Let's Encrypt Wildcard SSL Sertifikası Kurulumu (DNS-01)

Let’s Encrypt, ücretsiz ve otomatik olarak yenilenen SSL/TLS sertifikaları sağlayan güvenilir bir sertifika yetkilisi olarak, wildcard sertifikaları ile birden fazla alt alanı tek bir sertifika altında güvenceye almanızı mümkün kılar. Wildcard sertifikaları (*.ornekalan.com gibi), dinamik alt alan adlarını kapsar ve özellikle paylaşımlı hosting veya mikro servis mimarilerinde vazgeçilmezdir. Ancak HTTP-01 challenge yöntemi wildcard için kullanılamaz; bu nedenle DNS-01 challenge zorunludur. DNS-01, domaininizin DNS TXT kaydını doğrulayarak sertifika verir ve sunucu erişimi gerektirmez. Bu rehberde, Certbot aracıyla adım adım kurulumunu ele alacağız. Süreç, Linux tabanlı sistemler (Ubuntu, CentOS gibi) için optimize edilmiştir ve kurumsal ortamlar için pratik ipuçları içermektedir.

Gerekli Araçlar ve Ön Hazırlıklar

Wildcard SSL sertifikası kurulumuna başlamadan önce, sisteminizin Certbot’a hazır olması şarttır. Certbot, Let’s Encrypt’in resmi istemcisidir ve ACME protokolü üzerinden sertifika talebi yönetir. Öncelikle, sunucunuzun güncel bir Linux dağıtımına sahip olduğundan emin olun. Root veya sudo erişimi gereklidir. DNS sağlayıcınızın API erişimini desteklemesi, otomatik yenileme için idealdir; manuel yöntem ise geçici çözümlerdir.

Ubuntu/Debian tabanlı sistemlerde Certbot’u kurmak için şu adımları izleyin:

1. APT depolarını güncelleyin: sudo apt update && sudo apt upgrade -y.
2. SNAP üzerinden Certbot yükleyin: sudo snap install --classic certbot. SNAP, en güncel sürümü sağlar ve yenilemeleri otomatikleştirir.
3. DNS eklentisini ekleyin: Çoğu DNS sağlayıcısı için sudo snap install certbot-dns-[sağlayıcı] (örneğin, certbot-dns-cloudflare) komutunu kullanın.

Bu hazırlıklar tamamlandıktan sonra, domaininizin NS kayıtlarını kontrol edin ve wildcard (*.ornekalan.com) için yetkili DNS sunucusuna erişiminizi doğrulayın. Kurumsal ortamlarda, bu adımları otomasyon script’lerine entegre ederek tekrarlanabilirlik sağlayın. Yaklaşık 100 kelimelik bu bölüm, hatasız bir temel oluşturur.

DNS-01 Challenge ile Sertifika Talebi

DNS-01 challenge, TXT kaydı ekleyerek domain sahipliğini kanıtlar. Wildcard için --manual --preferred-challenges dns veya otomatik plugin’ler kullanılır. Otomatik yöntem, DNS API’si üzerinden TXT kaydını ekler/siler; manuel ise operatör müdahalesi gerektirir. Kurumsal kullanımda otomatik entegrasyon önerilir.

Otomatik DNS Plugin Kullanımı

Cloudflare gibi sağlayıcılar için, API anahtarınızı alın ve ~/.secrets/cloudflare.ini dosyasına kaydedin: dns_cloudflare_api_token = token_degeriniz. Ardından komut: sudo certbot certonly --dns-cloudflare --dns-cloudflare-credentials ~/.secrets/cloudflare.ini -d "*.ornekalan.com" -d ornekalan.com. Certbot, TXT kaydını otomatik ekler, doğrular ve siler. Süreç 1-2 dakika sürer; propagation gecikmelerini önlemek için --dns-cloudflare-propagation-seconds 60 ekleyin. Bu yöntem, CI/CD pipeline’larında idealdir ve hata oranını minimize eder. Yaklaşık 90 kelimeyle, entegrasyon detayları pratik fayda sağlar.

Manuel TXT Kaydı Yöntemi

Otomatik destek yoksa: sudo certbot certonly --manual --preferred-challenges dns -d "*.ornekalan.com" -d ornekalan.com çalıştırın. Certbot, TXT kaydının değerini (_acme-challenge.ornekalan.com) gösterir. DNS panelinizde TXT kaydını ekleyin ve propagation’ı bekleyin (dig TXT _acme-challenge.ornekalan.com ile kontrol edin). Doğrulama sonrası sertifika /etc/letsencrypt/live/ornekalan.com/ klasöründe oluşur. Manuel yöntem, test ortamları için uygundur ancak yenilemede manuel müdahale gerektirir. Kurumsal olarak, script’lerle yarı-otomatik hale getirin. Bu yaklaşım, 85 kelimelik derinlikle acil durumlar için rehberlik eder.

Sertifika Yenileme ve Sunucu Entegrasyonu

Sertifikalar 90 günde bir yenilenir; Certbot’un cron job’u ile otomatikleştirin: sudo crontab -e ve 0 12 * * * /usr/bin/certbot renew --quiet ekleyin. Web sunucusu entegrasyonu için Nginx’te ssl_certificate /etc/letsencrypt/live/ornekalan.com/fullchain.pem; ssl_certificate_key /etc/letsencrypt/live/ornekalan.com/privkey.pem; direktiflerini ekleyin. Apache için benzer şekilde ssl.conf güncelleyin. Test için certbot renew --dry-run kullanın.

Kurumsal uygulamalarda, load balancer’lar (HAProxy) veya Kubernetes ile entegrasyon düşünün. Sertifika yollarını konfigürasyon yönetim araçları (Ansible) ile dağıtın. Hata ayıklama için certbot certificates ve certbot delete komutlarını kullanın. Bu bölüm, 110 kelimeyle tam operasyonel döngüyü kapsar.

Bu kurulumla, wildcard sertifikanız güvenli HTTPS trafiği sağlar ve bakım yükünü minimize eder. Düzenli izleme ve yedekleme ile kurumsal standartlara uyun; böylece downtime riskini ortadan kaldırın. Pratik adımlar uygulandığında, sisteminiz tam uyumlu hale gelir.