SSL Sertifika Hizmet Sağlayıcısı standartları ve uygulamaları

SSL-Sertifikasi-SSL-Sertifika-Hizmet-Saglayicisi-standartlari-ve-uygulamalari
SSL-Sertifikasi-SSL-Sertifika-Hizmet-Saglayicisi-standartlari-ve-uygulamalari

Kullanıcı sertifikası yaşam döngüsü SSHS tarafından sağlanan hizmetlerin odağındadır. SSHS kendi yayınladığı SUE ve Sertifika İlkelerinde sunacağı hizmetler ile kendi standartlarını ve uygulamalarını oluşturur. Kullanıcı sertifika yaşam döngüsü aşağıdaki maddeleri içerir:

 Kayıt (anlamı, sertifika için bireysel müşteri bağlanması ile ilgili tanımlama ve doğrulama süreci );
Sertifikaların yenilenmesi(mevcut ise);
Sertifikaların anahtar yenilemesi;
Sertifikaların yürürlülükten kaldırılması;
Sertifikaların askıya alınması(mevcut ise) ;
Sertifika durum bilgilerinin güncel olarak açıklanması(Sertifika İptal Listeleri veya çevrimiçi sertifika durum protokolünün bazı biçimleri); ve
 Yaşam döngüleri boyunca(mevcut ise) gizli anahtarları taşıyan tümleşik devre kartlarının(ICC) yönetimi.

Zayıf tanımlama ve doğrulama kontrolleri SSHS tarafından yayımlanan sertifikalara güvenen müşterilerin ve güvenilen tarafların becerilerini tehlikeye atacağından, kayıt süreci üzerinde etkin kontroller çok önemlidir. SSHS tarafından yayımlanmış sertifikalara güvenilemediğini bilmek müşteriler ve güvenilen taraflar için kritik olduğu gibi, etkin yürürlükten kaldırma prosedürleri ve sertifika durum bilgilerinin güncel olarak açıklanması da kritik unsurdur.

SSL Sertifika Hizmet Sağlayıcısı

SSL-Sertifikasi-SSL-Sertifika-Hizmet-Saglayicisi
SSL-Sertifikasi-SSL-Sertifika-Hizmet-Saglayicisi

Bu teknolojiler için tarafların güvenli e-ticaret yapmayı etkinleştirmesi, önemli bir sorunun yanıtlanmasını gerektirir. Dijital dünyada bireyin açık anahtarının gerçekten o bireye ait olduğunu nasıl bileceğiz? Yanıtı, bir bireyin açık anahtarı hakkında bilgi içeren elektronik belge olan bir sayısal sertifikadır. Bu belge bir SSL Sertifika Hizmet Sağlayıcısı (SSHS) olarak temsil edilen güvenilir bir organizasyon tarafından dijital olarak imzalanır. Bireyin kimliği ve kendi açık anahtarı arasındaki bağlantı için kefil olan SSHS temel dayanaktır. SSL Sertifika Hizmet Sağlayıcısı, sertifikada bulunan açık anahtarın gerçekten sertifikada belirtilen kuruluşa ait olduğuna dair bir güvence düzeyi sağlar. SSHS tarafından açık anahtar sertifikasına yerleştirilmiş dijital imza, sertifikadaki kuruluşun açık anahtarı, kuruluşun ismi, ve diğer bilgileri örneğin bir geçerlilik süresi, arasında kriptografik bağlantı sağlar. Güvenilen bir tarafın, sertifikanın kurallara uygun bir SSHS tarafından yayımlanıp yayımlanmadığını belirlemesi için, güvenilen taraf yayımlanan sertifikadaki SSHS’nın imzasını doğrulanmak zorundadır. Birçok yaygın Kök SSHS’larının açık anahtarları(sonra tanımlanacak) standart Web tarayıcı yazılımı (örneğin, Mozilla Firefox, Google Chrome veya Microsoft Internet Explorer) içerisine önceden yüklenir. Bu güvenilen tarafa ssl sertifikasının güvenilir bir SSHS tarafından yayımlanıp yayımlanmadığını belirlemesine ve SSHS’nın açık anahtarını kullanarak yayımlanan SSHS’nın imzasını doğrulamasına izin verir.
Bir SSHS’nın amacı sertifikaların üretimini ve yayımlanmasını, dağıtımını, yenilenmesini ve tekrar anahtar üretilmesini, yürürlülükten kaldırılmasını ve askıya alınmasını içeren sertifika yaşam döngüsünü yönetmektir. SSHS, SSHS için temsilciler olarak hareket eden Kök
SSHS’larına müşterilerin ilk kayıt işlemleri için sık sık delege atar. Bazı durumlarda, SSHS kayıt işlemlerini doğrudan icra edebilir. SSHS ayrıca, Sertifika İptal Listesinin(SİL) yayımlanmasına ve/veya aktif durum kontrol mekanizmasının bakımına karşın sertifika durum bilgisinin sağlanması için sorumludur. Genel anlamda, SSHS sertifikaları ve güvenilen taraflarca erişilebilir bir veri havuzu(örneğin çevrim içi bir liste) için yayımlayan SİL leri ilan eder.

