SSL Sertifikası Key Match Doğrulama Komutu

SSL sertifikaları, web sitelerinin güvenliğini sağlamak için kritik bir unsurdur. Bu sertifikalar, sunucularınızın kimliğini doğrular ve veri aktarımını şifreler. Ancak, sertifika ile özel anahtarın (private key) tam uyumlu olması şarttır. Uyumsuzluk durumunda bağlantı hataları oluşabilir, güvenlik açıkları ortaya çıkabilir. Key match doğrulama işlemi, sertifikanın public key kısmının private key ile eşleşip eşleşmediğini kontrol eder. Bu makalede, OpenSSL aracını kullanarak bu doğrulamayı adım adım anlatacağız. Kurumsal ortamlarınızda sertifika yenileme veya sorun giderme süreçlerinde bu komutlar vazgeçilmezdir.

SSL Sertifikası ve Private Key Uyumluluğunun Önemi

SSL/TLS sertifikaları, iki ana bileşenden oluşur: sertifika dosyası (genellikle .crt veya .pem uzantılı) ve buna karşılık gelen private key dosyası (.key uzantılı). Sertifika, yetkili bir otorite tarafından imzalanır ve public key içerir. Private key ise sunucuda saklanır ve şifreleme için kullanılır. Bu ikilinin modulus değerleri aynı olmalıdır; aksi takdirde sertifika reddedilir. Örneğin, yanlış key yüklenirse tarayıcı “ERR_SSL_PROTOCOL_ERROR” hatası verir. Bu uyumluluğu manuel olarak doğrulamak, üretim ortamlarında downtime’ı önler ve PCI DSS gibi uyumluluk standartlarını karşılar.

Doğrulama işlemi, kriptografik hash’ler üzerinden yapılır. OpenSSL gibi araçlar, sertifika ve key’in matematiksel imzalarını karşılaştırır. Bu yöntem, dosyaların fiziksel bütünlüğünü de teyit eder. Kurumsal ağ yöneticileri için düzenli bir bakım rutini haline getirilmesi önerilir, özellikle Let’s Encrypt gibi otomatik yenileme sistemlerinde manuel kontroller şarttır. Aşağıdaki bölümlerde pratik komutları inceleyeceğiz.

Key Match Doğrulama Komutunu Adım Adım Uygulama

Sertifika ve Key Dosyalarını Hazırlama

Öncelikle, dosyalarınızın PEM formatında olduğundan emin olun. Sertifika dosyanızı “domain.crt” ve private key’i “domain.key” olarak adlandırın. Bunları sunucunuzun /etc/ssl/ dizinine yerleştirin. Eğer dosyalar DER formatındaysa, şu komutla dönüştürün: openssl x509 -inform der -in domain.der -out domain.crt. Key için: openssl rsa -inform der -in domain.der -out domain.key. Dosya izinlerini ayarlayın: chmod 600 domain.key (sadece root erişimi). Bu hazırlık, komutların hatasız çalışmasını sağlar ve güvenlik risklerini minimize eder. PEM formatı, Base64 kodlu metin tabanlıdır ve —–BEGIN CERTIFICATE—– ile başlar.

Modulus Değerlerini Çıkarma Komutları

Doğrulama için modulus hash’lerini hesaplayın. Sertifika için terminalde şu komutu çalıştırın: openssl x509 -noout -modulus -in domain.crt | openssl md5. Bu, public key modulus’unu MD5 hash’ine dönüştürür ve çıktı şu şekildedir: (stdin)= 8f4b3c2d1e5f6789abcdef0123456789. Private key için: openssl rsa -noout -modulus -in domain.key | openssl md5. Çıktılar birebir aynı olmalıdır. RSA tipi key’ler için -rsa parametresi zorunludur; ECDSA key’lerde pubin/privin seçenekleri eklenebilir. Bu komutlar saniyeler içinde tamamlanır ve sıfır ek yük getirir.

Sonuçları Değerlendirme ve Otomasyon

Hash’ler eşleşiyorsa, uyumlu demektir; farklıysa key yenilenmelidir. Örnek çıktı karşılaştırması: Her iki komut da aynı 32 karakterlik MD5 string üretmelidir. Farklılık durumunda, sertifika sağlayıcınızdan yeni CSR oluşturun: openssl req -new -key domain.key -out domain.csr. Otomasyon için Bash script yazın: #!/bin/bash CERT=domain.crt KEY=domain.key CERT_MOD=$(openssl x509 -noout -modulus -in $CERT | openssl md5) KEY_MOD=$(openssl rsa -noout -modulus -in $KEY | openssl md5) if [ “$CERT_MOD” = “$KEY_MOD” ]; then echo “Uyumlu”; else echo “Uyumsuz”; fi. Bu script’i cron job olarak çalıştırarak günlük kontroller yapın. 150 kelime civarı bu bölümde pratik değer sağlar.

Yaygın Sorunlar ve Çözüm Önerileri

En sık karşılaşılan sorun, passphrase korumalı key’lerdir. Komutta hata alırsanız: openssl rsa -in domain.key -out temp.key (passphrase girin). Sonra temp.key ile doğrulayın. Chain sertifikalarda (intermediate CA), sadece leaf sertifikayı kullanın. Windows sunucularda OpenSSL’ü Git Bash veya WSL ile çalıştırın. MD5 yerine SHA256 tercih edin: | openssl sha256. Eğer “unable to load” hatası varsa, dosya yolunu mutlak belirtin: /full/path/to/domain.crt. Bu sorunlar genellikle format veya izin kaynaklıdır; syslog’u kontrol edin (/var/log/apache2/error.log). Test ortamında wildcard sertifikaları doğrulayarak pratik yapın.

Bu komutları kullanarak SSL altyapınızı proaktif yönetebilirsiniz. Düzenli doğrulamalar, güvenlik olaylarını önler ve operasyonel verimliliği artırır. Kurumsal ekiplerinizde bu prosedürü standartlaştırarak sertifika yönetimini optimize edin.