Yerel HTTPS Geliştirme için Kendi SSL Sertifika Yetkilinizi Oluşturun

2018'de Google, SSL sertifikası kullanmayan siteleri Chrome tarayıcılarında "güvenli değil" olarak işaretleyerek sitelerin HTTPS şifrelemesini benimsemesini savunmaya başladı. Web trafiğini güvence altına almak hem site sahibini hem de müşterilerini koruduğu için bu, geniş çapta iyi bir fikir olarak kabul edildi.

Let's Encrypt ve API'si, herkesin sunucularında SSL sertifikaları oluşturmasını ve yüklemesini son derece kolaylaştırmış olsa da, geliştiricilere geliştirme ortamlarında HTTPS ile yardımcı olmak için çok az şey yapar. Geliştirme sitelerinize HTTPS üzerinden hizmet vermek için yerel bir SSL sertifikası oluşturmak zor bir iş olabilir. Kendinden imzalı bir sertifika oluşturmayı başarsanız bile, yine de tarayıcı gizlilik hatalarıyla karşılaşırsınız.

Bu makalede, HTTPS sitelerini yerel olarak sorunsuz bir şekilde çalıştırabilmeniz için yerel sunucularınız için kendi sertifika yetkilinizi (CA) oluşturmayı ele alacağız.

1. Neden Yerel Olarak HTTPS?
2. Nasıl çalışır
3. (Küçük) Sertifika Yetkilisi Olmak
4. Kök Sertifikanızı Yükleme
5. Geliştirme Siteleriniz için CA İmzalı Sertifikalar Oluşturma
6. Kabuk Komut Dosyası
7. alternatifler
8. Çözüm

Görsel olarak öğrenmeyi tercih ediyorsanız, video yapımcımız Thomas sizin için kendi yerel CA'nızı oluşturma adımlarını özetleyen bir video hazırladı.

Neden Yerel Olarak HTTPS?

Neden yerel olarak normal HTTP kullanmıyorsunuz? Çünkü üretim siteniz yalnızca HTTPS ise ve yerel olarak normal HTTP üzerinde geliştiriyorsanız, geliştirme ve üretim ortamlarınız olabilecekleri kadar benzer değildir.

Örneğin, bu site (ve SpinupWP) için geliştirme ortamım, Mac'imdeki bir VMware sanal makinesinde (VM) bir Ubuntu sunucusu olarak çalışıyor. Üretim sitesi, DigitalOcean üzerinde neredeyse aynı konfigürasyonla çalışan bir Ubuntu sunucusudur.

Geliştirme ortamınızın üretimi mümkün olduğunca yakından yansıtmasını kesinlikle istiyorsunuz. Olmadığında, geliştirmede görünmeyen üretimde ortaya çıkan daha fazla sorunu davet edersiniz. Üretim siteniz yalnızca HTTPS olduğunda HTTP çalıştırmak kesinlikle gereksiz bir risktir. Üretim ortamınızı mükemmel bir şekilde yansıtamadığınız bir durumda bile, HTTPS'yi yerel olarak çalıştırmak isteyeceksiniz veya tüm gün boyunca karışık içerikli SSL uyarılarıyla mücadele edeceksiniz.

SSL sertifikasının yapılandırılmamış olduğu HTTPS aracılığıyla yerel bir siteye göz atmayı denediyseniz, muhtemelen Chrome'da aşağıdaki mesajı görmüşsünüzdür:

Veya Firefox'ta aşağıdakiler:

Diğer tarayıcıların farklı mesajları vardır, ancak özü aynıdır.

Bunu aşmanın bir yolu, yerel WordPress geliştirme ortamınızı LocalWP, DevKinsta ve hatta kutudan çıktığı gibi yerel SSL çözümleri sunan Laravel Valet gibi bir şeye dönüştürmektir. Dezavantajı ise, bunun geliştirme iş akışınızı değiştirmek anlamına gelmesidir; zaten sahip olduklarınızla daha rahatsanız, özellikle de üretim ortamınıza zaten uyuyorsa ideal değildir.

