OpenSSL Kurulumu
1.) http://www.openssl.org/source/ adresine gidin ve en son OpenSSL yazılımının unix versiyonu olan sürümünü (kodlarını) indirin. Mesela ben indirirken dosyanın adı openssl-0.9.8.tar.gz idi. Siz yüklerken daha güncel bir sürüm çıkarsa onu yükleyebilirsiniz.
2.) Komut satırını açınç ve su komudunu ve şifreniz ile yönetici haklarını alın.
3.) Şimdi indirdiğimiz dosyayı /usr/local/src klasörüne taşıyacağız.
mv openssl-0.9.8.tar.gz /usr/local/src
Ardından taşıdığımız dosyanın içine girelim
cd /usr/local/src
4.) İndirdiğimiz dosyayı açalım
gzip -d openssl-0.9.8.tar.gz
tar xvf openssl-0.9.8.tar
5.) Ardından açtığımız dosyayı kurmaya geldi. İlk önce açtığımız klasörün içine girelim. Ve config komutu ile kurmaya başlayalım versiyon için komut kodları:
cd openssl-0.9.8
./config
make
make test
6.) Çalışan dosyaları oluşturmak için:
make install
Bu bizim SSL klasörümüzü /usr/local/ssl klasörüne kuracaktır.
OpenSSL nedir?
Bilindiği gibi SSL sertifikaları kocaman kocaman firmalar tarafından oldukça yüklü rakamlara (şu günlerde 30 usd civarına da bulabilirsiniz) üretiliyor. Kocaman firmaların dışında bu sertifikaları üretmek mümkün, bunun için kendiniz sertifika sunucusu kurabilir ve işletebilirsiniz. OpenSSL organizasyonu burada devreye giriyor, ve bir kaç küçük program ile kendi sertifikalarınızı üretmenize olan veriyor.
Neden o zaman GlobalSign , VeriSign gibi kurumlara 100 lerce dolar ödeniyor?
Bunun başlıca sebeplerinden birisi güvenlik, diğeri ise üst taraflarda dönen anlaşmalar. Browserlar belirli kurumlar dışındaki (akredite kurumlar) üretilen sertifikaları güvenli bulmayıp kullanıcıya hata mesajı vereceklerdir.
SSL'i örneklendirirsek biraz daha rahat anlaşılabilir. Bir işiniz var halletirmek istiyorsunuz ve halledeceğiniz yere gittiğinizde karşınıza çıkan görevliye, ben filan patronun selamıyla ve imzasıyla geliyorum diyorsunuz. Eğer karşıdaki adam patronu biliyorsa imzaya bakıp tamam bu güvenilir bir adam ve selamda geçerlidir diyecek ve sizde böylelikle rahatlıkla işinizi yaptıabileceksiniz.
Aynı şekilde, siz bir eticaret sitesi yapıp kullanıcıya güvenli hat gerektiren ödeme gibi bir hizmet vermek istiyorsunuz. SSL sertifikanızı GlobalSign, VeriSign gibi firmalardan aldığınızda, başkası bu sertifikayı taklit edemeyeceği için sisteminizi kullanan müşteri sertifika detaylarında hem siteniz kime aitmiş hemde yukarıda kimin tarafından akredite edilmiş bilgisine ulaşacak, hımm bu patron'un (Verisign) bilgisi ve imzası ile geldiyse bu güvenilir biridir diyecektir.
Kendi kendizine sertifika ürettiğinizde sorun burada başlıyor. Eğer OpenSSL gibi bir sistem ile ürettiyseniz sertifikanızı karşıdaki adama gösterdiğiniz imza kendi imzanız olacaktır. Yani adama diyorsunuzki, ben kendi selamım ve imzam ile geldim, patron benim. Adam inanırsa artık :)
Bu yüzden son kullanıcıya hizmet verecekseniz mutlak surette üst güvenlik kurumlarından imza (sertifika almalısınız). Eğer kendi kurum içinizde uygulama yapacaksanız sertifikayı kendiniz üretip kara geçebilirsiniz. Mesela kendiniz bir mesajlaşma sunucusu ve programı yazdığınızda, sunucuda programda aynı yapıda sertifikalar kullanıp ucuz ve güvenilir mesajlasma yapabilirsiniz.
Nasıl kullanılır?
Sertunc beyin anlattığı şekli herhangi bir *nix sürümü için olmuş, benzer şekilde Windows için de kurulabilir. Sadece belirli bir klasore açmanız yetebilir. Bundan sonrasında komut satırından 2-3 parametre ile ana ve alt sertifikalarınızı üretebilirsiniz.
orda burdan copy / paste yapıyorsunuzda kaynak yazmak bu kadar mı zor geliyor?
Local server üzerinde çalışmak üzere sertifika üretme yöntemlerini araştırıyordum. Anladığım kadarıyla sertifika üretebilmek için bir adet linux makinaya ihtiyacımız varmış. Tembel insan olduğumdan sebep azimli aramalar sonucunda şöyle bir site buldum :
http://www.cacert.org
OpenSSL ile windows üzerinde de rahatlıkla sertifika üretebilirsiniz. Adamlar o yüzden Windows download koymuşlar.