Şirket içerisinde kullandığınız bazı web sitesi veya portal platformlarına erişimin güvenli olması için SSL sertifikası kullanmak isteyebilirsiniz. Eğer URL adresi com, net, org ve benzeri public isimler ise ve bütçeniz var ise en doğru çözüm global bir sertifika üreticisinden sertifika almaktır. Ancak bazen kurduğunuz veya kulladığınız platformlar local veya sizin iç domain isminize göre kurulmuş veya lisanslanmış olabilir. Böyle bir durumda zaten global bir üreticiden sertifika alma şansınız yok.
Peki nedir çözüm? Internal bir CA kurmak veya var olan CA’ den sertifika almaktır. Genelde IIS üzerinden talep edilen ve sonra yüklenen bu sertifikaları kullanırken aşağıdaki gibi bir durum ile karşılaşabilirsiniz;
Ancak aynı web sitesini IE, EDGE veya Firefox ile ziyaret ettiğinizde ise herhangi bir hata almadığınızı fark edersiniz.
Bunun temel sebebi aşağıdaki linkte güzelce açıklanmaktadır;
https://support.google.com/chrome/a/answer/7391219?hl=en
Yani özetlemek gerekir ise, web tarayıcıları güvenli bir bağlantı kurmak için kullanılan sertifikanın 3 temel özelliğini kontrol eder.
1 – Tarih
Geçerli bir sertifika ise sorun yoktur.
2 – Sertifika Dağıtıcısı
Sertifikayı veren kişi kimdir? Bilgisayar bu dağıtıcıya güveniyor mu? Örneğin global üreticiler zaten işletim sistemlerinin sertifika depolarında tanımlı olduğu için her türlü güvenilir
3 – URL Adresi
İşte sorun tam burada başlıyor. Sertifika üzerinde pek çok bilgi vardır. commonName aslın bu amaç için kullanılır. Örnek www.cozumpark.com yazıyor ise sertifika bu URL için üretilmiş demektir. Ancak bazen bir sertifikada bir den çok isim olmalı ki bu durumda da sertifikada aşağıdaki gibi bir den çok isim görebilirsiniz;
Bu alanın ismi ise subjectAlternativeName. Şimdi diğer tarayıcıların kızmayıp chrome’ un kızmasının nedeni 58 ve üstü sürümde artık URL kontrolünü commonname alanından değil subjectAlternativeName alanından yapması. Sizde eğer sertifikayı IIS konsolu üzerinden almış iseniz bu alanın olmadığını fark edeceksiniz.
Çözüm için kayıt defteri değişikliği yapabilirsiniz ama bence bu doğru olmaz. Tüm chrome kullanıcılarında bunu yaygınlaştırmak ayrı bir iş sonuçta. Çözüm ise subjectAlternativeName içeren yeni bir sertifika talebinde bulunmanız.
Peki bunu nasıl yapacağız?
Öncelikle aşağıdaki adımları izleyerek yeni bir sertifika isteği oluşturuyoruz;
Start – Run – MMC – File – Add/Remove Snap In – Select Certificates – Click Add – Select My Computer
Sonra
Personal – All Tasks – Advanced Operations – Create Custom request
Karşılama ekranını next diyerek geçiyoruz.
Karşımıza çıkan ikinci ekranda “Proceed without enrollment policy” seçerek ilerliyoruz.
Bir sonraki ekranda da “(No template) CNG Key ve PKCS #10 seçili olacak şekilde ilerliyoruz.
Bir sonraki ekranda sağ üst köşedeki “Details” linkine tıklayıp açılan bölümden “Properties” butonuna tıklıyoruz
Burada isterseniz Private Key ayarlarını yapabilirsiniz. Ben genelde aşağıdaki gibi anahtar değerini değiştiriyorum, bir de private key için export özelliğine izin veriyorum;
Extension sekmesine geçiyorum, alt bölümde “Extended Key Usage (application policies) kısmından “Server Authentication” özelliğini seçiyorum ve sağ bölüme atıyorum.
Daha sonra Subject sekmesine geliyor ve “Subject name” bölümünde “Common name” için URL adresini giriyoruz. Ardından sırasıyla normal bir sertifika üretirken bize sorulan soruların yanıtlarını Type altındaki açılan menüden seçerek sağ bölüme ekliyoruz.
Aşağıdaki görsel bu soruları hatırlamanıza yardımcı olacaktır;
Not: Eğer kullanacağınız sertifika şablonu telefon numarası, email adresi gibi öz nitelikler istiyor ise bunlarıda tanımlamanız gereklidir.
Daha sonra Alternative name bölümünde ise “DNS” ismi olarak yine URL adresini giriyouz ve bu bölümü tamamlamış oluyoruz. Ben iki URL girdim SAN olması için ama sizin bu sorunda olduğu gibi chrome ile ilgili bir sorununuz olduğu için SAN üretiyorsanız tek bir isim girmeniz yeterli.
Buraya anlamlı bir açıklama giriyoruz. URL adresini girmeye gerek yoktur. Bu bölüm IIS veya MMC konsollerında sertifikamızı ayırt etmemizi sağlayacak bir isim bölümüdür.
Ok düğmesine basıp next dediğimiz zaman karşımıza aşağıdaki gibi yeni bir ekran çıkacaktır.
Oluşan dosyayı not defteri ile açıp artık CA web ara yüzünden sertifika isteği oluşturabilir ve bunu IIS’ e yükleyebilirsiniz.