Modern uygulamalarda TLS sertifikası sadece güvenlik bileşeni değildir; erişilebilirliğin doğrudan parçasıdır. Süresi dolan bir sertifika, kullanıcı tarafında güven hatası, API istemcilerinde bağlantı reddi ve bazı senaryolarda tam servis kesintisi anlamına gelir. Üstelik bu hata çoğu zaman uygulama sağlıklı çalışırken ortaya çıkar.
Kısa ömürlü sertifikalar güvenliği artırır, fakat operasyon yükünü de artırır. 90 günlük sertifika döngüsünde manuel takvim, e-posta uyarısı veya dış betik yeterli değildir. Sertifika yenilenmiş olsa bile ADC'ye uygulanmadıysa, çalışan servis hâlâ eski sertifikayı sunmaya devam eder.
Kurumsal ortamlarda birden fazla CA kullanma ihtiyacı da vardır. Bir CA tarafında rate limit, hesap problemi veya doğrulama sorunu yaşandığında alternatif sağlayıcıya hızlı geçmek gerekir. Tek CA'ya bağlı mimari, sertifika operasyonunu gereksiz şekilde kırılgan hale getirir.
HA mimarilerinde problem daha kritiktir. İki cihaz ayrı ACME hesabıyla aynı domain için sertifika üretmeye çalışırsa rate limit ve tutarsızlık riski doğar. Sertifika hesabı, thumbprint ve yenileme durumu HA düğümleri arasında uyumlu tutulmalıdır.
TR7 ADC, ACME sertifika üretim ve yenileme sürecini hesap kaydı, threshold kontrolü, diff-detect, otomatik kontrol ve HA paylaşımıyla birlikte cihazın yerleşik sertifika yönetim akışına alır.
TR7, ACME sertifika yenilemeyi tek seferlik bir script değil, sertifika yaşam döngüsünün denetlenen ve tekrarlanabilir bir parçası olarak ele alır.
Sertifika için e-posta, CA seçimi, domain listesi, anahtar tipi ve EAB bilgileri aynı yapı altında tutulur. Eksik veya hatalı alanlar kayıt sırasında yakalanır. Böylece yenileme akışı rastgele komut parametrelerine değil, doğrulanmış sertifika objesine dayanır.
TR7, sertifikaları sabah ve akşam olmak üzere günde iki kez kontrol eder. Kalan gün sayısı sertifika bazlı yenileme eşiğinin altına düştüğünde yenileme akışı başlar. Operatör takvim tutmak veya dış cron yazmak zorunda kalmaz.
CA, domain listesi veya anahtar tipi değiştiğinde TR7 bunu yeni sertifika üretimi olarak ele alır. Aynı yapı korunuyorsa sadece yenileme akışı çalışır. Bu ayrım, domain ekleme veya anahtar tipi değiştirme gibi operasyonlarda yanlış renew davranışını engeller.
ACME hesap thumbprint bilgisi HA eş düğümüyle paylaşılır. Böylece iki cihaz aynı CA hesabını kullanarak tutarlı davranır. Rate limit riski azalır, aktif-pasif geçişlerde sertifika yönetimi aynı hesap zincirinde kalır.
ACME Sertifika Yenileme, CA seçimi, hesap kaydı, otomatik yenileme, HA paylaşımı ve audit görünürlüğünü tek sertifika yönetim akışında birleştirir.
TR7 ADC beş CA seçeneğini destekler: Let's Encrypt, ZeroSSL, SSL.com, Buypass ve Google Trust Services. Operatör sertifika oluştururken sağlayıcıyı profil üzerinden seçer. Bu yapı tek sağlayıcıya bağımlılığı azaltır. Kurumsal hesap, test veya farklı güven zinciri gerektiren servislerde ayrı CA tercih edilebilir.
HTTP-01 challenge modeliyle domain doğrulaması web trafiği üzerinden yapılır. 80 numaralı erişim yolu uygun olduğunda ek DNS entegrasyonu gerekmeden sertifika üretilebilir. Bu özellikle tekil domain ve standart vService senaryolarında hızlı devreye alma sağlar. Wildcard otomasyonu iddia edilmez; bu akış tekil domain doğrulamaya odaklanır.
EAB gerektiren CA hesapları için kimlik ve HMAC bilgileri sertifika profilinde tutulur. Operatör bu bilgileri arayüzden girer; TR7 doğrulama komutlarını otomatik üretir. Bu, kurumsal CA hesabı kullanılan yapılarda manuel komut hatalarını azaltır. Özellikle hesap bazlı ACME sağlayıcılarında kurulum süreci sadeleşir.
Bir sertifika birden fazla domain içerebilir. Domain listesi sertifika objesinde dizi olarak saklanır ve doğrulama akışında her domain ayrı parametreyle işlenir. Domain eklendiğinde TR7 bunu konfigürasyon değişimi olarak algılar. Böylece mevcut sertifikayı yanlış yenilemek yerine yeni domain setiyle yeniden üretim akışı çalışır.
Her sertifika için yenileme eşiği gün cinsinden belirlenebilir. Kritik servislerde 60 gün gibi daha erken yenileme politikası uygulanabilir; standart servislerde daha kısa pencere seçilebilir. TR7 kalan gün sayısını bu eşikle karşılaştırır. Eşik aşıldığında otomatik yenileme başlar.
TR7 sertifika yenileme kontrolünü günde iki kez çalıştırır: 07:00 ve 22:00. Bu akış yalnız yenileme zamanı gelen sertifikaları işler. Operatörün dış cron, shell script veya manuel kontrol listesi tutmasına gerek kalmaz. Sertifika yenileme, cihazın düzenli bakım döngüsüne dönüşür.
