SSL Sertifikası SAN Eklemek

SSL sertifikaları, web sitelerinin güvenliğini sağlamak ve kullanıcı verilerini korumak için vazgeçilmez bir unsurdur. Özellikle birden fazla alan adı veya alt alan adı kullanan kurumsal web projelerinde, Subject Alternative Names (SAN) özelliği büyük önem taşır. SAN, bir SSL sertifikasının birden fazla hostname’i kapsamasını sağlar; örneğin, example.com, www.example.com ve mail.example.com gibi farklı varyasyonları tek bir sertifika altında güvenceye alır. Bu makalede, mevcut bir SSL sertifikasına SAN ekleme sürecini adım adım ele alacak, teknik detayları açıklayacak ve pratik uygulamalarla rehberlik edeceğiz. Bu işlem, sertifika sağlayıcınızın politikalarına göre mevcut sertifikayı yenilemeyi veya yeni bir CSR (Certificate Signing Request) oluşturmayı gerektirebilir, bu nedenle dikkatli bir planlama şarttır.

SAN Kavramı ve Kurumsal Kullanım Avantajları

Subject Alternative Names (SAN), X.509 sertifika standardının bir uzantısıdır ve Common Name (CN) alanının ötesinde birden fazla DNS adı, IP adresi veya URI’yi destekler. Geleneksel tek CN’li sertifikalar, yalnızca bir hostname’i kapsarken, SAN ile wildcard (*.example.com) veya spesifik listeler tanımlanabilir. Kurumsal ortamda bu, maliyet tasarrufu sağlar; örneğin, bir e-ticaret şirketi ana site, mobil alt alan adı ve API endpoint’lerini tek sertifikayla koruyabilir. SAN eklemek, sertifika yönetimini basitleştirir ve uyumluluğu artırır, zira modern tarayıcılar (Chrome, Firefox) multi-domain sertifikaları zorunlu kılar.

SAN’ın avantajları arasında ölçeklenebilirlik ön plandadır. Birden fazla sunucu veya bulut servisi kullanan işletmeler için, sertifika yenileme döngüsünü kısaltır ve hata riskini minimize eder. Uygulamada, SAN listesi sertifika talebinde (CSR) belirtilir ve yetkili makam (CA) tarafından doğrulanır. Bu sayede, subdomain’ler arası geçişlerde kesinti yaşanmaz. Pratik bir örnek: Bir finans kuruluşu, client.example.com ve admin.example.com’u SAN ile kapsayarak iç ağ trafiğini güvence altına alır. Bu yaklaşım, PCI DSS gibi standartlara uyumu kolaylaştırır ve operasyonel verimliliği yükseltir.

SSL Sertifikasına SAN Ekleme Adımları

CSR Oluşturma Aşamasında SAN Tanımlama

Mevcut sertifikanızda SAN yoksa, yeni bir CSR oluşturarak başlamalısınız. OpenSSL gibi araçlarla bu işlem gerçekleştirilir. Öncelikle, config dosyası (openssl.cnf) oluşturun ve [v3_req] bölümüne subjectAltName ekleyin: DNS.1 = www.example.com, DNS.2 = mail.example.com gibi. Komut satırında openssl req -new -key private.key -out csr.pem -config openssl.cnf çalıştırın. Bu, SAN’lı CSR üretir. Config dosyasının altındaki [req] bölümünde req_extensions = v3_req belirtmeyi unutmayın. Bu adım, sertifika sağlayıcınıza (örneğin Let’s Encrypt, DigiCert) gönderilecek talebi hazırlar ve hatalı CN-SAN uyumsuzluğunu önler. Test için openssl req -in csr.pem -noout -text ile SAN listesini doğrulayın; her giriş en az 1-255 karakter olmalı ve geçerli hostname formatında yazılmalıdır.

Sertifika Sağlayıcıda Başvuru ve Doğrulama

CSR’i sağlayıcıya yükledikten sonra, SAN’lar için domain doğrulama (DV) süreci başlar. E-posta, HTTP dosya yükleme veya DNS TXT kaydı yöntemleri kullanılır. Örneğin, HTTP ile .well-known/acme-challenge/ klasörüne token dosyası yerleştirin. Sağlayıcı, her SAN’ı ayrı doğrular; başarısız olursa ret alınır. Wildcard SAN (*.example.com) için DNS doğrulaması zorunludur. Doğrulama sonrası sertifika (CRT) ve zincir dosyaları indirilir. Bu aşamada, SAN sayısını sınırlayın (çoğu CA 100’ü aşmaz) ve gelecekteki genişlemeleri öngörün. Pratik ipucu: Staging ortamında test edin ki production’da kesinti olmasın.

Sunucuya Sertifika Yükleme ve Test

Apache veya Nginx gibi sunucularda, CRT dosyasını private.key ile eşleştirin. Apache’de SSLCertificateFile ve SSLCertificateChainFile direktiflerini virtual host’a ekleyin. Nginx’te ssl_certificate ve ssl_certificate_key kullanın. Yeniden başlatma sonrası, openssl s_client -connect example.com:443 -servername www.example.com ile SAN kapsama test edin. Tarayıcıda SSL Labs veya Qualys aracıyla A+ derecesi hedefleyin. SAN ekleme sonrası, eski sertifikayı revoke edin ki güvenlik boşluğu oluşmasın. Bu işlem, 15-30 dakika sürer ve düzenli bakım için cron job’larla otomatikleştirilebilir.

Yaygın Hatalar ve Etkin Çözümler

SAN eklerken sık karşılaşılan sorun, CSR config hatasıdır; örneğin, DNS girişleri tırnak içinde unutulursa parse hatası alınır. Çözüm: Config’i syntax checker ile doğrulayın. Başka bir hata, tarayıcı uyumsuzluğu; eski IE sürümleri SAN’ı desteklemez, bu yüzden fallback CN sağlayın. Sunucu tarafında, mismatched SNI (Server Name Indication) nedeniyle subdomain’ler sertifikasız görünür – virtual host’ları hostname bazlı yapılandırın. Doğrulama gecikmeleri için, TTL’leri düşük tutun ve birden fazla yöntem deneyin. Pratik takeaway: Değişiklik öncesi yedek alın ve rollback planı yapın. Bu yaklaşımlar, %99 uptime sağlar.

SSL sertifikasına SAN eklemek, kurumsal web altyapınızı geleceğe hazırlar ve kullanıcı güvenini pekiştirir. Bu adımları izleyerek, çoklu domain yönetimini verimli hale getirin; düzenli denetimler ve yenilemelerle güvenlik katmanınızı güçlendirin. Uzman desteği gerekirse, sertifika sağlayıcınızın dokümanlarını temel alın ve iç ekiplerinizi eğitin. Sonuçta, doğru uygulanan SAN, operasyonel maliyetleri düşürürken uyumluluğu maksimize eder.