Birçok kurum mTLS kullanmak ister; ancak sertifika üretimi, CA yönetimi, CSR hazırlama, P12 paketleme ve kullanıcıya dağıtım adımları ayrı ekiplerin, ayrı araçların ve manuel komutların arasında dağılır. Sonuçta güvenli olması gereken kimlik modeli, uygulanması zor olduğu için ertelenir veya yalnızca sınırlı sistemlerde kullanılır.
Test ve staging ortamlarında sorun daha görünürdür. Geliştirici ekibin hızlıca bir test CA üretmesi, istemci sertifikası oluşturması, P12 çıktısı alması ve bunu uygulamaya bağlaması çoğu zaman uzun komut zincirlerine bağlıdır. Bu süreç standartlaşmadığında her ekip kendi yöntemini üretir ve sertifika yönetimi dağınık hâle gelir.
İstemci sertifikası dağıtımı da ayrı bir zorluktur. Kullanıcı, cihaz, iş ortağı veya IoT birimi için sertifika oluşturmak; bunu parolayla korumak; doğru zinciri içine eklemek; parmak izini kayıt altına almak ve gerektiğinde tekrar üretmek operasyonel disiplin gerektirir. Bu disiplin araç içinde yoksa süreç hızla manuel dosya alışverişine dönüşür.
Sertifika zinciri doğrulaması, intermediate eksikliği, yanlış anahtar tipi, süresi dolmak üzere olan sertifika veya hatalı SAN alanları üretimde doğrudan kesinti yaratabilir. Sertifika yüklendiği anda CN, SAN, issuer, algoritma, anahtar uzunluğu ve geçerlilik aralığı görünür değilse hata genellikle kullanıcı etkisi başladıktan sonra fark edilir.
TR7'nin CA yönetimi yaklaşımı, mTLS için gereken sertifika üretimi, imzalama, dönüştürme, ayrıştırma ve bitiş takibini cihaz içinde yöneterek PKI operasyonunu erişilebilir ve denetlenebilir hâle getirir.
TR7, CA yönetimini sertifika üretimi, hiyerarşi, doğrulama ve format dönüşümü adımlarını kapsayan yerleşik bir PKI iş akışı olarak sunar.
TR7, CN ve opsiyonel alanlarla istemci sertifikası oluşturabilir, CSR üretebilir, CA ile imzalayabilir ve P12 çıktısı hazırlayabilir. Bu akış, mTLS için gerekli sertifika üretimini ayrı komut zincirlerine bağımlı bırakmaz.
Yerleşik CA sertifikası ve anahtarı, istemci sertifikalarının imzalanmasında kullanılabilir. P12 çıktısına zincir dosyası eklenerek istemci tarafında eksik chain problemleri azaltılır.
Sertifika yüklendiğinde CN, SAN, issuer, algoritma, anahtar uzunluğu ve geçerlilik tarihleri ayrıştırılır. Çift parser yaklaşımı, farklı sertifika formatlarında daha dayanıklı metadata çıkarımı sağlar.
TR7, PFX içinden key ve certificate ayrıştırabilir veya PEM içeriklerinden PFX/P12 paketi oluşturabilir. Passphrase ekleme/çıkarma ve RSA/ECDSA anahtar tipi işlemleri sertifika yaşam döngüsünü tamamlar.
TR7 CA Yönetimi, mTLS ve sertifika operasyonlarında üretimden dağıtıma kadar gereken temel işlemleri ADC içinde toplar.
createClientCertificate akışı CN, passkey, geçerlilik günü, e-posta ve organizasyon bilgileriyle istemci sertifikası oluşturabilir. Süreçte anahtar üretilir, CSR hazırlanır, CA ile imzalanır ve P12 çıktısı alınır. Çıktıda P12 binary, SHA1 fingerprint, CN ve oluşturulma bilgisi yer alabilir. Bu yapı, yeni kullanıcı, cihaz veya iş ortağı için mTLS sertifikası üretmeyi sadeleştirir.
TR7, subject alanlarını parametrize ederek CSR oluşturabilir. Organizasyon, CN ve e-posta gibi alanlar kontrollü şekilde sertifika isteğine eklenir. Kurum, ister yerleşik CA ile imzalama yapar ister CSR'ı dış kurumsal CA sürecine gönderebilir. Böylece TR7 hem bağımsız PKI akışına hem de mevcut kurumsal imza süreçlerine uyum sağlar.
Yerleşik CA sertifikası ve CA anahtarı üzerinden istemci sertifikaları imzalanabilir. Varsayılan model SHA256 digest, 2048 bit RSA ve 365 günlük geçerlilik parametreleriyle çalışır. İmzalanan sertifika, mTLS istemci kimliği olarak kullanılabilir. Bu yaklaşım, küçük ve orta ölçekli mTLS senaryolarında harici PKI sunucusu kurma ihtiyacını azaltır.
TR7, PFX/P12 paketinden private key ve sertifika içeriğini ayrıştırabilir. Ters yönde, key ve sertifika içeriğinden PFX/P12 paketi oluşturabilir. Bu özellik, Windows tabanlı sistemlerden gelen sertifikaların veya farklı ortamlar için gereken paket formatlarının yönetimini kolaylaştırır. Sertifika formatı uygulama geçişinin önünde engel olmaktan çıkar.
