Ön Koşullar

• Ubuntu 20.04 VPS (cpynet adında bir sunucu kullanıyoruz)
• Root kullanıcı hesabına erişim (veya root ayrıcalıkları olan bir admin hesabına erişim)

Adım 1: Sunucuya Giriş Yapın ve Sunucu OS Paketlerini Güncelleyin

Öncelikle, root kullanıcı olarak SSH ile cpynet sunucunuza giriş yapın:

ssh root@IP_Adres -p Port_numarası

‘IP_Adres’ ve ‘Port_numarası’nı sunucunuzun IP adresi ve SSH port numarası ile değiştirin. Ayrıca, gerekiyorsa ‘root’ yerine admin hesabının kullanıcı adını yazın.

Başlamadan önce, sunucunuzdaki tüm Ubuntu OS paketlerinin güncel olduğundan emin olun. Bunu yapmak için aşağıdaki komutları çalıştırabilirsiniz:

apt-get update -y
apt-get upgrade -y

Adım 2: Google Authenticator’ı Kurun

İki faktörlü kimlik doğrulama için Google Authenticator kullanacağız. Bu nedenle, sisteminize Google Authenticator PAM modülünü kurmanız gerekiyor. Aşağıdaki komutu çalıştırarak bunu yapabilirsiniz:

apt-get install libpam-google-authenticator -y

Kurulum tamamlandığında, Google Authenticator’ı şu komutla başlatın:

google-authenticator

Kurulum sırasında aşağıdaki soruları yanıtlamanız gerekecek:

1. Zaman tabanlı kimlik doğrulama token’ları kullanmak ister misiniz? (y/n): y yazarak devam edin.
2. QR kodunu tarayarak yedekleme yapacağınız bilgileri alın.
3. Birden fazla kullanıma izin vermek ister misiniz? (y/n): y yazarak devam edin.
4. Oran sınırlamasını etkinleştirmek ister misiniz? (y/n): y yazarak devam edin.

Kurulum tamamlandıktan sonra, bir QR kodu ve çeşitli yedekleme kodları elde edeceksiniz. Bu bilgileri güvenli bir yerde saklayın.

Adım 3: Google Authenticator Uygulamasını Kurun

Akıllı telefonunuza Google Authenticator uygulamasını kurmalısınız. Uygulamayı yükledikten sonra, yukarıdaki QR kodunu tarayın. QR kodunu taradıktan sonra, telefonunuzda aşağıdaki gibi altı haneli bir tek kullanımlık şifre görmelisiniz:

Bu şifre 30 saniye içinde geçerliliğini yitirecektir, bu nedenle Ubuntu sunucusuna SSH ile giriş yapmak için yeni bir şifre almak üzere Google Authenticator uygulamanızı açmanız gerekecek.

Ayrıca yukarıdaki çıktıda gizli anahtar, doğrulama kodu ve acil durum kağıt kodlarını görebilirsiniz. Bunları daha sonra kullanmak üzere güvenli bir yerde saklamanız önerilir.

Adım 4: SSH’yi Google Authenticator Kullanacak Şekilde Yapılandırın

SSH’nin Google Authenticator’ı kullanacak şekilde yapılandırılması gerekiyor. Bunu yapmak için /etc/ssh/sshd_config dosyasını düzenleyin:

nano /etc/ssh/sshd_config

Aşağıdaki satırları değiştirin:

UsePAM yes
ChallengeResponseAuthentication yes

Dosyayı kaydedip kapattıktan sonra, yapılandırmayı uygulamak için SSH hizmetini yeniden başlatın:

systemctl restart sshd

Sonrasında, /etc/pam.d/sshd dosyasını düzenleyerek SSH servisi için PAM kurallarını tanımlamanız gerekecek:

nano /etc/pam.d/sshd

@include common-auth satırından sonra aşağıdaki satırı ekleyin:

auth required pam_google_authenticator.so

Dosyayı kaydedip kapatın.

Adım 5: İki Faktörlü Kimlik Doğrulamayı Test Edin

Bu noktada, SSH sunucunuz artık iki faktörlü kimlik doğrulama ile yapılandırılmıştır. Şimdi bağlanıp test etme zamanı.

Uzak sistemde terminalinizi açın ve aşağıdaki gibi SSH ile sunucunuza giriş yapın:

ssh root@cpynet

Sistem parolanızı ve Google Authenticator tarafından üretilen doğrulama kodunu girmeniz istenecektir. Google Authenticator uygulamanızda görünen kodu girin ve Enter’a basarak sunucuya giriş yapın.

Adım 6: 2FA Kodunu Kaybetmeniz Durumunda Ne Yapmalısınız?

Eğer 2FA kodunu kaybederseniz veya Google Authenticator uygulamanız silinirse, aşağıdaki adımları izleyerek durumu kurtarabilirsiniz:

1. Acil Durum Kodları: Google Authenticator kurulum sürecinde oluşturduğunuz acil durum kağıt kodlarını kullanabilirsiniz. Bu kodlar, 2FA’ya erişiminizi kaybettiğinizde, hesabınıza tekrar giriş yapmanızı sağlar.
2. Yedekleme: 2FA’yı kurduğunuzda, uygulama tarafından sağlanan QR kodunu ve gizli anahtar bilgilerini güvenli bir yerde saklayın. Bu bilgiler, uygulama yeniden yüklendiğinde veya cihaz değiştirildiğinde yeniden kurulum yapmanıza yardımcı olur.
3. Sunucuya Erişim: Eğer acil durum kodlarınızı veya yedekleme bilgilerinizi kaybettiyseniz ve SSH bağlantınıza erişiminizi kaybettiyseniz, sunucunuza fiziksel erişiminiz yoksa bir başka yönetici ile iletişime geçerek durumu bildirin. Eğer sunucu bir sağlayıcıdan kiralanmışsa, sağlayıcının destek ekibi ile irtibata geçerek durumu çözmelerini isteyin.

Alınması Gereken Önlemler

1. Güvenli Yedekleme: Google Authenticator uygulamanızdaki QR kodunu ve gizli anahtar bilgilerini güvenli bir yerde (şifrelenmiş bir dosya veya parola yöneticisi gibi) saklayın. Acil durum kodlarınızı da yazılı olarak güvenli bir yerde saklayın.
2. Açık Erişim Kontrolleri: Sunucunuza erişimi olan kullanıcıları sınırlayın. Yalnızca gerekli olan kullanıcıların erişimi olduğundan emin olun.
3. Düzenli Güncellemeler: Sunucu işletim sisteminizi ve uygulamalarınızı düzenli olarak güncel tutun. Güvenlik açıklarını en aza indirmek için en son yamaları uygulayın.
4. Erişim Kısıtlamaları: SSH bağlantılarına IP tabanlı erişim kısıtlamaları uygulayarak yalnızca belirli IP adreslerinin sunucunuza bağlanmasına izin verin.
5. Güçlü Parolalar: SSH için güçlü ve karmaşık parolalar kullanın. Parolalarınızı düzenli aralıklarla değiştirin.

