Microsoft IIS (Internet Information Server) içerisinde yüklü olan SSL sertifikaları AWS Certificate Manager, NGNIX, Apache, vs Web sunucularında çalıştırılması gerektiğinde IIS konsolundan SSL Sertifikasını export edip kullanabilirsiniz. IIS konsolundan export edilen sertifikalar PFX (Personal Exchange Format) tipindedir. PFX formatındaki SSL sertifikaların AWS Certificate Manager, NGNIX, Apache Web, vs. sunucularında çalıştırabilmek için yöntemlerden bir tanesi de OpenSSL uygulaması ile PFX sertifikanın Public Cetificate, Private Key ve Cerificate Chain şeklinde parçalara ayrılmasıdır. Bu yazıda IIS konsolundan export ettiğimiz PFX uzantılı sertifikayı AWS Certificate Manager konsoluna aktarmayı anlatacağım. Aynı zamanda OpenSSL ile dönüştürdüğümüz sertifikayı NGNIX, Apache, vs Web sunucularında da kullanabilirsiniz.
OpenSSL Uygulamasının Kurulumu:
OpenSSL uygulamasını https://slproweb.com/products/Win32OpenSSL.html sitesinden indirerek uygun versiyonun kurulumunun yapılması gereklidir. (Resim-1)
Resim-1
Uygulama “C:\Program Files\OpenSSL-Win64\bin” klasörüne kurulur. OpenSSL bir konsol uygulamasıdır ve command line (CMD) altından gerekli parametreler verilerek çalıştırılır. Yazının ilerleyen kısımlarında daha detaylı olarak inceleyeceğiz.
IIS (Internet Information Services) Manager Konsolundan SSL Sertifika Export:
Internet Information Services (IIS) Manager konsolu Başlat menüsünde inetmgr yazılarak açılabilir. Konsol açıldıktan sonra Sunucu ismine tıklanıp sağ taraftan Server Certificaties seçilir
Resim-2
Açılan ekranda Export etmek istediğimiz sertifikanın üzerinde sağ tuş tıklanıp çıkan menüden Export… seçeneği seçilir (Resim-3).
Resim-3
Çıkan ekranda Export edilecek sertifikanın konumu ve ismi seçilir. Ayrıca Sertifika için parola belirlenerek işlem tamamlanır. Burada belirlenen parola daha sonra OpenSLL uygulamasında işlem yapılırken kullanılacak paroladır. (Resim-4)
Resim-4
AWS Certificate Manager Konsolu
https://aws.amazon.com/tr/ adresinden konsolda oturum açılır. Servis arama ekranına Certificate Manager yazılarak AWS Certificate Manager konsolu açılır. (Resim-5)
Resim-5
AWS Certificate Manager konsolundaki Import a certificate butonu tıklanır. (Resim-6)
Resim-6
Açılan ekranda Certificate body, Certificate private key ve Certificate chain alanlarını IIS konsolundan export ettiğimiz PFX sertifikasını OpenSSL uygulamasını kullanarak Public Cetificate, Private Key ve Cerificate Chain şeklinde parçalara ayırmamız gerekiyor.
Windows CMD konsolunu açarak C:\Program Files\OpenSSL-Win64\bin klasörü altındaki OPENSSL uygulamasının olduğu klasöre geçiyoruz.
CD C:\Program Files\OpenSSL-Win64\bin
Certificate body: OpenSSL uygulamasına aşağıdaki parametreleri vererek Certificate body bölümüne yapıştıracağımız PEM–encoded (Privacy Enhanced Mail) Public Key bilgilerini c:\Cert\CertificateBody.pem dosyasına aktarılmasını sağlıyoruz.
openssl pkcs12 -in c:\Cert\cer.pfx -clcerts -nokeys -out c:\Cert\CertificateBody.pem
Uygulama çalıştırıldıktan sonra “Enter Import Password:” şeklinde IIS’ten export ederken verdiğimiz şifeyi isteyecektir. Şifre girildikten sonra oluşturulan CertificateBody.pem dosyasını text editor ile açıp Resim-7 deki gibi
Resim-7
“—–BEGIN CERTIFICATE—–” ve “—–END CERTIFICATE—–” dahil kopyalayıp Certificate body alanına yapıştırıyoruz.