TR7, anahtar tipini ayırt edebilir ve RSA/ECDSA tabanlı sertifika işlemlerini yönetebilir. Passphrase ekleme veya çıkarma gibi anahtar koruma işlemleri de aynı dönüşüm hattında yapılabilir. Bu yapı, eski kurumsal servislerden gelen anahtarların modern uygulama ihtiyaçlarına göre hazırlanmasına yardımcı olur. Sertifika operasyonu manuel dosya düzenleme yerine kontrollü nesne işlemine dönüşür.
Sertifika yüklendiğinde SAN alanları, CN, issuer, algoritma, anahtar uzunluğu, geçerlilik başlangıcı ve bitiş tarihi ayrıştırılabilir. Bu bilgiler arayüz ve raporlama için kullanılabilir. Operasyon ekibi hangi sertifikanın hangi alan adlarını kapsadığını ve ne zaman biteceğini hızlıca görebilir. Sertifika envanteri manuel dosya isimlerine bağımlı kalmaz.
TR7, sertifika için SHA1 fingerprint çıkarabilir ve normalize edebilir. Fingerprint değeri istemci sertifikası eşleştirme, kayıt tutma ve operasyonel takip için kullanılabilir. Bu özellikle mTLS istemci kimliklerinde hangi sertifikanın hangi kullanıcıya veya cihaza ait olduğunu ayırmada faydalıdır. Sertifika dağıtımı daha izlenebilir hâle gelir.
P12 export sırasında CA zinciri pakete eklenebilir. Bu, istemci tarafında intermediate eksikliği nedeniyle oluşabilecek chain problemlerini azaltır. Kurum, sertifika dağıtırken yalnızca tek dosya vermekle kalmaz; gerekli zincir bilgisini de paket içinde taşıyabilir. Bu özellik özellikle mobil, masaüstü ve iş ortağı dağıtımlarında operasyonu sadeleştirir.
Varsayılan bildirim modeli sertifika bitişinden 30 gün önce uyarı üretecek şekilde yapılandırılabilir. Bildirim sistemiyle entegre çalışarak e-posta, SMS veya diğer kanal akışlarına bağlanabilir. Bu sayede sertifika süresi dolduğu için yaşanan ani üretim kesintileri azaltılır. Sertifika yenileme takibi manuel takvim notlarına bağımlı kalmaz.
CA yönetiminin güvenilir çalışması için dosya yolları, varsayılan kripto parametreleri, geçici dosya temizliği, subject güvenliği ve namespace izolasyonu birlikte ele alınır.
Sunucu sertifikası, CA sertifikası ve CA anahtarı sistem üzerinde belirli dosya yollarında tutulur. CA sertifikası /etc/ca.crt, CA anahtarı /etc/ca.key konumuyla mTLS imza zinciri için kullanılır. Geçici istemci sertifika üretimi ayrı geçici dizinde yürütülür.
Varsayılan sertifika üretiminde 365 gün geçerlilik, 2048 bit anahtar boyutu, SHA256 digest ve TR7 organizasyon bilgisi kullanılabilir. Bu değerler temel başlangıç parametreleridir. Kurum güvenlik politikasına göre geçerlilik süresi ve sertifika alanları planlanmalıdır.
Sertifika üretimi sırasında key, CSR, sertifika ve P12 gibi geçici dosyalar oluşturulur. İşlem başarılı olsa da hata alsa da bu dosyalar temizlenir. Bu davranış, sertifika üretimi sırasında hassas private key artıklarının sistemde kalma riskini azaltır.
CN gibi subject alanlarında özel karakterler güvenli forma dönüştürülür. Bu işlem komut çalıştırma ve dosya üretimi sırasında beklenmeyen karakterlerin sorun oluşturmasını engeller. Sertifika üretim akışı daha öngörülebilir hâle gelir.
Sertifika üretim ve OpenSSL işlemleri network namespace farkındalıklı yürütülebilir. Bu, çok kiracılı veya izole ağ bağlamlarında işlemlerin doğru ortamda çalışmasına yardımcı olur. Sertifika operasyonu tenant veya ağ izolasyon modelinden kopuk ilerlemez.
Sertifika ayrıştırmada iki farklı parser yaklaşımı kullanılabilir. Bir parser belirli formatta başarısız olursa diğer parser fallback olarak devreye girer. Bu yapı, farklı kaynaklardan gelen sertifikalarda metadata çıkarımını daha dayanıklı yapar.
Kurum, her mobil cihaz için benzersiz CN ile 1 yıllık parola korumalı P12 üretebilir. Bu çıktı MDM süreciyle cihaza dağıtılarak AAM veya API erişiminde istemci sertifikası kimliği kullanılabilir.
Her iş ortağı için ayrı istemci sertifikası üretilebilir ve CN alanı partner kimliğiyle eşleştirilebilir. TR7, mTLS erişimlerinde hangi partnerin hangi API'ye geldiğini sertifika kimliğiyle daha net izleyebilir.
IoT cihaz seri numarası CN olarak kullanılıp her cihaz için ayrı sertifika üretilebilir. Üretim veya kurulum aşamasında P12 paketi cihaza yüklenerek cihaz kimliği sertifika üzerinden doğrulanır.
Geliştirme ekibi staging ortamında kısa süreli sertifikalar üretip test kurumsal servislerine dağıtabilir. Harici PKI sürecini beklemeden mTLS ve sertifika zinciri davranışı doğrulanır.
CSR, CA imzalama, P12 dağıtımı ve sertifika metadata izleme — harici PKI sunucusu olmadan. Kendi ortamınızda canlı bir kurulumda gezdirelim.