ticari veya kişisel ihtiyaçlarınız için de kullanıyor olsanız, bir tek domain’in yeterli olmadığını ve çalışmalarınızı birden fazla domain’de sürdürmek gerekliliğini tecrübe etmişsinizdir. Tabii, domain sayısı arttıkça her biri indirimli 8–10 USD olan SSL’ler, hele TR’deki artan döviz kurları da düşünüldüğünde bütçenizi sarsabilir. Bu bağlamda Let’s Encrypt imdadınıza yetişiyor. Ancak sadece 90 günlüğüne!!! :( Yani SSL sertifikanız 90 gün sonra sona erecektir.
Let’s Encrpt hakkında bilmek istedikleriniz ve ilk sertifika kurulumu ile ilgili olarak https://ceaksan.com/tr/lets-encrypt-nedir kaynağından yararlanabilirsiniz. Eğer 90 günlük süresi dolmak üzere olan bir Let’s Encrypt sertifikanız varsa, bu durumda da aşağıdaki prosedürü tekrarlayarak kolayca yenileyebilirsiniz.
Aslında yapılcak işlemler 10–15 dakika sürmekle birlikte DNS kayıtlarının güncelenmesi ve sertifikanın sitenizde etkin hale gelmesi 3–4 saat kadar sürebilmektedir. Bu nedenle sabırlı olmanızı tavsiye ediyorum.
Domain verifikasyonu/doğrulaması:
https://punchsalad.com/ssl-certificate-generator/ linkini açın ve aşağıdaki görseldeki şekilde domain bilginizi, emailinizi forma girin.
Yukarıdaki formu doldurduktan sonra (sub-domain’lerimi eklemek için *.dastugo.com yazım. “,” işaretiyle ayırarak bir de normal domainimi dastugo.com şeklinde ekledim) en alttaki “Create Free SSL Certificate” butonuna tıklayın.
Şimdi karşınıza yeni bir form çıkacak. (Resim-2) Burada iki TXT acme kodu üretilmiş durumda. Henüz yeni açılan formdaki herhangbir butona tıklamayın. Let’s Encrypt sertifika üretmeden önce, bir önceki forma girdiğiniz domain’in sizin olup olmadığını doğrulamak istiyor.
Uyarı: yapacağımız doğrulama DNS kayıtlarında güncelleme gerektirdiğinden 30 dakikaya kadar beklemeyi gerektirebilmektedir. Bu nedenle formun tabını kapatmamaya dikkate edin.
Bunun için Natro’ya giriş yapın ve hangi domain’inize SSL sertifikası yüklemek istiyorsanız, aşağıdaki görseldeki gibi, onun karşısındaki “Web Sitesi” butonuna tıklayın, aşağı doğru açılan menüde de “DNS Yönetimi”ni seçin.
Şimdi aşağıdaki gibi Natro’nun sitenizin DNS ayarlarını yapabileceğiniz penceresine ulaştınız. Burada aşağya doğru inerek “Text (TXT) Kayıtları” yazan bölüme gelin.
Burada daha önceden txt kayıtlarınız olabilir. Eğer benim gibi Let’s Encrypt’i 3 ay önce kurup yeniliyorsanız ve doğrulama sonrasında silmediyseniz iki adet de _acme-challenge kaydı göreceksiniz. Bunların yenilerini oluşturacağımızdan eskilerini karşılarındaki silme butonlarına basarak silin. Diğer kayıtlar olduğu gibi kalsın.
Varsa mevcut _acme-chalenge kayıtlarınız sildikten sonra sağ alltaki “Yeni Kayıt (TXT)” butonuna tıklayın. aşağıdaki şekilde yeni kayıt girme penceresi açılacaktır.
Şimdi yukarıdaki formu, daha önce açık bıraktığımız (Resim-2) ve bunu kullanacağız dediğimiz aşağıdaki formu kullanarak dolduracağız.
Yukarıdaki formun sayfasından birinci key’in Value sütunundaki text değerini kopyalayın ve Natro’da açılan “Yeni Kayıt -Text(TXT)” penceresinde ilgili satıra aşağıdaki gibi yapıştırın.