Bu kılavuz, Ubuntu 20.04 VPS sunucunuzda SSH için iki faktörlü kimlik doğrulamanın nasıl ayarlanacağını ve 2FA kodunu kaybettiğinizde ne yapmanız gerektiğini kapsamlı bir şekilde açıklamaktadır. Umarım faydalı olur!

İçindekiler

1. SSH Key Nasıl Oluşturulur?
2. SSH Key’inizi Linux Sunucunuza Kopyalamak (ssh-copy-id ile)

• ssh-copy-id olmadığı durumlarda key kopyalamak

1. Windows’ta SSH Key Authentication Ayarlamak
2. Şifre ile Giriş Yapmayı Kapatmak (İsteğe Bağlı)

1. SSH Key Nasıl Oluşturulur?

SSH Key Authentication’ı ayarlamak için öncelikle yerel bilgisayarınızda bir SSH key oluşturmanız gerekiyor. Bu key çifti, sunucunuza şifre yerine daha güvenli bir şekilde erişmenizi sağlar. SSH key oluşturmak için aşağıdaki komutu terminalde çalıştırmanız yeterli:

ssh-keygen

Bu komutu çalıştırdıktan sonra, birkaç adımda key çifti oluşturulacaktır. Bu süreçte herhangi bir ekstra ayar yapmak istemiyorsanız Enter tuşuna basarak devam edebilirsiniz. Ancak dilerseniz bir parola da oluşturabilirsiniz. Aşağıdaki gibi bir ekran ile karşılaşacaksınız:

Enter passphrase (empty for no passphrase): 
Enter same passphrase again:

Parola oluşturduysanız, her sunucuya erişmek istediğinizde bu parolayı girmeniz gerekecek. Oluşturulan key çifti id_rsa (özel key) ve id_rsa.pub (genel key) olarak kaydedilir.

2. SSH Key’inizi Linux Sunucunuza Kopyalamak (ssh-copy-id ile)

SSH key oluşturduktan sonra bu key’i sunucunuza kopyalamanız gerekiyor. Bu işlem için ssh-copy-id komutunu kullanabilirsiniz. Bu komut, key’inizi otomatik olarak sunucunuzun authorized_keys dosyasına ekler ve elle düzenleme yapmanıza gerek kalmaz. Aşağıdaki komut ile key’inizi sunucunuza kopyalayabilirsiniz:

ssh-copy-id user@host -p port_number

Burada, user kısmını kendi kullanıcı adınızla, host kısmını ise sunucunuzun IP adresi ya da hostname’i ile değiştirmelisiniz. Eğer bu komut başarıyla çalıştıysa, artık sunucunuza şifresiz giriş yapmayı deneyebilirsiniz:

ssh user@host -p port_number

2.1 ssh-copy-id Olmadığı Durumlarda Key Kopyalamak

Bazı sistemlerde ssh-copy-id komutu bulunmayabilir. Bu durumda key’i elle kopyalamanız gerekecek. Aşağıdaki komut, Linux sistemlerde key’inizi manuel olarak sunucuya kopyalar:

cat ~/.ssh/id_rsa.pub | ssh user@host -p port_number "mkdir -p ~/.ssh && cat >> ~/.ssh/authorized_keys && chmod 700 -R ~/.ssh"

Yine, user ve host bilgilerini kendi sunucu bilgilerinize göre değiştirin. Bu komut, public key’inizi sunucunuza kopyalayıp authorized_keys dosyasına ekler.

3. Windows’ta SSH Key Authentication Ayarlamak

Windows işletim sisteminde SSH Key Authentication’ı ayarlamak, Linux ve macOS’a göre biraz farklıdır çünkü ssh-copy-id komutu Windows’ta yerleşik olarak bulunmaz. Ancak Windows 11 kullanıcıları için bu işlemi kolayca gerçekleştirebilirsiniz. Öncelikle Windows Terminal’i açın ve aşağıdaki komutla SSH key oluşturun:

ssh-keygen.exe

Bu komut, size birkaç soru soracaktır. Varsayılan dizini kullanabilir ve dilerseniz parolasız key oluşturabilirsiniz. Eğer parola ayarlarsanız, her oturum açmak istediğinizde bu parolayı girmeniz gerekecektir. Aşağıdaki gibi bir çıktı alacaksınız:

Generating public/private rsa key pair.
Enter file in which to save the key (C:Userscpynet/.ssh/id_rsa):

Key çifti oluşturulduktan sonra, id_rsa.pub dosyasını sunucunuza kopyalamanız gerekecek. Bunun için terminalde şu komutu çalıştırarak public key’inizi görüntüleyin:

cat ..sshid_rsa.pub

Ardından, aşağıdaki komutu kullanarak sunucunuza SSH ile bağlanın:

ssh.exe user@host -p port_number

Sunucunuza bağlandıktan sonra, key’inizi kaydedeceğiniz dizini oluşturmak için şu komutu çalıştırın:

mkdir -p ~/.ssh

Daha sonra bir text editörü ile authorized_keys dosyasını açarak public key’inizi bu dosyaya yapıştırın. Key’iniz artık sunucuda kayıtlı olacak.

4. Şifre ile Giriş Yapmayı Kapatmak (İsteğe Bağlı)

SSH Key Authentication kullanarak giriş yaptıktan sonra, sunucunuzun güvenliğini bir adım daha artırmak isterseniz, şifre ile giriş yapmayı tamamen devre dışı bırakabilirsiniz. Bu, sadece SSH key ile giriş yapılmasını zorunlu hale getirir ve sunucunuzun brute-force saldırılarına karşı daha dayanıklı olmasını sağlar.

Şifre ile giriş yapmayı kapatmak için, sunucunuzda sshd_config dosyasını düzenlemeniz gerekiyor:

sudo nano /etc/ssh/sshd_config

Bu dosya içinde PasswordAuthentication satırını bulun ve no olarak değiştirin:

PasswordAuthentication no

Değişikliği kaydedip dosyayı kapattıktan sonra, SSH hizmetini yeniden başlatın:

sudo systemctl restart ssh

Bu işlemi tamamladıktan sonra artık sunucunuza sadece SSH key ile giriş yapılabilecektir. Şifre ile giriş devre dışı bırakıldığı için sunucunuz daha güvenli hale gelecektir.