Sertifika profili kullanılmaya başladığında ilgili CA hesabı yoksa TR7 hesap kaydını otomatik başlatır. Hesap thumbprint bilgisi çıkarılır ve kalıcı olarak saklanır. Böylece aynı hesap sonraki sertifika işlemlerinde tekrar kullanılır. Operatör ayrı bir hesap kayıt süreci yönetmek zorunda kalmaz.
TR7, CA seçimi, anahtar tipi ve domain listesinden bir konfigürasyon izi üretir. Bu iz önceki değerle aynıysa yenileme akışı çalışır; farklıysa yeni sertifika üretimi yapılır. Bu davranış domain listesi veya anahtar tipi değişikliklerinde doğru aksiyonu seçer. Sertifika yönetimi tahmine değil, değişiklik algısına dayanır.
HA ortamında iki düğüm aynı CA hesabı bilgisini paylaşır. Bu, aktif ve pasif cihazın aynı domain için bağımsız hesaplarla tekrar tekrar işlem yapmasını engeller. Rate limit ve hesap karmaşası riski düşer. Failover sonrası sertifika yönetimi aynı hesap zinciriyle devam eder.
Varsayılan anahtar tipi ec-256'dır. Operatör ihtiyaca göre ec-384 veya RSA tabanlı anahtar uzunluklarını seçebilir. Böylece modern istemciler için hızlı el sıkışma, eski uyumluluk gerektiren istemciler için RSA seçeneği korunur. Anahtar tipi değişikliği yeni issue akışı olarak değerlendirilir.
Sertifika üretim veya yenileme sürecinde işlem çıktısı satır satır arayüze aktarılır. Doğrulama hatası, rate limit, domain erişim problemi veya EAB sorunu operatör tarafından görülebilir. Bu, sertifika yenileme sürecini kara kutu olmaktan çıkarır. Sorun giderme süresi kısalır.
Account register, issue, renew, success ve error olayları kullanıcı loguna ve audit akışına yazılır. Hangi sertifika için hangi işlem ne zaman çalıştı görülebilir. SIEM entegrasyonuyla sertifika yenileme olayları merkezi izleme sistemine taşınır. Compliance ekipleri için sertifika yaşam döngüsü kanıtlanabilir hale gelir.
ACME yenileme akışı sadece sertifikayı almakla bitmez; hesap saklama, işlem izolasyonu, timeout, HA paylaşımı ve hata yönetimiyle birlikte çalışır.
Her CA ve e-posta kombinasyonu ayrı hesap alanında tutulur. Bu ayrım farklı sağlayıcıların hesap bilgisinin karışmasını engeller. Aynı cihazda birden fazla CA hesabı güvenli şekilde yönetilebilir.
Sertifika üretim ve yenileme işlemleri için üst süre sınırı uygulanır. Uzayan veya takılan işlemler sonsuza kadar açık kalmaz. Timeout, kullanıcı tarafından durdurma ve işlem kapanışı ayrı durumlar olarak ele alınır.
Multi-tenant ve ayrılmış route table kullanan yapılarda ACME işlemi doğru ağ alanı üzerinden çalıştırılabilir. Böylece challenge trafiği ilgili tenant veya zone'un çıkış yolundan gider. Bu, çoklu ağ mimarisinde sertifika doğrulama hatalarını azaltır.
Sertifika üretimi tamamlandığında sertifika, full chain ve private key dosyalarının konumu işlem çıktısından yakalanır. TR7 bu dosyaları okuyarak kendi sertifika deposuna aktarır. Böylece yenilenen sertifika ADC tarafından kullanılabilir hale gelir.
ACME hesap thumbprint bilgisi kalıcı alanda saklanır. Cihaz yeniden başlasa bile hesap zinciri kaybolmaz. HA paylaşımı da bu kalıcı bilgi üzerinden devam eder.
Sertifika yenileme başarısız olursa hata olayı loglanır ve merkezi izleme akışına taşınabilir. Sertifika bitişine yaklaşma durumu ayrıca notification sistemiyle ilişkilendirilebilir. Bu sayede sertifika expire olmadan operasyon ekibi uyarılır.
Public web ve ödeme vService'leri için tekil domain sertifikaları HTTP-01 ile alınır. TR7 günde iki kez yenileme eşiğini kontrol eder ve süre yaklaşınca sertifikayı yeniler.
Her tenant kendi subdomain'iyle gelir. TR7, domain listesini sertifika objesinde tutar ve SNI üzerinden ilgili vService'e bağlar. Sertifikalar arka planda yenilenir.
Kurumsal CA sağlayıcısı EAB bilgisi ister. Operatör kimlik ve HMAC bilgisini sertifika profilinde tanımlar; TR7 hesap kayıt ve sertifika üretim akışını otomatik yürütür.
Aktif-pasif TR7 çiftinde iki cihaz aynı CA hesabı thumbprint bilgisini paylaşır. Sertifika işlemleri tutarlı kalır ve gereksiz tekrar doğrulama riski azalır.
Sertifika issue ve renew olayları audit log'a düşer. Denetim sırasında hangi sertifikanın ne zaman yenilendiği ve hangi kullanıcı ya da sistem olayıyla işlendiği gösterilebilir.
Tenant'ın doğrulama trafiği kendi ağ alanından çıkmak zorundaysa ACME işlemi bu bağlamda yürütülür. Böylece multi-tenant route ayrımı bozulmadan sertifika yenileme yapılır.
5 CA, EAB, HA thumbprint paylaşımı ve günde iki otomatik kontrol — tek sertifika yönetim akışında. Kendi ortamınızla canlı bir kurulumda gezdirelim.