FreeIPA SSL Sertifikası Yenileme

Bu dokümanda, FreeIPA sunucunuzda SSL sertifikasını yenilemek için adım adım yapmanız gereken işlemleri anlatacağız. Mevcut sertifikayı yenileyerek güvenli iletişim sağlanmasını devam ettirebilirsiniz. Belirtilen komutlar, hem geçerli SSL sertifikasının yenilenmesi hem de süresi dolmuş sertifikaların yenilenmesi durumunda kullanılabilir.

1. CA Sertifikası Yükleme

Öncelikle, yeni CA (Certificate Authority) sertifikasını yükleyin. Aşağıdaki komutla CA sertifikasını FreeIPA sunucunuza yükleyebilirsiniz.

ipa-cacert-manage install CA.pem

CA.pem dosyası: Yeni CA sertifikası dosyanızın yolu ve adı olacaktır. Bu dosyayı doğru konumdan yüklediğinizden emin olun.

2. HTTP Sunucusu için SSL Sertifikası Kurulumu

HTTP sunucusunun SSL sertifikasını yenilemek için aşağıdaki komutu çalıştırın. Bu komut, yeni sertifika ve özel anahtar dosyalarını sunucuya yükleyecektir.

ipa-server-certinstall --http /path/to/ssl.key /path/to/ssl.pem

Değiştirmeniz Gerekenler:

• /path/to/ssl.key: SSL özel anahtar dosyasının yolu.
• /path/to/ssl.pem: SSL sertifika dosyasının yolu.

3. HTTP Sunucusunu Yeniden Başlatma

Yeni SSL sertifikasını yükledikten sonra, Apache HTTP sunucusunu yeniden başlatmanız gerekir. Aşağıdaki komutla HTTP sunucusunu yeniden başlatın:

systemctl restart httpd.service

4. Sertifika Kurulumu (Alternatif Yöntem)

Eğer farklı bir yöntemle SSL sertifikası yüklemek isterseniz, aşağıdaki komutu kullanabilirsiniz. Bu komut, özel anahtar ve sertifikayı FreeIPA sunucusuna yükleyerek HTTP için SSL sertifikasını kuracaktır.

ipa-server-certinstall --http /tmp/privkey.pem /tmp/cert.pem

• privkey.pem: SSL özel anahtar dosyası.
• cert.pem: SSL sertifika dosyası.

Komutu çalıştırdıktan sonra sizden Directory Manager şifresini ve özel anahtar şifresini girmeniz istenecektir.

Directory Manager password: [Your Directory Manager password]
Enter private key unlock password: [Private key password]

5. FreeIPA Servislerini Yeniden Başlatma

SSL sertifikasını başarıyla yükledikten sonra FreeIPA servislerini yeniden başlatmanız gerekecektir. Aşağıdaki komutla tüm FreeIPA servislerini yeniden başlatabilirsiniz:

ipactl restart

Bu komut, FreeIPA ile ilişkili aşağıdaki servisleri yeniden başlatacaktır:

• Directory Service
• krb5kdc Service
• kadmin Service
• httpd Service
• ipa-custodia Service
• ntpd Service
• pki-tomcatd Service
• ipa-otpd Service

Komut başarılı bir şekilde çalıştığında, FreeIPA sunucunuzun tüm bileşenleri yeniden başlatılmış olacaktır.

6. SSL Sertifikası Süresi Dolmuşsa Yapılacak İşlemler

Eğer SSL sertifikanızın süresi dolduysa ve sertifikayı yenileme işlemi sırasında hata alıyorsanız, Python SSL doğrulama kontrollerini geçici olarak devre dışı bırakmanız gerekebilir. Aşağıdaki adımları izleyerek bu işlemi yapabilirsiniz:

1. /usr/lib/python3.6/site-packages/ipalib/util.py dosyasını düzenleyin.
2. Aşağıdaki satırları bulun ve değiştirin:

ctx.check_hostname = False
ctx.verify_mode = ssl.CERT_NONE

Yukarıdaki satırlar, SSL doğrulamasını devre dışı bırakır. Sertifika yenileme işlemi tamamlandıktan sonra aşağıdaki yorum satırlarını yeniden aktif hale getirin:

#ctx.verify_mode = ssl.CERT_REQUIRED
#ctx.check_hostname = True
#ctx.load_verify_locations(cafile)

Bu adımları izleyerek süresi dolmuş sertifikaları yenileyebilirsiniz.

Muhtemel Hatalar

• ipa-cacert-manage: command not found
• ipa-server-certinstall: ImportError: No module named ipalib
• Failed to authenticate to the Directory Server: Invalid credentials
• ipa-server-certinstall: Private key does not match the certificate
• SSL handshake failed
• Error: Failed to restart httpd.service
• Certificate verification failed
• Unable to establish SSL connection with the FreeIPA server
• FreeIPA services failed to start after ipactl restart
• "ssl.SSLError: [SSL: CERTIFICATE_VERIFY_FAILED]" in logs

Sonuç

Bu dokümanda, FreeIPA üzerinde SSL sertifikasını yenileme işlemlerini adım adım anlattık. Sertifikayı başarıyla yükledikten sonra, sunucuya güvenli bağlantıları sürdürebilirsiniz. Ayrıca, sertifika süresi dolduğunda yapılacak işlemleri de açıkladık.