Sonuç

SSH Key Authentication, Linux sunucunuzun güvenliğini sağlamanın en etkili yollarından biridir. Şifre yerine key kullanarak sunucunuza erişmek, brute-force saldırılarına karşı daha dayanıklıdır ve güvenliği artırır.

1. IoT Cihazlarının Güvenlik Tehditleri

IoT cihazlarının maruz kaldığı en yaygın güvenlik tehditleri şunlardır:

• Veri Sızıntısı: IoT cihazları, kişisel ve hassas verileri toplar. Bu verilerin kötü niyetli kişiler tarafından ele geçirilmesi büyük bir tehdit oluşturur.
• Ağ Saldırıları: Cihazlar arasında iletişim sağlamak için kullanılan ağlar, saldırganların hedef alabileceği zayıf noktalardır.
• Yetkisiz Erişim: Zayıf kimlik doğrulama yöntemleri, kötü niyetli kişilerin cihazlara erişimini kolaylaştırır.
• Firmware Açıkları: Cihazların yazılımlarındaki güvenlik açıkları, saldırganların cihazlara sızmasına olanak tanır.

2. Veri Güvenliği Uygulamaları

IoT cihazları için veri güvenliği sağlamak amacıyla bir dizi uygulama ve önlem alınabilir. Bu uygulamalar şunlardır:

2.1. Güçlü Kimlik Doğrulama

Güçlü kimlik doğrulama yöntemleri, IoT cihazlarının ve kullanıcılarının kimliğini güvenli bir şekilde doğrulamak için kullanılmalıdır. İki faktörlü kimlik doğrulama (2FA), biyometrik veriler veya sertifikalar gibi yöntemler, cihazların yalnızca yetkili kullanıcılar tarafından erişilmesini sağlar.

2.2. Veri Şifreleme

Veri şifreleme, IoT cihazlarının ilettiği veya depoladığı verilerin güvenliğini sağlamak için kritik bir adımdır. Hem verinin cihaz üzerinde şifrelenmesi hem de ağ üzerinden iletilirken şifrelenmesi, veri güvenliğini artırır. AES (Advanced Encryption Standard) gibi güçlü şifreleme algoritmaları kullanılabilir.

2.3. Güvenli Firmware Güncellemeleri

IoT cihazlarının yazılımlarındaki güvenlik açıkları, cihazların güncel kalmasıyla minimize edilebilir. Otomatik firmware güncellemeleri, güvenlik açıklarının kapatılması için önemlidir. Bu güncellemelerin güvenli bir şekilde dağıtılması ve kimlik doğrulaması sağlanmalıdır.

2.4. Ağ Güvenliği

IoT cihazları genellikle kablosuz ağlar üzerinden iletişim kurar. Bu nedenle, ağ güvenliği büyük bir öneme sahiptir. Güvenli bir ağ oluşturmak için aşağıdaki adımlar izlenebilir:

• Güçlü Şifreler: Ağınıza erişim için güçlü şifreler kullanarak yetkisiz erişimi önleyin.
• Güvenlik Duvarları: Ağınıza gelen ve giden trafiği kontrol etmek için güvenlik duvarları kullanın.
• Segmentasyon: IoT cihazlarını ayrı bir ağa yerleştirerek, diğer ağlara olan erişimlerini sınırlayın.

2.5. Veri İzleme ve Analiz

IoT cihazlarının topladığı verilerin sürekli izlenmesi, anormal aktivitelerin tespit edilmesine yardımcı olur. Bu amaçla, veri analitiği araçları kullanılabilir. Anomalilerin belirlenmesi, potansiyel saldırıların erken aşamada tespit edilmesini sağlar.

2.6. Güvenli İletişim Protokolleri

IoT cihazlarının veri iletimi sırasında güvenli iletişim protokolleri kullanılmalıdır. MQTT, CoAP ve DTLS gibi protokoller, güvenli veri iletimi sağlamak için tercih edilebilir. Bu protokoller, iletişim sırasında veri bütünlüğünü ve gizliliğini korur.

3. Sonuç

IoT cihazlarının yaygınlaşmasıyla birlikte veri güvenliği, her zamankinden daha önemli hale gelmiştir. Güçlü kimlik doğrulama yöntemleri, veri şifreleme, güvenli firmware güncellemeleri ve ağ güvenliği gibi uygulamalar, IoT cihazlarının veri güvenliğini sağlamak için kritik öneme sahiptir. Bu önlemler, kullanıcıların ve şirketlerin verilerini koruyarak, IoT ekosisteminin güvenli bir şekilde büyümesine katkıda bulunur.

IoT veri güvenliği uygulamalarının dikkate alınması, yalnızca bireysel kullanıcılar için değil, aynı zamanda büyük ölçekli işletmeler için de hayati önem taşımaktadır. IoT cihazlarının güvenliğini sağlamak, gelecekte daha geniş ve karmaşık bir ağ yapısının güvenli bir şekilde işlemesi için gereklidir.

Gereksinimler

• GitLab kurulumunuzun olduğu bir sunucu.
• SSL sertifikası ve özel anahtar dosyaları (örneğin, cert.pem ve privkey.pem).

Adımlar

1. SSL Sertifikalarını Yükleyin

Öncelikle, SSL sertifikası ve özel anahtar dosyalarını /etc/gitlab/ssl/ dizinine yükleyin. Aşağıdaki komutları kullanarak dosyaları bu dizine kopyalayın:

sudo mkdir -p /etc/gitlab/ssl
sudo cp /path/to/your/cert.pem /etc/gitlab/ssl/gitlab.example.com.crt
sudo cp /path/to/your/privkey.pem /etc/gitlab/ssl/gitlab.example.com.key

Not: gitlab.example.com kısmını kendi alan adınıza göre değiştirin.

2. GitLab Konfigürasyonunu Yenile

SSL sertifikalarını yükledikten sonra, GitLab konfigürasyonunu yeniden yapılandırmak için aşağıdaki komutu çalıştırın:

sudo gitlab-ctl reconfigure

3. Durum Kontrolü

Yapılandırma işlemi tamamlandıktan sonra, sistemin doğru çalıştığından emin olmak için kontrol komutunu çalıştırın:

sudo gitlab-rake gitlab:check

Bu komut, GitLab’ın durumunu kontrol eder ve potansiyel sorunları tespit eder.

4. Nginx’i Yeniden Başlat

Son olarak, değişikliklerin uygulanabilmesi için Nginx servisini yeniden başlatın:

sudo gitlab-ctl restart nginx

Sonuç

Bu adımları takip ederek, GitLab kurulumunuza SSL sertifikası eklemiş oldunuz. Artık kullanıcılarınız, GitLab’a güvenli bir bağlantı ile erişebilir.