Çevrimiçi olarak yerel bir SSL çözümü aramak, genellikle kendinden imzalı sertifikaların tavşan deliğinden aşağı inmenize neden olur. Bununla birlikte, yerel sunucunuzla çalışan kendinden imzalı bir SSL sertifikası almaya çalışmak, onu sizin yerinize işleyen bir araç kullanmıyorsanız, sizi yerel geliştirme ortamlarını değiştirme ihtiyacına geri getiren bir tür berbattır.

Yerel olarak kendinden imzalı sertifikalarla ilgili temel sorun, tarayıcınız tarafından da güvenilir olmaları gerektiğidir. Yalnızca yerel kendinden imzalı bir sertifika ayarlamak yeterli değildir. Sonunda aynı tarayıcı mesajıyla karşılaşıyorsunuz, ancak bu sefer ERR_CERT_AUTHORITY_INVALID ile. Bunun nedeni, tarayıcının bu sertifikanın geçerliliğini bir sertifika yetkilisiyle kontrol etmek istemesi ve bunu yapamamasıdır. Çözüm, kendi CA'nız olmaktır!

Nasıl çalışır

Verisign veya GoDaddy gibi bir CA'dan SSL sertifikası istemek için onlara bir Sertifika İmzalama İsteği (CSR) gönderirsiniz ve size kök sertifikalarını ve özel anahtarlarını kullanarak imzaladıkları karşılığında bir SSL sertifikası verirler. Tüm tarayıcılar, çeşitli CA'lardan alınan kök sertifikanın bir kopyasına (veya işletim sisteminden bir kopyaya erişime) sahiptir, böylece tarayıcı, sertifikanızın güvenilir bir CA tarafından imzalandığını doğrulayabilir.

Bu nedenle, kendinden imzalı bir sertifika oluşturduğunuzda tarayıcı buna güvenmez. Bir CA tarafından imzalanmadı. Bunu aşmanın yolu kendi kök sertifikamızı ve özel anahtarımızı oluşturmaktır. Daha sonra, sahip olduğumuz tüm cihazlara kök sertifikayı yalnızca bir kez ekleriz ve ardından oluşturduğumuz tüm kendinden imzalı sertifikalar doğal olarak güvenilir olacaktır.

(Küçük) Sertifika Yetkilisi Olmak

Sertifika yetkilisi olmak için gereken dosyaları oluşturmanın bu kadar kolay olması biraz saçma. Gerçekten sadece iki komut alır. Bunu macOS ve Linux'ta nasıl yapabileceğimize bakalım ve ardından Windows işletim sisteminde nasıl çalıştığına bakalım.

macOS Monterey ve Linux'ta Özel Anahtar ve Kök Sertifika Oluşturma

macOS ve Linux, Unix benzeri işletim sistemleri olduğundan, gerekli dosyaları oluşturma süreçleri aynıdır.

İkisi arasındaki tek gerçek fark, macOS'ta OpenSSL komut satırı uygulamasını yüklemeniz gerekebilecek olmasıdır. Bunu yapmak için, henüz sahip değilseniz, OpenSSL'yi kurmanıza izin verecek olan homebrew'i kurun.

 /bin/bash -c "$(curl -fsSL https://raw.githubusercontent.com/Homebrew/install/HEAD/install.sh)" brew install openssl

Linux dağıtımlarının çoğu OpenSSL kurulu olarak gelir. Değilse, varsayılan paket yöneticiniz aracılığıyla yüklenebilir.

Ardından, yerel sertifika dosyalarımızı saklamak için bir konum oluşturabiliriz. Bu bir gereklilik değildir, ancak daha sonra anahtarları bulmayı kolaylaştırır.

 mkdir ~/certs cd ~/certs

Bu kurulumla, yerel bir CA olmak için özel anahtarı oluşturmaya hazırız:

 openssl genrsa -des3 -out myCA.key 2048

OpenSSL, atlamamanızı ve güvende tutmanızı önerdiğimiz bir parola isteyecektir. Parola, özel anahtarınızı alan herkesin kendi kök sertifikasını oluşturmasını engeller. Çıktı şöyle görünmelidir:

 Generating RSA private key, 2048 bit long modulus .................................................................+++ .....................................+++ e is 65537 (0x10001) Enter pass phrase for myCA.key: Verifying - Enter pass phrase for myCA.key:

