bg-tutorials

OPNsense Güvenlik Duvarına ACME SSL Sertifikası Nasıl Kurulur

OPNsense güvenlik duvarınızda SSL/TLS yönetiyorsanız, yerleşik ACME istemci eklentisini kullanmak, Sectigo gibi güvenilir CA’lardan sertifika vermenin ve yenilemenin güvenli ve otomatik bir yoludur. Bu kılavuzda, resmi eklentiyi kullanarak OPNsense’e bir ACME sertifikası yüklemeyi, ACME hesabınızı EAB kimlik bilgileriyle yapılandırmayı, etki alanı sahipliğini doğrulamayı ve sertifikaları otomatik olarak dağıtmayı öğreneceksiniz.

Bu yöntem OPNsense’i ağ geçidi, ters proxy olarak veya NAT arkasındaki hizmetleri güvence altına almak için kullananlar için idealdir. Her bir adımı inceleyelim.


İhtiyacınız Olanlar

Başlamadan önce, sahip olduğunuzdan emin olun:

  • OPNsense web arayüzüne yönetici erişimi
  • OPNsense örneğinize işaret eden geçerli bir alan adı
  • Port 80 açık (HTTP-01 doğrulaması için)
  • Sertifika sağlayıcınızdan ACME kimlik bilgileri:
    • ACME Dizin URL’si (örn. https://acme.sectigo.com/v2/DV)
    • EAB Anahtar Tanımlayıcısı (KID) ve HMAC Anahtarı

Adım 1 – ACME Eklentisini Kurun ve Etkinleştirin

  1. OPNsense web arayüzünde oturum açın.
  2. System > Firmware > Plugins bölümüne gidin.
  3. os-acme-client adlı eklentiyi bulun.
  4. Yüklemek için yanındaki + düğmesine tıklayın.
  5. Kurulumdan sonra arayüzü yenileyin (F5’e basın).
  6. Hizmetler > ACME İstemcisi > Ayarları bölümüne gidin ve Eklentiyi Etkinleştir seçeneğini işaretleyin. Kaydet’e tıklayın.

Bu, ACME istemci arka ucunu etkinleştirir ve yapılandırma seçeneklerinin kilidini açar.


Adım 2 – Bir ACME Hesabı Ekleyin

OPNsense’i sertifika yetkilinize bağlamak için Harici Hesap Bağlama (EAB) ile bir ACME hesabı oluşturmanız gerekir.

  1. Hizmetler > ACME İstemcisi > Hesaplar bölümüne gidin. Ekle’ye tıklayın.
  2. Formu doldurun:
  • Hesap Adı: Açıklayıcı herhangi bir ad seçin.
  • E-posta Adresi: Son kullanma tarihi bildirimleri veya hatalar için.
  • ACME CA: Özel CA URL’sini seçin.
  • Özel CA URL’si: CA’nızın ACME dizin URL’sini yapıştırın (örneğin, https://acme.sectigo.com/v2/DV)
  • Anahtar Tanımlayıcı: EAB KID’nizi girin.
  • HMAC Anahtarı: EAB HMAC Anahtarınızı girin.
  1. Kaydet‘e tıklayın, ardından ACME hesabını oluşturmak için Kaydol ‘a tıklayın.

KID ve HMAC’in boşluk bırakılmadan tam olarak kopyalandığından emin olun.


Adım 3 – Bir Doğrulama Yöntemi (Zorluk Türü) Ayarlayın

Etki alanı sahipliğini kanıtlamak için ACME meydan okuma türlerini kullanır. OPNsense için en yaygın olanı HTTP-01‘dir.

  1. Hizmetler > ACME İstemcisi > Meydan Okuma Türleri bölümüne gidin. Ekle’ye tıklayın.
  2. Doğrulama yöntemi olarak HTTP-01’i seçin. Bu, 80 numaralı bağlantı noktasının genel internetten erişilebilir olmasını gerektirir.
  3. Değişiklikleri kaydedin ve uygulayın.

Güvenlik duvarınız 80 numaralı bağlantı noktasını engelliyorsa veya DNS tabanlı barındırma kullanıyorsanız, alternatif bir doğrulama yöntemi düşünün (tüm sürümlerde yerel olarak desteklenmez).