Olası Hatalar

• SSL sertifikası hatası: Sertifikanın veya özel anahtarın hatalı olması durumunda, GitLab bu dosyaları düzgün yükleyemeyebilir.
• Bağlantı hatası: Firewall ayarları veya DNS yapılandırması nedeniyle bağlantı hatası alabilirsiniz. DNS kayıtlarınızın doğru yapılandırıldığından emin olun.

Bu doküman ile GitLab üzerinde SSL sertifikası ekleme sürecini başarıyla tamamlayabilirsiniz. Herhangi bir sorunla karşılaşırsanız, GitLab dökümantasyonuna başvurmayı unutmayın.

1. CA Sertifikası Yükleme

Öncelikle, yeni CA (Certificate Authority) sertifikasını yükleyin. Aşağıdaki komutla CA sertifikasını FreeIPA sunucunuza yükleyebilirsiniz.

ipa-cacert-manage install CA.pem

CA.pem dosyası: Yeni CA sertifikası dosyanızın yolu ve adı olacaktır. Bu dosyayı doğru konumdan yüklediğinizden emin olun.

2. HTTP Sunucusu için SSL Sertifikası Kurulumu

HTTP sunucusunun SSL sertifikasını yenilemek için aşağıdaki komutu çalıştırın. Bu komut, yeni sertifika ve özel anahtar dosyalarını sunucuya yükleyecektir.

ipa-server-certinstall --http /path/to/ssl.key /path/to/ssl.pem

Değiştirmeniz Gerekenler:

• /path/to/ssl.key: SSL özel anahtar dosyasının yolu.
• /path/to/ssl.pem: SSL sertifika dosyasının yolu.

3. HTTP Sunucusunu Yeniden Başlatma

Yeni SSL sertifikasını yükledikten sonra, Apache HTTP sunucusunu yeniden başlatmanız gerekir. Aşağıdaki komutla HTTP sunucusunu yeniden başlatın:

systemctl restart httpd.service

4. Sertifika Kurulumu (Alternatif Yöntem)

Eğer farklı bir yöntemle SSL sertifikası yüklemek isterseniz, aşağıdaki komutu kullanabilirsiniz. Bu komut, özel anahtar ve sertifikayı FreeIPA sunucusuna yükleyerek HTTP için SSL sertifikasını kuracaktır.

ipa-server-certinstall --http /tmp/privkey.pem /tmp/cert.pem

• privkey.pem: SSL özel anahtar dosyası.
• cert.pem: SSL sertifika dosyası.

Komutu çalıştırdıktan sonra sizden Directory Manager şifresini ve özel anahtar şifresini girmeniz istenecektir.

Directory Manager password: [Your Directory Manager password]
Enter private key unlock password: [Private key password]

5. FreeIPA Servislerini Yeniden Başlatma

SSL sertifikasını başarıyla yükledikten sonra FreeIPA servislerini yeniden başlatmanız gerekecektir. Aşağıdaki komutla tüm FreeIPA servislerini yeniden başlatabilirsiniz:

ipactl restart

Bu komut, FreeIPA ile ilişkili aşağıdaki servisleri yeniden başlatacaktır:

• Directory Service
• krb5kdc Service
• kadmin Service
• httpd Service
• ipa-custodia Service
• ntpd Service
• pki-tomcatd Service
• ipa-otpd Service

Komut başarılı bir şekilde çalıştığında, FreeIPA sunucunuzun tüm bileşenleri yeniden başlatılmış olacaktır.

6. SSL Sertifikası Süresi Dolmuşsa Yapılacak İşlemler

Eğer SSL sertifikanızın süresi dolduysa ve sertifikayı yenileme işlemi sırasında hata alıyorsanız, Python SSL doğrulama kontrollerini geçici olarak devre dışı bırakmanız gerekebilir. Aşağıdaki adımları izleyerek bu işlemi yapabilirsiniz:

1. /usr/lib/python3.6/site-packages/ipalib/util.py dosyasını düzenleyin.
2. Aşağıdaki satırları bulun ve değiştirin:

ctx.check_hostname = False
ctx.verify_mode = ssl.CERT_NONE

Yukarıdaki satırlar, SSL doğrulamasını devre dışı bırakır. Sertifika yenileme işlemi tamamlandıktan sonra aşağıdaki yorum satırlarını yeniden aktif hale getirin:

#ctx.verify_mode = ssl.CERT_REQUIRED
#ctx.check_hostname = True
#ctx.load_verify_locations(cafile)

Bu adımları izleyerek süresi dolmuş sertifikaları yenileyebilirsiniz.

Muhtemel Hatalar

• ipa-cacert-manage: command not found
• ipa-server-certinstall: ImportError: No module named ipalib
• Failed to authenticate to the Directory Server: Invalid credentials
• ipa-server-certinstall: Private key does not match the certificate
• SSL handshake failed
• Error: Failed to restart httpd.service
• Certificate verification failed
• Unable to establish SSL connection with the FreeIPA server
• FreeIPA services failed to start after ipactl restart
• “ssl.SSLError: [SSL: CERTIFICATE_VERIFY_FAILED]” in logs

Sonuç

Bu dokümanda, FreeIPA üzerinde SSL sertifikasını yenileme işlemlerini adım adım anlattık. Sertifikayı başarıyla yükledikten sonra, sunucuya güvenli bağlantıları sürdürebilirsiniz. Ayrıca, sertifika süresi dolduğunda yapılacak işlemleri de açıkladık.

Ön Koşullar

• Zimbra Collaboration Suite (ZCS) kurulmuş ve çalışan bir sunucu.
• SSL sertifikanızın özel anahtar dosyası (privkey.pem), sertifika dosyası (cert.pem) ve ara sertifika zincir dosyası (fullchain.pem) hazır durumda olmalıdır. Bu dosyalar genellikle SSL sağlayıcınız tarafından sağlanır.
• Wildcard SSL kullanıyorsanız, ilgili alanlar bu sertifikaya uygun olmalıdır.

1. Adım: SSL Sertifika Dosyalarının Doğrulanması

Öncelikle, sertifika dosyalarının doğru ve uyumlu olup olmadığını doğrulamanız gerekmektedir. Bunun için aşağıdaki komutu çalıştırarak sertifika dosyalarınızın doğruluğunu test edin:

/opt/zimbra/bin/zmcertmgr verifycrt comm /opt/zimbra/cert/privkey.pem /opt/zimbra/cert/cert.pem /opt/zimbra/cert/fullchain.pem

• /opt/zimbra/cert/privkey.pem: SSL sertifikasının özel anahtar dosyası.
• /opt/zimbra/cert/cert.pem: SSL sertifikasının ana sertifika dosyası.
• /opt/zimbra/cert/fullchain.pem: Ara (intermediate) sertifikaları içeren zincir dosyasıdır.