E-FATURA SUNUCU İHTİYAÇLARI

SSL-Sertifikasi-e-fatura-sunucu-ihtiyaclari
SSL-Sertifikasi-e-fatura-sunucu-ihtiyaclari

Ön Hazırlık:
e-Fatura Sunucusu Kurulmaya Başlanmadan Önce:
Sunucu için aşağıda listelenen ön koşulların sağlanmış olması gerekmektedir. Aşağıda belirtilen özelliklerde bir sunucu olması ve bu sunucuda belirtilen bütün yazılımlar kurulmuş olması gerekmektedir.

 Sunucu özellikleri:

o İnternete açık,
o Sabit IP’li,
o Sürekli online,
o IIS çalışır durumda,
o GLOBE SSL sertifikası yüklenmiş olmalı

 GİB’e “Entegrasyon Başvurusu” yapılmış ve GİB’den “Entegrasyon Onayı” alınmış olmalı  Firma için çalışılacak Web Servisi’nin IP’si, GIB’e yapılan başvuruda, doldurulan formda bildirilmiş olan IP olmalı.

 GIB’e yapılan Entegrasyon başvurusunda bildirilen “Web Servis Uç Noktası” aşağıdaki formatta olmalı; https://xxx.xxx.xxx/xxxx/PostBox.svc

o Adresin son kısmının “PostBox.svc” olarak belirlenmiş olması gerekmektedir.

FortiGate Firefox için SSL Sertifika Ayarlari

SSL-Sertifikasi-FortiGate-Firefox-icin-Sertifika-Ayarlari
SSL-Sertifikasi-FortiGate-Firefox-icin-Sertifika-Ayarlari

Firefox Options menüsüne giriniz.

Advanced bölümünden Encryption kısmına geliniz, View Certificates butonuna tıklayınız, Authorities bölümünden Import butonuna tıklayarak CAServer_Cert.cer kök sertifikanızı seçiniz.

Dialog penceresindeki kutuları işaretleyip OK butonuna basınız.

Listede gördüğünüz gibi sunucu kök sertifikası başarıyla eklendi.

FortiGate sertifikasını yüklemek için Servers bölümüne giriniz. Import butonuna basarak FortiGate_Cert.cer isimli sertifika dosyasını seçiniz.

Ekleme sonucunda listede sertifikayı göreceksiniz. Sertifikayı seçip Edit Trust butonuna basınız.

Trust the authenticity of this certificate seçeneğini seçip OK butonuna basınız.

İşlemler bittikten sonra sertifika kontrolünü yapabilirsiniz.