Ardından, bir kök sertifika oluşturuyoruz:

 openssl req -x509 -new -nodes -key myCA.key -sha256 -days 1825 -out myCA.pem

Seçtiğiniz özel anahtarın parolası ve bir sürü soru sorulacak. Bu soruların cevapları o kadar da önemli değil. Neredeyse asla yapmayacağınız sertifikaya bakarken ortaya çıkıyorlar. Ortak Adı, diğer sertifikalar listesinde kök sertifikanız olarak tanıyacağınız bir şey yapmanızı öneririm. Gerçekten önemli olan tek şey bu.

 Enter pass phrase for myCA.key: You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----- Country Name (2 letter code) [AU]:US State or Province Name (full name) [Some-State]: Springfield State Locality Name (eg, city) []:Springfield Organization Name (eg, company) [Internet Widgits Pty Ltd]:Hellfish Media Organizational Unit Name (eg, section) []:7G Common Name (eg server FQDN or YOUR name) []:Hellfish Media Email Address []:[email protected]

Artık iki dosyanız olmalıdır: myCA.key (özel anahtarınız) ve myCA.pem (kök sertifikanız).

🎉 Tebrikler, artık bir CA'sınız. Bir çeşit.

Windows'ta Özel Anahtar ve Kök Sertifika Oluşturma

Windows'ta, ortamınızı openssl komutlarını çalıştıracak şekilde yapılandırmanız da mümkündür. Sadece bazı ek araçlara ihtiyacınız var.

Linux için Windows Alt Sistemini (WSL) çalıştırıyorsanız, sanki Linux çalıştırıyormuşsunuz gibi olur ve komutlar tamamen aynı şekilde çalışır. Windows'u WampServer veya XAMPP gibi bir şeyle kullanıyorsanız, Windows'ta OpenSSL komut satırı yardımcı programını kurmanın bir yoluna ihtiyacınız olacak. Bunu yapmanın en basit yolu, OpenSSL ve Git Bash yardımcı programı ile birlikte gelen Windows için Git'i yüklemektir.

Git Bash penceresini açtığınızda, küçük bir farkla, macOS veya Linux ile aynı komutları çalıştırabilirsiniz. Bazı konsol uygulamalarının (özellikle OpenSSL) Git Bash'te nasıl çalıştığından dolayı, winpty yardımcı programını kullanarak tüm openssl komutlarını öneklemeniz gerekir.

Örneğin, aşağıdaki komut Git Bash'te yerel bir CA olmak için özel anahtarın nasıl oluşturulacağıdır:

 winpty openssl genrsa -des3 -out myCA.key 2048

Diğer küçük farklar Git Bash'deki dosya yollarıdır. Git Bash örneğini açtığınızda, terminaldeki ana dizin, Windows'taki Kullanıcı dizininize eşlenir, ancak Linux benzeri bir dizin yapısıyla. Dolayısıyla, Kullanıcı dizininiz Windows'ta c:\Users\Hellfish , Git Bash ana dizininiz c/Users/Hellfish .

Kök Sertifikanızı Yükleme

Gerçek bir CA olmak için dünyadaki tüm cihazlarda kök sertifikanızı almanız gerekir.

Ancak gerçek bir CA olmamıza gerek yok. Sahip olduğunuz cihazlar için CA olmamız yeterlidir. HTTPS sitelerinize erişen tüm dizüstü bilgisayarlara, masaüstü bilgisayarlara, tabletlere ve telefonlara kök sertifika eklememiz gerekiyor. Bu biraz acı verici olabilir, ancak iyi haber şu ki, bunu yalnızca bir kez yapmamız gerekiyor. Kök sertifikamız süresi dolana kadar iyi olacak.