Bu komut, sertifika dosyalarının uyumlu olup olmadığını ve eksik bir dosya veya uyumsuzluk olup olmadığını kontrol eder. Eğer bir hata almazsanız, işlem başarıyla tamamlanmıştır ve devam edebilirsiniz.

2. Adım: Özel Anahtar Dosyasının Taşınması

Doğrulama işlemi tamamlandıktan sonra, özel anahtar dosyasını Zimbra’nın uygun dizinine kopyalayın. Özel anahtar dosyası Zimbra’nın ticari SSL sertifikası dizinine taşınmalıdır:

cp /opt/zimbra/cert/privkey.pem /opt/zimbra/ssl/zimbra/commercial/commercial.key

Bu işlem, özel anahtar dosyasını Zimbra’nın SSL yönetim dizinine taşır. Bu dizin, Zimbra’nın SSL yapılandırmasında kullandığı yerleşik dizindir.

3. Adım: SSL Sertifikalarının Zimbra’ya Yüklenmesi

Sertifikalarınızı Zimbra’ya tanıtmak için aşağıdaki komutu kullanın. Bu komut, SSL sertifikası ve ara sertifikaları Zimbra’ya uygun şekilde dağıtır:

/opt/zimbra/bin/zmcertmgr deploycrt comm /opt/zimbra/cert/cert.pem /opt/zimbra/cert/fullchain.pem

Bu komut:

• /opt/zimbra/cert/cert.pem ana SSL sertifikasını,
• /opt/zimbra/cert/fullchain.pem ara sertifika zincirini yükler.

4. Adım: Yüklenen Sertifikaların Görüntülenmesi

Zimbra’ya yüklenen SSL sertifikalarını doğrulamak ve kontrol etmek için aşağıdaki komutu çalıştırın. Bu komut, Zimbra’nın şu anda yüklü olan SSL sertifikalarını gösterir:

/opt/zimbra/bin/zmcertmgr viewdeployedcrt

Bu komut ile sertifikalarınızın doğru şekilde yüklendiğinden emin olabilirsiniz. Çıktıda sertifikalarınızın detayları görüntülenecektir.

5. Adım: Zimbra Hizmetlerini Yeniden Başlatma

Sertifika yükleme işlemi tamamlandıktan sonra, Zimbra hizmetlerinin yeni sertifikaları kullanabilmesi için yeniden başlatılması gerekmektedir. Zimbra’yı yeniden başlatmak için aşağıdaki komutu kullanın:

zmcontrol restart

Bu işlem, Zimbra’nın tüm hizmetlerini yeniden başlatacak ve yeni sertifikaları aktif hale getirecektir.

Sonuç

Bu adımları izleyerek Zimbra sunucunuza özel veya wildcard SSL sertifikalarını başarıyla yükleyebilir ve güncelleyebilirsiniz. Zimbra, sertifikalarınızı doğru şekilde yüklediğinizde güvenli bir şekilde HTTPS üzerinden çalışmaya başlayacaktır. Sertifikalarınızın süresinin dolmasını önlemek için belirli aralıklarla bu adımları tekrarlamanız önerilir veya otomatik yenileme işlemleri kurabilirsiniz.

Ön Gereksinimler

1. Hostname ve DNS Kontrolü: Aşağıdaki komutları kullanarak hostname’inizin ve Zimbra’nın doğru ayarlandığından emin olun.

zimbra@le-test:~$ source ~/bin/zmshutil; zmsetvars
zimbra@le-test:~$ zmhostname
cpynet.com
zimbra@le-test:~$ hostname --fqdn
cpynet.com

1. CAA DNS Kaydı Kontrolü: Let’s Encrypt sertifikası alabilmek için CAA DNS kaydınızı kontrol edin. Aşağıdaki komut ile CAA kaydınızın doğru olduğunu doğrulayın. Çıktıda 0 issue "letsencrypt.org" ibaresini görmelisiniz.

zimbra@le-test:~$ sudo apt install -y net-tools dnsutils
zimbra@le-test:~$ dig +short type257 $(hostname --d)
0 issuewild "letsencrypt.org"
0 issue "letsencrypt.org"

1. Port Kontrolü: Zimbra’nın 80 numaralı portta dinleyip dinlemediğini kontrol edin. Let’s Encrypt, geçici bir web sunucusu çalıştırmak için bu portu kullanacaktır.

netstat -tulpn | grep ":80 "

Eğer Zimbra 80 portunda dinliyorsa, proxy modunu değiştirmelisiniz:

sudo su zimbra -
zmprov ms `zmhostname` zimbraReverseProxyMailMode https
zmprov ms `zmhostname` zimbraMailMode https
/opt/zimbra/bin/zmtlsctl https
/opt/zimbra/libexec/zmproxyconfig -e -w -o -a 8080:80:8443:443 -x https -H `zmhostname`

1. Zimbra Kurulumu için Otomatik Yükleyici Kullanımı: Zimbra’yı kurarken sorun yaşıyorsanız, Let’s Encrypt ayarlarını otomatik olarak yapacak bir yükleyici kullanabilirsiniz.

Certbot Kurulumu

Zimbra ile uyumlu en güncel Certbot sürümünü kurmak için aşağıdaki adımları izleyin.

1. Gerekli Paketlerin Kurulumu: Certbot’u kurmak için öncelikle gerekli paketleri yükleyin.

sudo apt install -y python3 python3-venv libaugeas0

1. Python Sanal Ortamı Oluşturma: Certbot’u çalıştırmak için bir Python sanal ortamı oluşturun.

python3 -m venv /opt/certbot/

1. Certbot’u Yükleme: Aşağıdaki komutlarla Certbot’u güncelleyin ve yükleyin.

/opt/certbot/bin/pip install --upgrade pip
/opt/certbot/bin/pip install certbot
ln -s /opt/certbot/bin/certbot /usr/local/sbin/certbot

1. SSL Sertifikası Alma: Aşağıdaki komut ile SSL sertifikasını alın. Email adresi kullanmadan onay vermek için --register-unsafely-without-email bayrağını kullanabilirsiniz.