Yapılan bu işlemler Microsoft CA sertifika sunucusu ile yapılmıştır. Aynı sertifika isteğini oluşturarak global sertifika imzalayan kuruluşlardan (Globessl,Thwate, GlobalSign, COMODO vb.)
sertifika isteğinizi imzalatıp, kök sunucu sertifikası ve imzalanmış sertifikayı aynı ayarlarla FortiGate cihazınızda kullanabilirsiniz.

Active Directory yapısı kullanılan yerlere kök ve sunucu sertifikasını Group Policy kullanarak kullanıcı browserlarına otomatik yüklemek mümkündür.

FortiGate Internet Explorer için SSL Sertifika Ayarları

SSL-Sertifikasi-FortiGate-internet -Explorer-icin-Sertifika-Ayarlari
SSL-Sertifikasi-FortiGate-internet -Explorer-icin-Sertifika-Ayarlari

Internet Options menüsünden Content bölümüne girerek Certificates butonuna basınız.

Trusted Root Certification Authorities bölümünden Import butonuna basınız.

CAServer_Cert.cer dosyasını seçiniz. Next butonuna tıklayarak aşağıdaki adımları tamamlayınız.

Microsoft CA sunucumuzun kök sertifikasını güvenilir SSL sunucu listesine ekledik.

Aynı işlemi bu sefer FortiGate_Cert.cer isimli FortiGate sertifikası için yapınız.

Sertifika hatası almadan cihaza erişelebiliyoruz. Sertifika bilgilerini kontrol edebilirsiniz.

FortiGate Cihazına Alınan SSL Sertifikaları Yüklemek

SSL-Sertifikasi-FortiGate Cihazına-Alinan -Sertifikalari-Yuklemek
SSL-Sertifikasi-FortiGate Cihazına-Alinan -Sertifikalari-Yuklemek

System > Certificates > CA Certificates menüsünden Import butonuna basınız.

CAServer_Cert.cer sunucu kök sertifikasını seçip OK butonuna basınız

İşlem sonucunda listede CA_Cert_1 isimli kök sertifikasını göreceksiniz.

System > Certificates > Local Certificates menüsünden Import butonuna basınız

FortiGate_Cert.cer sertifikasını seçerek OK butonuna basınız.
Sonuçta FortiGate için imzaladığımız sertifikayı FortiGate cihazına ekliyoruz.

İşlem sonucunda listede FortiGate_Cert isimli sertifikayı görmelisiniz. PENDING konumundaki sertifikayı yüklemiş olduk.

FortiGate cihazınızın komut satırından (CLI) resimde altı kırmızı çizili komutları çalıştırarak, web yönetim erişiminde bizim sertifikamızı kullanmasını ayarlamalısınız.

SSL Sertifikası FortiGate Cihazında Sertifika İsteğini İmzalama

SSL-Sertifikasi-FortiGate -Cihazında-Sertifika-istegini -imzalama
SSL-Sertifikasi-FortiGate -Cihazında-Sertifika-istegini -imzalama

Microsoft CA Server sunucunuzda http://localhost/certsrv/ adresine gidiniz. Gelen sayfada Request a Certificate linkini tıklayınız.

Advanced certificate request linkini tıklayınız.

Submit a certificate request by using a base-64-encoded CMC or PKCS #10 file, or submit a renewal request by using a base-64-encoded PKCS #7 file linkini tıklayınız.

FortiGate_Cert.csr dosyasından kopyaladığınız anahtar bilgisini ekrandaki gibi alana yapıştırınız. Certificate Template olarak Web Server seçiniz.

Base 64 encoded seçeneğini seçerek, Download certificate linkine tıklayınız.

FortiGate_Cert.cer ismiyle sertifika dosyasını bilgisayarınıza kaydediniz.
Sonuçta FortiGate üzerinde oluşturduğumuz sertifika isteğini, Microsoft CA Sertifika sunucumuzda imzalamış olduk.