Kök Sertifikayı macOS Monterey Anahtar Zincirine Ekleme

CLI aracılığıyla

 sudo security add-trusted-cert -d -r trustRoot -k "/Library/Keychains/System.keychain" myCA.pem

macOS Anahtarlık Uygulaması aracılığıyla

1. macOS Anahtarlık uygulamasını açın
2. Gerekirse, Sistem Anahtar Zincirini seçtiğinizden emin olun (eski macOS sürümleri varsayılan olarak bu anahtarlığa sahiptir)
3. Dosya > Öğeleri İçe Aktar… seçeneğine gidin.
4. Özel anahtar dosyanızı seçin (yani myCA.pem )
5. Yukarıdaki "Ortak Ad" adı olarak yanıtladığınız her şeyi arayın
   
6. Listedeki kök sertifikanıza çift tıklayın
7. Güven bölümünü genişletin
8. “Bu sertifikayı kullanırken:” seçim kutusunu Daima Güven olarak değiştirin
   
9. Sertifika penceresini kapat
10. İşlem sırasında sizden şifrenizi girmenizi (veya parmağınızı taramanızı) isteyebilir, bunu yapın.
11. 🎉 Kutlayın!

Kök Sertifikayı Linux'a Ekleme

Pek çok Linux dağıtımı var, ancak Ubuntu açık ara en popüler olanı ve SpinupWP'yi oluştururken kullandığımız şeydi. Bu nedenle bu talimatlar Ubuntu'yu kapsayacaktır.

1. Henüz kurulu değilse, ca-certificates paketini kurun.
   sudo apt-get install -y ca-certificates
2. myCA.pem dosyasını /usr/local/share/ca-certificates dizinine myCA.crt dosyası olarak kopyalayın.
   sudo cp ~/certs/myCA.pem /usr/local/share/ca-certificates/myCA.crt
3. Sertifika deposunu güncelleyin.
   sudo update-ca-certificates

Aşağıdaki komutu çalıştırarak sertifikanın yüklendiğini test edebilirsiniz:

 awk -v cmd='openssl x509 -noout -subject' '/BEGIN/{close(cmd)};{print | cmd}' < /etc/ssl/certs/ca-certificates.crt | grep Hellfish

Doğru kurulmuşsa, kök sertifikanın ayrıntılarını göreceksiniz.

konu=C = ABD, ST = Springfield Eyaleti, L = Springfield, O = Hellfish Media, OU = 7G, CN = Hellfish Media, emailAddress = [email protected]

Windows 10'a Kök Sertifika Ekleme

1. Windows + R klavye kombinasyonunu kullanarak, mmc yazıp Aç'ı tıklayarak “Microsoft Yönetim Konsolu”nu açın .
2. Dosya > Ek Bileşen Ekle/Kaldır'a gidin
3. Sertifikalar ve Ekle'ye tıklayın
4. Bilgisayar Hesabı'nı seçin ve İleri'ye tıklayın
5. Yerel Bilgisayar'ı seçin ve ardından Bitir'e tıklayın.
6. MMC penceresine geri dönmek için Tamam'ı tıklayın.
7. Görünümü genişletmek için Sertifikalar'a (yerel bilgisayar) çift tıklayın.
8. Güvenilir Kök Sertifika Yetkilileri'ni seçin, "Nesne Türü" altındaki orta sütundaki Sertifikalar'a sağ tıklayın ve Tüm Görevler'i ve ardından İçe Aktar'ı seçin.
9. İleri'yi ve ardından Gözat'ı tıklayın. Dosya adı alanının yanındaki açılır sertifika uzantısını Tüm Dosyalar (*.*) olarak değiştirin ve myCA.pem dosyasını bulun, Aç'ı ve ardından İleri'yi tıklayın.
10. Tüm sertifikaları aşağıdaki depoya yerleştir'i seçin. "Güvenilen Kök Sertifika Yetkilileri deposu" varsayılandır. Sihirbazı tamamlamak için İleri'ye ve ardından Bitir'e tıklayın.

Her şey plana göre gittiyse, CA sertifikanızın Güvenilir Kök Sertifika Yetkilileri > Sertifikalar altında listelendiğini görmelisiniz.

