Bildiğiniz gibi Https ile çalışan web sayfalarını görüntüleyebilmek için ilgili sayfanın SSL sertifikasını sağlayan SSL sertifika firmasının Root sertifikasının Windows,Linux, MacOS işletim sistemlerinde yüklü olması gerekmektedir. İşletim sistemleri ilk kurulduklarında sertifika üreticilerinin root sertifikaları hali hazırda yüklü gelir. SSL sertifika üretici firmanın root sertifikası işletim sistemlerinin kurulum medyaları üretildikten sonra oluşturuldu ise İşletim sistemi update i ile bu güncel root sertifika otomatik yüklenir. Bu nedenle bizler Banka siteleri, sosyal medya siteleri gibi https ile çalışan web sitelerini sorunsuz ziyaret edebiliriz.
Öte yandan kurumlar kullanıcılarının internet erişimlerini 5651 Sayılı kanun gereği ve Bant genişliği optimizasyonu gereği proxy sistemleri üzerinden geçirerek kontrol eder ve yönetirler. Bu yönetimde http ile çalışan siteler için sorun yoktur ancak https ile çalışan siteler için bir bloklama yada loglama v.b. yapılacaksa ilgili proxy ürününün self sign imzalanmış sertifikasının tüm istemcilere manuel olarak yüklenmesi gerekmektedir. Böylelikle proxy ürünü https li siteleri de yönetebilecektir.
Active Directory ortamınız var ise Windows İstemciler için bu işlemi Group Policy Object (GPO) ile kolayca halledebilirsiniz.
Group Policy (GPO) İle Self Sign Üretilmiş Sertifika Nasil Dağıtılır?
Bunun için önce Yeni bir GPO oluşturalım ve Computer Configuration/Policies/Windows Settings/Security Settings/Public Key Policies/Trusted Root Certification Authorities alanına gelelim.
Sağ taraftaki boşluğa sağ tıklayıp “Import” seçeneğini seçelim.
Gelen pencerede Sertifikanın Bilgisayarın Sertifika deposuna ekleneceğini görüyoruz ve bunu değiştiremiyoruz. Zaten gerek de yok.
Gelen ekranda yüklemek istediğimiz sertifika dosyasını seçmemiz gerekiyor. Sunucuda hangi klasördeyse Browse seçeneği ile seçiyoruz.
Bu noktada yüklediğimiz sertifikanın sunucu üzerinde hep o klasörde kalması gerektiğini düşünmeyin. Sertifika dosyası GPO nun içine import edildikten sonra sunucudaki sertifika dosyasını silebilirsiniz.
Next ile devam edelim.
Bu ekranda sertifikanın bilgisayarın Sertifika deposunda “Trusted Root Certification Authorities” altına yükleneceğini gösteriyor ve bunu değiştiremiyoruz. Zaten gerek de yok, amacımız bu zaten.
Next ile devam edelim.
Özet sayfamız. Finish diyerek tamamlıyoruz.
İşlem başarılı.
Aşağıda gördüğünüz gibi sertifikamız GPO içine eklendi.
Tekrar hatırlatayım sunucuda klasör içinde duran sertifika dosyamızı silebiliriz.
Bu yazıda proxy ürünü senaryosunu ele aldık ancak her türlü ihtiyaç için yöntem aynıdır.
Firefox bildiğiniz üzere kendi sertifika deposunu kendisi tutuyor. Halen Java applet ile hizmet veren ve bu nedenle Java gösteren en son Firefox sürümünü kullandırmayı zorunlu kılan devlet kurumları yüzünden ikinci bir tarayıcı olarak kurmak zorunda kalmıştık ve sertifika yönetimi baş ağrısı olmuştu. Halen Firefox ile sertifika yönetimi ek iş yükü gerektiriyor. İleride GPO ile Firefox tarayıcılar sertifika yükleme konusunda da bir yazı yazar mısınız?
Evet onla ilgili de yöntemi biliyorum. Bugün o konuda yazı yazmayı düşünüyorum.