/usr/local/sbin/certbot certonly -d $(hostname --fqdn) --standalone --preferred-chain "ISRG Root X2" --agree-tos --register-unsafely-without-email

Zimbra Dağıtımı

Let’s Encrypt sertifikasını Zimbra’ya dağıtmak için aşağıdaki script’i oluşturun.

cat >> /usr/local/sbin/letsencrypt-zimbra << EOF
#!/bin/bash
/usr/local/sbin/certbot certonly -d $(hostname --fqdn) --standalone -n --preferred-chain  "ISRG Root X2" --agree-tos --register-unsafely-without-email
cp "/etc/letsencrypt/live/$(hostname --fqdn)/privkey.pem" /opt/zimbra/ssl/zimbra/commercial/commercial.key
chown zimbra:zimbra /opt/zimbra/ssl/zimbra/commercial/commercial.key
wget -O /tmp/ISRG-X2.pem https://letsencrypt.org/certs/isrg-root-x2.pem
rm -f "/etc/letsencrypt/live/$(hostname --fqdn)/chainZimbra.pem"
cp "/etc/letsencrypt/live/$(hostname --fqdn)/chain.pem" "/etc/letsencrypt/live/$(hostname --fqdn)/chainZimbra.pem"
cat /tmp/ISRG-X2.pem >> "/etc/letsencrypt/live/$(hostname --fqdn)/chainZimbra.pem"
chown zimbra:zimbra /etc/letsencrypt -R
cd /tmp
su zimbra -c '/opt/zimbra/bin/zmcertmgr deploycrt comm "/etc/letsencrypt/live/$(hostname --fqdn)/cert.pem" "/etc/letsencrypt/live/$(hostname --fqdn)/chainZimbra.pem"'
rm -f "/etc/letsencrypt/live/$(hostname --fqdn)/chainZimbra.pem"
EOF

İzinlerin Ayarlanması

Script’in çalıştırma izinlerini ayarlayın ve cron job oluşturun.

chmod +rx /usr/local/sbin/letsencrypt-zimbra
ln -s /usr/local/sbin/letsencrypt-zimbra /etc/cron.daily/letsencrypt-zimbra
/etc/cron.daily/letsencrypt-zimbra

Zimbra’yı Yeniden Başlatma

Yeni sertifikayı yüklemek için Zimbra’yı yeniden başlatın.

sudo su zimbra -c '/opt/zimbra/bin/zmcontrol restart'

Cron job, sertifikanızın süresinin dolmasından yaklaşık 1 ay önce otomatik olarak yenileme işlemi yapacaktır. Yenileme tarihinden önce Zimbra’yı manuel olarak yeniden başlatmanız gerekecektir.

Manual Yükleme

Eğer Zimbra ISRG Root X2 veya ISRG Root X1 ile birlikte gelmiyorsa, bu dosyayı sağlamanız gerekecektir. Let’s Encrypt sertifikasını aldıktan sonra Zimbra’ya yüklemek için aşağıdaki adımları izleyin.

1. Özel Anahtarın Kopyalanması: Sertifikanızı aldıktan sonra aşağıdaki komutları kullanarak anahtarınızı kopyalayın.

cp /etc/letsencrypt/live/cpynet.com/privkey.pem /opt/zimbra/ssl/zimbra/commercial/commercial.key
chown zimbra:zimbra /opt/zimbra/ssl/zimbra/commercial/commercial.key

1. Root Sertifikası İndirme: Aşağıdaki komutla root sertifikasını indirin.

wget -O /tmp/ISRG-X2.pem https://letsencrypt.org/certs/isrg-root-x2.pem

1. Sertifika Zincirinin Oluşturulması: Sertifika zincirinizi oluşturmak için aşağıdaki komutu çalıştırın.

cat /tmp/ISRG-X2.pem >> /etc/letsencrypt/live/cpynet.com/chain.pem

1. Sertifikayı Dağıtma: Aşağıdaki komutları kullanarak sertifikayı Zimbra’ya dağıtın.

cd ~
/opt/zimbra/bin/zmcertmgr verifycrt comm /opt/zimbra/ssl/zimbra/commercial/commercial.key /etc/letsencrypt/live/cpynet.com/cert.pem /etc/letsencrypt/live/cpynet.com/chain.pem
/opt/zimbra/bin/zmcertmgr deploycrt comm /etc/letsencrypt/live/cpynet.com/cert.pem /etc/letsencrypt/live/cpynet.com/chain.pem

Sonuç

Bu kılavuzda, Zimbra sunucunuz için Let’s Encrypt SSL sertifikasının nasıl kurulacağını öğrendiniz. Doğru ayarları yaptıktan sonra, güvenli bir bağlantıya sahip olacak ve kullanıcılarınız için daha iyi bir deneyim sağlayacaksınız. Sertifika yenileme işleminin otomatik olarak gerçekleşeceğini unutmayın, ancak her zaman sisteminizi güncel tutmak ve yeni değişiklikleri gözden geçirmek önemlidir.

Ek Bilgiler

Güvenlik ve güncellemeler ile ilgili olarak, sunucunuzda düzenli olarak güvenlik güncellemeleri yapmayı ve yazılım bileşenlerinizi güncel tutmayı unutmayın

1. Hata: SSL Sertifikası Süresi Doldu ve Sunucu Yanıt Vermiyor

SSL sertifikalarının süresi dolduğunda, OVirt-M ile sunucu arasındaki güvenli iletişim kopar. Bu durum, sunucunun yönetim portalında “Not Responding” (Yanıt Vermiyor) olarak görünmesine neden olur. Bu sorunu çözmek için sanal makineleri başka bir sunucuya taşıyamama durumu ortaya çıkar. Ayrıca, OVirt-M yöneticisi üzerinden bu sunucunun VM’leri yönetilemez hale gelir.

Bu hatanın temel nedeni, SSL sertifikalarının süresinin dolmuş olmasıdır. Sertifikalar yenilenmedikçe, OVirt-M ve sunucu arasındaki güvenli iletişim kurulamaz. Bu da sunucunun yanıt verememesine ve dolayısıyla VM’lerin kontrol edilememesine yol açar.

Çözüm Yöntemleri: Sertifika Yenileme ve Sunucu Yönetimi

Sertifika süresi dolmuş bir sunucu ile karşılaşıldığında, sorunu çözmek için birkaç farklı yöntem uygulanabilir. Bu yöntemlerin başında sertifika yenileme gelir. Sertifikalar yenilendiğinde, sunucu yeniden “UP” (Çalışıyor) durumuna döner ve VM’ler tekrar yönetilebilir hale gelir. İşte bu süreçte izlenmesi gereken çözüm adımları:

Adım 1: OVirt-M Üzerinden Sertifika Yenileme

• Otomatik Çözüm: OVirt-M portalında bulunan “Enroll Certificate” (Sertifika Kaydet) özelliği kullanılarak sertifikalar otomatik olarak yenilenebilir. Bu özellik, OVirt 4.4 SP1 sürümü ile birlikte sunucular “NonResponsive” (Yanıt Vermiyor) durumdayken bile kullanılabilir. Bu yüzden, OVirt yöneticisi bu özelliği kullanarak sertifikaları yenileyebilir. Sertifika yenilendiğinde sunucu “UP” (Çalışıyor) durumuna dönecektir.
• Yükseltme Durumu: OVirt-M 4.4 SP1 sürümüne yükseltilmemişse, sertifika yenileme işlemi manuel olarak yapılabilir. Ancak mümkünse OVirt-M yöneticisinin 4.4 SP1’e yükseltilmesi önerilir. Böylece, portal üzerinden sertifika yenileme işlemi otomatik hale getirilir ve manuel müdahaleye gerek kalmaz.

