Let's Encrypt CertBot ile Manual DNS Chanllange Kullanarak 90 Günlük SSL Sertifika Oluşturma
Bu yazıda Let's Encrypt CertBot ile Manual DNS Chanllange Kullanarak 90 Günlük SSL Sertifika Oluşturulacağını okuyacaksınız.
Let’s Encrypt CertBot ile Manual DNS Chanllange Kullanarak 90 Günlük SSL Sertifika Oluşturma
Merhaba Arkadaşlar bugün Let’s Encrypt CertBot ile Manual DNS Chanllange Kullanarak 90 Günlük SSL Sertifika oluşturağız.
Hosting firmaları SSL sertifikaları 10$ civarında bir fiyata bir yıl kiralıyorlar. Hosting işinde neredeyse herşey kiralıktır. Satın alıp ömür boyu sizin olacak bir servis yok gibidir. Hatta ölseniz ve sitenizin parası ödenmez ise yayınınız duracaktır.
[[email protected]]$ sudo certbot certonly --manual --preferred-challenges dns
Password:
Saving debug log to /var/log/letsencrypt/letsencrypt.log
Plugins selected: Authenticator manual, Installer None
Please enter in your domain name(s) (comma and/or space separated) (Enter 'c'
to cancel): cerit.net
Requesting a certificate for cerit.net
Performing the following challenges:
dns-01 challenge for cerit.net
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Please deploy a DNS TXT record under the name
_acme-challenge.cerit.net with the following value:
eCtm2b0VqgrglRhp2iLXrIFbumyveWQUggfWeJ3Fy_1
Before continuing, verify the record is deployed.
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Press Enter to Continue
Burada script çalışmasını durdurur. Çünkü SSL Sertifika üretmeye çalıştığımız domainin bize ait olduğunu (en azından bizim yönetimimizde olduğunu) kanıtlamamız gerekiyor.
Bunun için domain DNS kayıtlarına bir TXT kaydı eklemeliyiz. Bu kayıt _acme-challenge.cerit.net
dir. Bu kayıdın değeri eCtm2b0VqgrglRhp2iLXrIFbumyveWQUggfWeJ3Fy_1 olmadır.
Bu kayıdı oluşturduktan sonra nslookup ile dış dünyadan okunabilir olması için 20dk ile 60dk arası beklemek gerekebilir. Ara ara kontrol edersiniz.
Kayıt görünür olduğunda Enter a basarak kontrol işlemini başlatalım. Kaydımız dış dünyadan okunabilir olduysa işlem başarılı olacaktır. Ardından aşağıdaki çıktı oluşur.
Waiting for verification...
Cleaning up challenges
IMPORTANT NOTES:
- Congratulations! Your certificate and chain have been saved at:
/etc/letsencrypt/live/cerit.net/fullchain.pem
Your key file has been saved at:
/etc/letsencrypt/live/cerit.net/privkey.pem
Your cert will expire on 2021-03-14. To obtain a new or tweaked
version of this certificate in the future, simply run certbot
again. To non-interactively renew *all* of your certificates, run
"certbot renew"
- If you like Certbot, please consider supporting our work by:
Donating to ISRG / Let's Encrypt: https://letsencrypt.org/donate
Donating to EFF: https://eff.org/donate-le
[email protected]]$
SSL Sertifikamız oluştu. Certbot 5 adet dosya oluşturdu. Bunlar aşağıdaki gibir:
[email protected]]$ pwd
/etc/letsencrypt/live/cerit.net
[email protected]]$ sudo ls
Password:
README cert.pem chain.pem fullchain.pem privkey.pem
[email protected]]$
Bu dosyalar ne işe yarar? İçinde ne var görelim.
privkey.pem: Private Key gizli anahtardır. Bu dosyayı sadece root okur ve listeler. Private Key sadece bu bilgisayarda kalmalıdır. Tabiki bir de sitenizin yayınlanacağı hostta bulunabilir.
Mevzuyu açmak gerekirse: Private Key aslında Apache, Nginx yada IIS benzeri web sunucu yazılımı tarafından oluşturulur. Bu dosyaya CSR Certificate Request File dosyası denir ve Private Key dir. Dolayısı ile aslında sadece ilgili web sunucu yazılımının olduğu hostta bulunmalıdır.
Eğer bu yazıda olduğu gibi web sunucu harici bir yerde SSL sertifika üretiyorsanız Private Key doğal olarak başka bir hostta oluşturulmuş olur. Web sunucu yazılımının olduğu sunucuya taşınması gerekir.
[[email protected]]# cat /etc/letsencrypt/live/cerit.net/privkey.pem
-----BEGIN PRIVATE KEY-----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-2WABwTVHjcn+YmYauZ+KB4YuH/MGdvfxivE5Ntzs24jr9CW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-----END PRIVATE KEY-----
[email protected]]#
Bir sonraki yazımızda görüşmek üzere