“Alt Alan Adı” alanına el ile klavyeden “_acme-challenge” değerini girin. “Data Server” alanına da SSL Certificate Generator’ün sizin siteniz için ürettiği text value’sunu yapıştırın. Daha sonra da “Değitir” butonuna tıklayın. Butona tıkladığınızda Natro DNS Yönetimi penceresi yenilenecektir. Tekrar aşağı doğru Text (TXT) Kayıtları bölümüne geldiğinizde yeni _acme-challenge key’inizin oluştuğunu göreceksiniz. Yukarıda anlatıldığı şekilde birinci key-value değerini Natro’da oluşturduktan sonra Resim-6'daki formda gördüğünüz alttaki değeri de aynı şekilde Natro’da oluşturun. Bu işlemler sonunda aşağıda Resim-8'de görüldüğü gibi iki kaydın olştuğunu göreceksiniz.
Bu işlemleri yapma hızınıza ve DNS kayıtların güncellemesine bağlı olarak yaklaşık 30 dakika sonra, Resim-6'daki formdaki “Check DNS” butonlarına tıklayarak site/domain doğrulamasını yaptırın.
Resim-9'daki gibi “Punchsalad.com says DNS Record OK” mesajını almanız gerekiyor. Eğer yeteri kadar beklemediyseniz hata mesajı alırsınız.
Her iki butona da ayrı ayrı basarak “DNS Record OK” mesajını aldıktan sonra yine Resim-9'daki “Verify Domain” butonuna tıklayın.
“punchsalad.com” sitesinin reklam için ürettiği iki pop-up pencereyi sağ üstlerindeki “x” ile kapattığınızda aşağıdaki gibi SLL sertifikanızın anahtarlarının üretildiğini göreceksiniz. Burada iki ayrı text alanında uzunca anlamsız text üretilmiştir. Bu unique text sayesinde Let’s Encrypt sitenize güvenlik anahtarı işareti koyacaktır. Bu nedenle bu anahtarların üretildiği browser’i yanlışlıkla kapatmayın. Yoksa bütün işlemleri tekrarlamak gerekir.
SSL Sertifikasının Domain’imize kaydedilmesi:
Şimdi bu textleri ilgili domain’imizin alanına yapıştırmak için tekrar Natro’ya döneceğiz.
Aşağıdaki görselde olduğu şekilde Hosting bölümünüzde “Plesk’e Bağlan” butonuna tıklayın.
Plesk’de domain ve sub-domainlerinizin listesinin olduğu bir sayfa açılır. Burada aşağıdaki gibi SSL yükleyeceğimiz domain’i seçin.
Açılan “Dashboard” sayfasında aşağıdaki gibi “Hosting&DNS” tabına tıklayın.
Daha sonra da “Hosting & DNS” bölümünde aşağıdaki şekilde “Hosting Settings”e tıklayın.
Burada (varsa) mevcut SSL sertifikası ile ilgili bilgiyi göreceksiniz. Aşağıda benim Aralık ayına ürettiğim ve süresi dolan sertifikamın bu domain için seçili olduğunu görüyorsunuz.
Şimdi yeni sertifika üretimi için tekrar Resim-13'deki gibi domain’imizin “dashboard” sayfasına gidelim ve orada aşağıdaki görselde olduğu şekilde “Security” altındaki “SSL/TSL Certificates” linkine tıklayalım.
Açılan “SSL/TLS Certificates for dastugo.com” sayfasının alt tarfına doğru indiğinizde mevcut SSL.lerinizin (varsa) listelendiğini görebilirsiniz. Şimdi aşağıdaki görseldeki gibi “Add SSL/TSL Certificate” butonuna tıklayın.
Açılan sayfadaki ayarlar bölümüne aşağıdaki gibi zorunlu bilgileri girin. Sertifikanıza bir isim vermeyi unutmayın. Çünkü bu isim ile domain ve sub-domainlerinizde Resim-16'da olduğu şekilde sertifikamızı daha sonra seçip kuracağız.
“State or Province” bölümüne TR için il ismi, “Location(city)” bölümüne de ilçe ismi yazabilirsiniz.
Daha sonra aradaki hiçbir butona tıklamadan en alttaki “Upload the certificate as text” bölümüne ulaşın. Aşağıdaki gibi 3 adet boş text alanının olduğu bir manzara ile karşılaşacaksınız.
Şimdi tekrar daha önceden açık bıraktığımız sertifika anahtarlarının üretildiği Resim-10'daki browser tab'ına geçelim.
Natro’da Resim-20'deki pencerede 3 tane text alanı varken Resim-10'daki tabdaki pencerede 2 adet text üretildiğini göreceksiniz.
Şimdi önce aşağıdaki gibi üstteki alandaki textin bulunduğu bölüme tıklayıp Crtl+A, Ctrl+C yaparak bütün texti seçip kopyalayalım.