Yine Microsoft CA sunucunuzda, web sayfasındaki Home butonuna basarak ana sayfaya geliniz. Download a CA certificate, certificate chain or CRL linkine basarak devam ediniz.

Gelen sayfada Base 64 seçeneğini seçiniz ve Download CA certificate linkine tıklayınız.

CAServer_Cert.cer ismiyle sertifika dosyasını bilgisayarınıza kaydediniz.
Sonuçta sertifika imzalayan ana sunucunun kök sertifikasını da kaydetmiş olduk.

FortiGate Cihazında Sertifika İsteği Oluşturmak

SSL-Sertifikasi-FortiGate Cihazında-Sertifika-istegi-Olusturmak
SSL-Sertifikasi-FortiGate Cihazında-Sertifika-istegi-Olusturmak

FortiGate cihazınızın web arayüzünden System > Certificates > Local Certificates menüsüne geliniz. Generate butonuna basınız.

İlgili alanları doldurunuz. Sertifikayı IP yada Hostname olarak
oluşturabilirsiniz. Biz bu örneğimizde FortiGate lokal IP adresimiz için oluşturuyoruz.

İşlem sonrasında FortiGate_Cert isimli sertifikanın durumu PENDING olarak görünmelidir.

FortiGate_Cert sertifikasını seçerek Download butonuna basıp, beklemede olan sertifikayı FortiGate_Cert.csr ismiyle bilgisayarınıza kaydediniz.

Kaydettiğiniz FortiGate_Cert.csr dosyasını bir text editörde açıp tüm anahtar bilgisini kopyalayınız.

SSL Sertifikası Kısaltmalar sözlüğü

SSL-Sertifikasi-Kisaltmalar-sozlugu
SSL-Sertifikasi-Kisaltmalar-sozlugu

BS (British Satandarts): ingiliz Standartları

CEN (Comite Europan de Normalisation): Avrupa Standartları Komitesi

CWA (Cen Workshop Agreement): CEN Çalıştay Kararı

ÇİSDUP (0CSP): Çevrim içi Sertifika Durum Protokolü

DSA (Digital Signature Algorithm): Sayısal İmza Algoritması

EAL (Evaluation Assurance Level): Değerlendirme Garanti Düzeyi

ESHS: Elektronik Sertifika Hizmet Sağlayıcısı (globessl.com.tr)

ETSI (Europan Telekomunications Standards Institute): Avrupa
Telekomünikasyon Standartları Enstitüsü

ETSI TS (ETSI Tecnical Specifiction): Avrupa Telekomünikasyon Standartları Enstitüsü Teknik ÖZellikleri

FIPS PUB (Federal Information Processing Standards Publcation): Federal Bilgi İşleme Satandartları Yayınları

IETF RFC (ınternet Engineering Task Force Request For Comments): Internet Mühendisliği Görev Grubu Yorum Talebi

ISO/IEC (International Organisation For Stndardisation / International Electrotechnical Commitee):Uluslararası Standardizasyon Teşkilatı / Uluslararası Elektroteknik Komitesi

SSL Sertifikası GlassFish Yönetim Paneli

SSL-Sertifikasi-GlassFish-3.x-GlassFish-Yonetim-Paneli
SSL-Sertifikasi-GlassFish-3.x-GlassFish-Yonetim-Paneli

http://localhost:4848 GlassFish Yönetim Paneli üzerinden aşağıdaki değişiklikler yapılmalıdır.

Configurations » server-config » Network Config » Network Listener » http-listener » SSL

 Certificate NickName: Kullanılmak üzere yüklenen ssl sertifikası’na verilen alias yazılmalıdır.

 Key Store: Oluşturulan keystore adı yazılmalıdır.

Değişiklikler kaydedildikten “Save” sonra http://localhost:8181 adresinden yeni SSL Sertifikası ile giriş sağlayabilirsiniz.