Adım 4 – Sertifikayı Oluşturun ve Yayınlayın

Artık hesabınız ve doğrulama yönteminiz hazır:

  1. Hizmetler > ACME İstemcisi > Sertifikalar bölümüne gidin. Ekle’ye tıklayın.
  2. Sertifika ayarlarını doldurun:
    • Alan Adı: Tam alan adınızı girin (örn. vpn.example.com)
    • ACME Hesabı: Adım 2’de oluşturulan hesabı seçin.
    • Doğrulama Yöntemi: Adım 3’te belirlediğiniz HTTP-01 zorluğunu seçin.
    • Kaydet ve uygula.

ACME istemcisi şimdi etki alanınızı doğrulamaya ve sertifikayı vermeye çalışacaktır.

Tamamlandığında, sertifika kaydedilecek ve Web GUI, HAProxy, OpenVPN ve diğer eklentiler dahil olmak üzere sistem kullanımı için hazır olacaktır.


Adım 5 – Yenilemeyi Otomatikleştirin ve Sertifikaları Uygulayın

Kurulumdan sonra, sertifikalar sona ermeden önce otomatik olarak yenilenir.

Verilen sertifikayı OPNsense hizmetlerine Sistem > Ayarlar > Yönetim veya bireysel eklenti ayarları aracılığıyla atayabilirsiniz.

Ayrıca Hizmetler > ACME İstemcisi > Sertifikalar altında girişinizi seçip Yayınla/Yenile‘ye tıklayarak yenilemeyi manuel olarak tetikleyebilirsiniz.


Sık Sorulan Sorular

Çalışan bir kurulumda bile, OPNsense’te ACME sertifikalarını yönetmek, özellikle sorun giderme, sertifikaları hizmetlere uygulama veya yenileme sorunlarıyla başa çıkma konularında bazı pratik endişelere yol açabilir. İşte kullanıcıların ilk yapılandırmadan sonra sıklıkla karşılaştıkları gerçek sorunların yanıtları:

Sertifikayı OpenVPN veya Web UI gibi hizmetlere nasıl atayabilirim?

Sertifika yayınlandıktan sonra, System > Trust > Certificates adresine gidin, yayınlanan sertifikanızı bulun ve düzenle simgesine tıklayın. En altta, sertifikayı Web GUI, OpenVPN, IPsec veya diğer hizmetlere atayabileceğiniz bir “Tarafından kullanılan” bölümü göreceksiniz.

Yeni sertifikayı kullanmak için bu hizmetleri yeniden başlatmayı unutmayın.

Sertifikam düzenlendi, ancak aktif olarak gösterilmiyor – sorun nedir?

Güven > Sertifikalar panelinde seçili olduğundan ve güvenliğini sağlamaya çalıştığınız hizmete aktif olarak bağlı olduğundan emin olun. Sertifikanın verilmesi tek başına sertifikayı otomatik olarak bağlamaz; GUI veya VPN gibi hizmetlere manuel olarak atamanız gerekir.

Ayrıca, sertifikanızdaki alan adının hizmette yapılandırılmış olanla eşleşip eşleşmediğini kontrol edin (özellikle Web UI erişimi için).

HTTP-01 neden desteklenen tek yöntemdir?

OPNsense ACME istemcisi şu anda kutudan çıkar çıkmaz HTTP-01 doğrulamasını desteklemektedir. DNS-01 veya diğer gelişmiş seçenekler üçüncü taraf komut dosyaları veya harici otomasyon gerektirebilir ve yerel olarak desteklenmez.


Son Sözler

Artık yerleşik eklentiyi ve ticari bir CA’dan EAB kimlik bilgilerini kullanarak OPNsense’e nasıl ACME sertifikası yükleyeceğinizi öğrendiniz. Otomatik yenileme ve güvenlik duvarı hizmetleriyle basit entegrasyon sayesinde bu yöntem, sisteminizi minimum manuel çabayla güvende tutar.

Bugün SSL Dragon’dan sipariş vererek SSL Sertifikalarında %10 indirimden yararlanın!

Hızlı düzenleme, güçlü şifreleme, %99,99 tarayıcı güvenilirliği, özel destek ve 25 günlük para iade garantisi. Kupon kodu: SAVE10

A detailed image of a dragon in flight
Tarafından yazıldı

SSL Sertifikaları konusunda uzmanlaşmış deneyimli içerik yazarı. Karmaşık siber güvenlik konularını açık, ilgi çekici içeriğe dönüştürmek. Etkili anlatımlar yoluyla dijital güvenliğin geliştirilmesine katkıda bulunun.