Daha sonra Natro’da Resim-20'de “Certificate” yazan ORTADAKİ text alanına Ctrl+v ile kopyaladığımız text’i aşağıdaki gibi yapıştıralım.
Yağıştırdığımız texte baktığımızda birden fazla “Begin Cetificate”-”End Certificate” bloğundan oluştuğunu göreceğiz. En alttaki “Begin Certificate” bloğunun tamamını başlık ve son satırı dahil buradan kesip, bu text alanının altındaki “CA certificate” alanına yapıştıralım.
Daha sonra yukarıda Resim-21'deki browser penceresinden “Private Key” textini kopyalatıp, Aşağıdaki gibi Natro’da “Private Key” alanına yapıştıralım.
Son olarak da (her üç text alanını kopyala-yapıştır ile doldurduktan sonra) sayfanın SOL altındaki “Update Certificate” butonuna tıklayalım.
Upload işlemi tamamlandığında Natro’nun domain’imize ait yukarıda Resim-18'de degördüğümüz güncel sertifika listesinin bulunduğu sayfa aşağıdaki gibi otomatik olarak açılır ve burada yeni eklediğimiz sertifikayı görebiliriz.
Geçerli Sertifikanın Domain ve Sub-Domainlerde Aktif Hale Getirilmesi
Artık geçerli bir sertifikamız var ancak şimdi bunu ilgili domain ve sub-domainlerde aktif hale getirmemiz gerekiyor.
Bunun için tekrar aşağıdaki gibi domain’in “Dashboard” sayfasına gideceğiz. Ve “Hosting & DNS” tabına tıklayacağız.
“Hosting & DNS” sayfasında da “Hosting Settings”e tıklayıp aşağıdaki gibi domain’imizin “Settings” sayfasındaki “Security” bölümüne inelim. Ve burada aşağıdaki görselde olduğu şekilde listeden yeni oluşturduğumuz sertifikayı seçelim ve “Apply” butonuna tıklayalım.
Evet bu şekilde ana domainimize SSL sertifikasını yüklemiş bulunuyoruz. Seritikayı üretirken “*.dastugo.com” yazmıştık ilk formumuza hatırlarsanız. Yani benim “cafe.dastugo.com”, “bistro.dastugo.com” gibi “dastugo.com”’un sub-domainleri de yeni oluşan SSL sertifikasını kullanabilirler. Burada sadece ilgili sub-domain’in ayarlarını yapmamız gerekecek.
Bunun için aşağıdaki gibi Plesk’te “Websites & Domains” linkini tıklayıp aktif domain ve sub-domainlerinizi listeleyin.
Bu listeden de istediğiniz sub-domain’i seçerek Dashboard’ını aşağıdaki açın. Burada da daha öndeden de yaptığımız gibi önce “Hosting & DNS” tabını , orada “Hosting Settings” linkini tıklayarak daha önceden gördüğünüz ve size tanıdık gelecek aşağıdaki domain güvenlik sertifika ayarı bölümüne gelin.
Burada yukarıdaki görseldeki şekilde sertifikanızı seçip sayfa altındaki “Apply” butonuna tıkladığınızda artık bu sub-domain için de SSL tanımlamış olacaksınız.
DNS güncellemeleri gerektiğinden süreç zaman alacaktır. Yani “Apply” tuşuna bastığınızda hemen SSL kilit işaretini göremeyebilirsiniz. Duruma göre birkaç saat sonra SSL’in yüklendiğini göreceksiniz.
90 gün boyunca kafanız rahat. Browser’a dastugo.com yazdığımızda yanında göreceğimiz kilit işareti üzerine tıklayıp açılan pencereciği incelediğinizde geçerlilik tarihini göreceksiniz aşağıdaki gibi.
Takviminize bitimine 2–3 gün kala bir hatırlatma koyarak bu yazımızdaki işlemi tekrarlayabilirsiniz. Aslında sektörde olanlar için basit bir konu olabilir ama benim gibi hosting konusuyla tam zamanlı ilgilenmiyorsanız ve üç ayda bir yapıyorsanız hatırlamak için bu yazıya tekrar dönebilirsiniz.
Bu arada bu yaklaşımın çok profesyonel olmadığını da vurgulamak gerekebilir. Her ne kadar kişisel bütçemize katkı sağlasa da, kurumsal bir görüntü vermez. Web sitenizde bir profesyonel bir hizmet sunuyor veya ticari bir işlem yapıyorsanız, işinizin bir parçası olarak SSL sertifikanızı da giderlerinizin arasına dahil etmenizde fayda olduğunu değerlendiriyor, esenlikler diliyoruz.