Kök Sertifikayı iOS 14'e Ekleme

Mobil cihazlarda yerel geliştirme sitelerinize göz atmak için ngrok gibi bir şey kullanıyorsanız, bu cihazlara kök sertifika eklemeniz gerekebilir. iOS cihazlarda, aşağıdaki adımları izleyerek bunu oldukça kolay bir şekilde yapabilirsiniz:

1. Kök sertifikayı kendinize e-postayla gönderin, böylece ona iOS cihazınızdan erişebilirsiniz. E-postaya erişmek için varsayılan Posta uygulamasını kullandığınızdan emin olun.
2. iOS cihazınızda e-postadaki eke dokunun. Ayarlar uygulamasında profili gözden geçirmenizi isteyecektir.
3. Ayarlar uygulamasını açın ve üst kısımdaki İndirilen Profil'e tıklayın.
4. Sağ üstteki Kur'a ve ardından Uyarı ekranında tekrar Kur'a tıklayın.
5. Kurulduktan sonra Kapat'a basın ve ana Ayarlar sayfasına geri dönün.
6. Genel > Hakkında'ya gidin.
7. Aşağıya kaydırın ve Sertifika Güven Ayarları'na tıklayın.
8. Kök sertifikanızı "KÖK SERTİFİKALAR İÇİN TAM GÜVENİ ETKİNLEŞTİR" altında etkinleştirin.

Geliştirme Siteleriniz için CA İmzalı Sertifikalar Oluşturma

Artık tüm cihazlarımızda bir CA'yız ve HTTPS'ye ihtiyaç duyan tüm yeni geliştirme siteleri için sertifika imzalayabiliriz. İlk olarak, geliştirme sitesi için özel bir anahtar oluşturuyoruz. Özel anahtarı, geliştirme sitesinin alan adı URL'sini kullanarak adlandırdığımızı unutmayın. Bu gerekli değildir, ancak birden fazla siteniz varsa yönetimi kolaylaştırır:

 openssl genrsa -out hellfish.test.key 2048

Ardından bir CSR oluşturuyoruz:

 openssl req -new -key hellfish.test.key -out hellfish.test.csr

Yukarıda yaptığınız soruların aynısını alacaksınız ve yine cevaplarınızın bir önemi yok. Aslında, daha az önemliler çünkü bu sertifikaya diğerlerinin yanında bir listede bakmayacaksınız.

 You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----- Country Name (2 letter code) [AU]:US State or Province Name (full name) [Some-State]:Springfield State Locality Name (eg, city) []:Springfield Organization Name (eg, company) [Internet Widgits Pty Ltd]:Hellfish Media Organizational Unit Name (eg, section) []:7G Common Name (eg server FQDN or YOUR name) []:Hellfish Media Email Address []:[email protected] Please enter the following 'extra' attributes to be sent with your certificate request A challenge password []: An optional company name []:

Son olarak, sertifika için Konu Alternatif Adını (SAN) tanımlamak için kullanılan bir X509 V3 sertifika uzantısı yapılandırma dosyası oluşturacağız. Bizim durumumuzda, aşağıdaki metni içeren hellfish.test.ext adlı bir yapılandırma dosyası oluşturacağız:

 authorityKeyIdentifier=keyid,issuer basicConstraints=CA:FALSE keyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment subjectAltName = @alt_names [alt_names] DNS.1 = hellfish.test

openssl x509 çalıştıracağız çünkü x509 komutu sertifika güven ayarlarını düzenlememize izin veriyor. Bu durumda, bunu, Konu Alternatif Adını belirlememize izin veren yapılandırma dosyasıyla bağlantılı olarak sertifikayı imzalamak için kullanıyoruz. Başlangıçta bu cevabı Stack Overflow'ta buldum.

Şimdi sertifikayı oluşturmak için komutu çalıştırıyoruz: CSR'mizi, CA özel anahtarını, CA sertifikasını ve yapılandırma dosyasını kullanarak:

 openssl x509 -req -in hellfish.test.csr -CA myCA.pem -CAkey myCA.key \ -CAcreateserial -out hellfish.test.crt -days 825 -sha256 -extfile hellfish.test.ext

Artık üç dosyamız var: hellfish.test.key (özel anahtar), hellfish.test.csr (sertifika imzalama isteği veya csr dosyası) ve hellfish.test.crt (imzalı sertifika). Yerel web sunucularını özel anahtar ve imzalı sertifika ile HTTPS kullanacak şekilde yapılandırabiliriz.