Adım 2: Manuel Sertifika Yenileme

• Manuel Çözüm: Eğer OVirt-M portalı üzerinden sertifika yenileme mümkün değilse ve tüm sunucuların sertifikaları süresi dolmuşsa, manuel olarak sertifikaları yenilemek gerekecektir. Aşağıdaki adımları takip ederek manuel sertifika yenileme işlemi gerçekleştirilebilir:
  1. Anahtarın Yöneticiyi Kopyalanması: Sunucudaki anahtar, yöneticiyi kopyalanır.

scp /etc/pki/vdsm/keys/vdsmkey.pem root@<OVirt-M FQDN veya IP>:/tmp/vdsmkey.pem

1. CSR Oluşturma: Sunucu anahtarı kullanılarak bir CSR dosyası (Sertifika İmzalama Talebi) oluşturulur.

openssl req -new -key /tmp/vdsmkey.pem -out /tmp/test_host_vdsm.csr -passin "pass:mypass" -passout "pass:mypass"

1. Eski Sertifikanın Konusu: Sunucudaki eski sertifikanın konusu belirlenir.

openssl x509 -in /etc/pki/vdsm/certs/vdsmcert.pem -noout -subject

1. Sertifikanın İmzalanması: CSR, OVirt-M yöneticisi tarafından engine CA kullanılarak imzalanır. OVirt-M’nin kullandığı IP adresine veya FQDN’ye göre bu adımda dikkat edilmelidir.

cd /etc/pki/ovirt-engine/
openssl ca -batch -policy policy_match -config openssl.conf -cert ca.pem -keyfile private/ca.pem -days +398 -in /tmp/test_host_vdsm.csr -out /tmp/test_host_vdsm.cer

1. İmzalanan Sertifikanın Sunucuya Geri Kopyalanması: İmzalanan sertifika sunucuya geri kopyalanır.

scp root@<OVirt-M FQDN veya IP>:/tmp/test_host_vdsm.cer /etc/pki/vdsm/certs/vdsmcert.pem

1. Sertifikanın Diğer Hizmetlere Kopyalanması: Sertifika libvirt ve diğer ilgili hizmetlerle paylaşılır.

cp /etc/pki/vdsm/certs/vdsmcert.pem /etc/pki/vdsm/libvirt-spice/server-cert.pem

Adım 3: Sunucu Servislerini Yeniden Başlatma

Manuel sertifika yenileme işlemi tamamlandıktan sonra, sunucudaki servisler yeniden başlatılmalıdır. Bunun için libvirt ve vdsmd servisleri yeniden başlatılır:

systemctl restart libvirtd vdsmd

Adım 4: VM’lerin Taşınması ve Sertifika Entegrasyonu

Sunucu tekrar “UP” durumuna döndüğünde, VM’ler canlı olarak başka bir sunucuya taşınabilir. Bu işlemin ardından OVirt-M portalı üzerinden sertifikalar kaydedilerek (Enroll Certificate) sunucunun yönetim altında tutulması sağlanır.

Sonuç

OVirt sunucularında SSL sertifikalarının süresi dolduğunda, sistem yöneticileri hem otomatik hem de manuel çözüm yollarını takip edebilirler. OVirt-M portalında bulunan “Enroll Certificate” özelliği genellikle en hızlı ve kolay çözüm olarak öne çıkar. Ancak bazı durumlarda manuel sertifika yenileme adımlarını izlemek gerekebilir. Sertifikaların düzgün bir şekilde yenilenmesi, sunucuların kesintisiz çalışmasını ve VM yönetiminin sağlıklı bir şekilde yapılmasını sağlar.

Sertifika Yetkilisi (CA) Nedir?

Sertifika Yetkilisi (CA), dijital sertifikaları imzalayan ve bu sertifikaların geçerliliğini doğrulayan kuruluştur. CA’lar, sertifikayı talep eden kimlik bilgilerini kriptografik anahtarlarla bağlar ve bu sayede varlığın doğruluğunu güvence altına alır. CA’ların kök sertifikaları (Root Certificates), tüm tarayıcılar ve cihazlar tarafından önceden yüklenmiştir ve uluslararası güvenilirlik taşırlar.

SSL Sertifikası Oluşturma Süreci

Gerçek bir üretim ortamında SSL sertifikası almak için izlenen adımlar genellikle şu şekildedir:

1. Certificate Signing Request (CSR) Oluşturma: İlk adımda, bir CSR oluşturulur. CSR oluşturmak, bir çift anahtar (public ve private) oluşturmayı içerir. Public key, sertifika talep eden kuruluş hakkında bilgi içerirken, private key güvenli bir şekilde saklanmalıdır.Dikkat: Private key kaybedilirse veya ele geçirilirse, sertifika çalışmaz hale gelir ve şifreli iletişimler tehlikeye girebilir.
2. CSR’yi Resmi CA’ya Gönderme: Oluşturulan CSR, resmi bir CA’ya gönderilir. CA, kendi root private key’i ile imzalanmış bir sertifika geri döner ve bu sertifika sunucularınıza kurulabilir.

Yerel Root CA Oluşturma

Kendi Root CA’nızı oluşturmak için farklı yöntemler bulunmaktadır. Grafik kullanıcı arayüzünü (GUI) tercih ediyorsanız TinyCA gibi ücretsiz araçları kullanabilirsiniz. Terminal kullanmayı tercih edenler ise basit OpenSSL komutları ile bu işlemi gerçekleştirebilirler.

Root Özel Anahtarını Oluşturma

İlk adımda, Root CA’nız için özel bir anahtar oluşturmanız gerekmektedir:

openssl genrsa -des3 -out root.key 2048

Bu komut, 2048 bit uzunluğunda bir RSA özel anahtarı oluşturur. Güvenliğiniz için bir parola belirlemeniz şiddetle tavsiye edilir.