MAMP Pro kullanıyorsanız, sürüm 6.0 yerleşik SSL desteği sunar. Seçtiğiniz web sunucusunun altındaki SSL kutusunu işaretleyerek etkinleştirebilirsiniz.

Yeni oluşturduğumuz yerel olarak imzalanmış sertifikayı kullanmayı tercih ederseniz, bunu “Uzman” görünümünü etkinleştirerek, SSL sekmesine tıklayarak ve “Sertifika” ve “Sertifika anahtarı” (özel anahtar) dosyalarınızı seçerek yapabilirsiniz. .

Nginx kullanan bir Linux veya Windows ortamı çalıştırıyorsanız, WordPress'i Ubuntu 20.04'e Kurma serimizdeki talimatları kullanabilirsiniz.

Linux veya Windows üzerinde Apache kullanıyorsanız, Apache SSL modunu etkinleştirmeniz ve yerel site için 443 numaralı bağlantı noktası için bir Apache sanal ana bilgisayarı yapılandırmanız gerekir. SSLEngine , SSLCertificateFile ve SSLCertificateKeyFile yönergelerini eklemenizi ve son ikisini az önce oluşturduğunuz sertifika ve anahtar dosyasına yönlendirmenizi gerektirir.

 <VirtualHost *:443> ServerName hellfish.test DocumentRoot /var/www/hellfish-test SSLEngine on SSLCertificateFile /path/to/certs/hellfish.test.crt SSLCertificateKeyFile /path/to/certs/hellfish.test.key </VirtualHost>

WordPress, IIS sistemlerinde yapılandırılması en kolay yöntem olmadığı için, bunun IIS kullanılarak Windows'ta nasıl yapılacağına ilişkin talimatlarımız yok.

Her site için yeni bir CA oluşturmamız gerekmez. Diğer geliştirme siteleri için sertifika oluşturmanın bu son bölümünü tekrarlayabiliriz.

Kabuk Komut Dosyası

İşleri daha da hızlandırmak için burada kendi amaçlarınız için değiştirebileceğiniz kullanışlı bir kabuk betiği var. Git Bash aracılığıyla macOS, Linux veya Windows üzerinde çalışmalıdır:

 #!/bin/sh if [ "$#" -ne 1 ] then echo "Usage: Must supply a domain" exit 1 fi DOMAIN=$1 cd ~/certs openssl genrsa -out $DOMAIN.key 2048 openssl req -new -key $DOMAIN.key -out $DOMAIN.csr cat > $DOMAIN.ext << EOF authorityKeyIdentifier=keyid,issuer basicConstraints=CA:FALSE keyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment subjectAltName = @alt_names [alt_names] DNS.1 = $DOMAIN EOF openssl x509 -req -in $DOMAIN.csr -CA ../myCA.pem -CAkey ../myCA.key -CAcreateserial \ -out $DOMAIN.crt -days 825 -sha256 -extfile $DOMAIN.ext

alternatifler

Yerel olarak güvenilir SSL sertifikaları oluşturmaya bakmanın bir alternatifi mkcert'tir (yorumlarda bunu işaret eden arkadaşlara teşekkürler). Aracı yüklemek için mkcert'in benioku dosyasında listelenen çeşitli paket yöneticilerinden birini kullanmakta bir sakınca yoksa, yerel olarak güvenilir SSL sertifikaları oluşturmak için sağlam bir alternatiftir. Dezavantajı ise yerel makinenize yalnızca sizin için kök CA sertifikasını yüklemesi ve yerel olarak imzalanmış SSL sertifikaları oluşturmasıdır, yine de her yerel site için sertifikaları manuel olarak yapılandırmanız gerekir.

Çözüm

İşte orada, yerel SSL sertifikalarınızı imzalamak ve yerel sitelerinizde HTTPS kullanmak için kendi yerel sertifika yetkiliniz nasıl olunur. Umarım bu, yerel kalkınma web sitelerinizde sizin için korkunç “Bağlantınız özel değil” mesajını ortadan kaldıracaktır.

Kendi CA'nızı kurmayı denediniz mi? HTTPS ile yerel olarak mı çalışıyorsunuz? Aşağıdaki yorumlarda bana bildirin.