Root Sertifikasını Oluşturma

Oluşturduğunuz özel anahtarı kullanarak Root CA sertifikasını oluşturun:

openssl req -x509 -new -nodes -key root.key -sha256 -days 7200 -out root.pem

Bu komut, Root CA sertifikanızı 20 yıl (7200 gün) geçerli olacak şekilde oluşturur. Sertifika bilgilerini girerken özellikle Common Name (CN) kısmına dikkat edin, çünkü bu isim CA’nızı tanımlamak için kullanılacaktır.

Root CA’nızı Tarayıcılara ve Sistemlere Ekleme

Oluşturduğunuz Root CA sertifikasını, kullanmak istediğiniz tüm cihazlara ve tarayıcılara eklemeniz gerekmektedir. Bu işlem, sertifikanın güvenilir olarak tanınmasını sağlar.

1. Sistem Sertifika Deposu: Operasyon sisteminizin sertifika deposuna root.pem dosyasını ekleyebilirsiniz.
2. Tarayıcı Sertifika Deposu: Tarayıcınızın ayarlarından sertifikalar bölümüne giderek root.pem dosyasını Authorities sekmesine ekleyin.

Self-Signed Wildcard Sertifikası Oluşturma

Root CA’nızı oluşturduktan sonra, kendi wildcard SSL sertifikanızı oluşturabilirsiniz. Wildcard sertifikalar, bir ana domain ve tüm alt domainler için geçerlidir, bu sayede her alt domain için ayrı sertifika almak zorunda kalmazsınız.

Özel Anahtar ve CSR Oluşturma

Öncelikle, wildcard sertifikanız için özel bir anahtar ve CSR oluşturun:

openssl genrsa -out wildcard.homelab.home.key 2048

Daha sonra, aşağıdaki gibi bir OpenSSL konfigürasyon dosyası (opensslsan.cnf) kullanarak CSR oluşturun:

[req]
distinguished_name = req_distinguished_name
req_extensions = v3_req
prompt = no

[req_distinguished_name]
C = TR
ST = Attica
L = Istanbul
O = Wildcard Homelab Inc
OU = IT
CN = *.homelab.home

[v3_req]
keyUsage = keyEncipherment, dataEncipherment
extendedKeyUsage = serverAuth
subjectAltName = @alt_names

[alt_names]
DNS.1 = *.homelab.home

CSR’yi oluşturmak için:

openssl req -new -out wildcard.homelab.home.csr -key wildcard.homelab.home.key -config opensslsan.cnf

Sertifikayı Root CA ile İmzalama

Oluşturduğunuz CSR’yi kendi Root CA’nız ile imzalayarak wildcard sertifikasını elde edin:

openssl x509 -req -in wildcard.homelab.home.csr -CA root.pem -CAkey root.key -CAcreateserial -out wildcard.homelab.home.crt -days 7200 -sha256 -extensions v3_req -extfile opensslsan.cnf

Bu komut, wildcard sertifikasını oluşturur ve Root CA’nız tarafından imzalanmış olur.

Sertifikaların Doğrulanması ve Kullanımı

Oluşturduğunuz sertifikaların doğruluğunu ve güvenilirliğini kontrol etmek için aşağıdaki komutları kullanabilirsiniz:

openssl verify -CAfile root.pem wildcard.homelab.home.crt

Eğer her şey doğruysa, “wildcard.homelab.home.crt: OK” mesajını alırsınız.

Sonuç

Kendi Root CA’nızı ve self-signed SSL sertifikalarınızı oluşturmak, özellikle test ortamları ve iç ağlarda güvenli iletişim sağlamak için mükemmel bir çözümdür. Bu rehberde, adım adım nasıl kendi CA’nızı oluşturacağınızı ve wildcard sertifikalarınızı nasıl düzenleyeceğinizi öğrendiniz. Unutmayın ki, self-signed sertifikalar genel internet kullanımı için uygun değildir ve sadece güvenilir iç ortamlar için kullanılmalıdır.

Not: Kullandığım geçerli sertifikanın kök sertifika bilgileri bazı ortamlarda bulunmadığı için doğruluk konusunda sorun yaşıyorum. Bu durumdan kurtulmak için bundle kullanıyorum.

Sertifika Oluşturma

İlk adım olarak, SSL sertifikamızı oluşturmak için aşağıdaki komutu kullanıyoruz. cpynet.com alan adımızı kullanarak sertifikayı oluşturuyoruz:

kubectl create secret tls cpynet.com --key node.cpynet.com.key --cert node.cpynet.com.ca-bundle

Ingress Tanımı

Daha sonra ingress kaydımızda TLS yapılandırmasını ekliyoruz. Aşağıdaki gibi bir tanım oluşturmalıyız:

tls:
    - hosts:
      - node.cpynet.com
      secretName: cpynet.com

Örnek Ingress Kaydı

Örnek bir ingress kaydı aşağıdaki gibi olacaktır:

yaml

apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
  name: node
  namespace: default
spec:
  ingressClassName: kong
  tls:
    - hosts:
      - node.cpynet.com
      secretName: cpynet.com
  rules:
  - host: node.cpynet.com
    http:
      paths:
      - path: /api-testpipeline
        pathType: Prefix
        backend:
          service:
            name: node
            port:
              number: 80

Full Manifest Dosyası

Uygulamamız için gereken tam manifest dosyası aşağıdaki gibidir:

apiVersion: apps/v1
kind: Deployment
metadata:
  name: node
  namespace: default
  labels:
    app: node
spec:
  replicas: 2
  revisionHistoryLimit: 3
  selector:
    matchLabels:
      app: node
  template:
    metadata:
      labels:
        app: node
    spec:
      containers:
        - name: node
          image: nexus.cpynet.com:8083/node:3.3
          imagePullPolicy: Always
          resources:
            limits:
              memory: 6144Mi
            requests:
              memory: 2048Mi
          ports:
            - containerPort: 80
      imagePullSecrets:
        - name: paytrnexus
---
apiVersion: v1
kind: Service
metadata:
  name: node
  namespace: default
  labels:
    app: node
spec:
  ports:
    - port: 80
      targetPort: 80
      protocol: TCP
      name: http
    - port: 443
      targetPort: 443
      protocol: TCP
      name: https
  selector:
      app: node
---
apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
  name: node
  namespace: default
spec:
  ingressClassName: kong
  tls:
    - hosts:
      - node.cpynet.com
      secretName: cpynet.com
  rules:
  - host: node.cpynet.com
    http:
      paths:
      - path: /api-testpipeline
        pathType: Prefix
        backend:
          service:
            name: node
            port:
              number: 80

Kontrol Etme

Tüm işlemleri Kubernetes ortamına deploy ettikten sonra, erişiminizi kontrol edebilirsiniz. Bu şekilde, uygulamanıza güvenli bir şekilde SSL üzerinden erişim sağlayabilirsiniz.