Certificate private key: X.509 SSL sertifikası Genel anahtar (Public Key) ve ilişkili Özel anahtar (Private Key) ikilisinden oluşur. Özel anahtar (Private Key) bilgilerini gizli tutmalısınız. OpenSSL uygulamasına aşağıdaki parametreleri vererek Certificate body bölümüne yapıştıracağımız Private Key bilgilerini c:\Cert\key.pem dosyasına vereceğimiz şifre ile aktarılmasını sağlıyoruz.
openssl pkcs12 -in c:\Cert\cer.pfx -nocerts -out c:\Cert\key.pem
Uygulama çalıştırıldıktan sonra “Enter Import Password:” şeklinde IIS’ten export ederken verdiğimiz şifeyi isteyecektir. Sonrasında oluşacak Key için bir şifre bekelirlenmesini “Enter PEM pass phrase:” ve şifrenin ikinci kez “Verifying – Enter PEM pass phrase:” doğrulanmasını isteyerek. key.pem dosyasına şifreli olarak Private Key bilgilerini yazacaktır.
Sonrasında Private Key dosyasındaki şifreyi kaldırmak ve RSA formatında Private Key elde etmek için aşağıdaki şekilde OpenSSL uygulamasını tekrar çalıştırmak gerekiyor.
openssl rsa -in c:\Cert\key.pem -out c:\Cert\CertificatePrivateKey.key
Uygulama çalıştırıldıktan sonra “Enter pass phrase for c:\Cert\key.pem:” şeklinde bir önceki adımda verdiğiniz şifreyi isteyecektir. Şifre girildikten sonra oluşturulan CertificatePrivateKey.key dosyasını text editör ile açıp Resim-8 deki gibi “—–BEGIN RSA PRIVATE KEY—–” ve “—–END RSA PRIVATE KEY—–” dahil kopyalayıp Certificate private key alanına yapıştırıyoruz.
Resim-8
Certificate chain: OpenSSL uygulamasına aşağıdaki parametreleri vererek Certificate chain bölümüne yapıştıracağımız Chain Certificate bilgilerini CertificateChain.pem dosyasına aktarılmasını sağlıyoruz.
openssl pkcs12 -in c:\Cert\cer.pfx -cacerts -chain -nokeys -out c:\Cert\CertificateChain.pem
Uygulama çalıştırıldıktan sonra “Enter Import Password:” şeklinde IIS’ten export ederken verdiğimiz şifreyi isteyecektir. Şifre girildikten sonra oluşturulan CertificateChain.pem dosyasını text editor ile açıp Resim-9 daki gibi
Resim-9
“—–BEGIN CERTIFICATE—–” ve “—–END CERTIFICATE—–” alanları arasında kalan bölgeler haricindeki kısımları silerek Resim-10 daki hale getirdikten sonra kopyalayıp Certificate chain alanına yapıştırıyoruz.
Resim-10
Sonuçta Resim-11 deki şekilde sertifika import ekranını doldurmuş olduk. Review and Import butonuna basarak yüklediğimiz sertifikanın kontrolünü sağlatıyoruz.
Resim-11
Son olarak her şey doğru olarak yüklendi ise Resim-12 deki şekilde Private Key’in Sertifika Manager konsolundan download edilemeyeceği. Pirivete Key’in yedeğinin alınması ile ilgili bir uyarı mesajı alıyoruz. Import butonuna basarak işlemi sonuçlandırıyoruz.
Resim-12
Resim-13
AWS Sertifika Manager konsoluna sertifikamızı import ettik. Resim-13 deki şekilde konsol üzerinde sertifikamızın bilgilerini artık görebiliyoruz. Artık yüklediğimiz sertifikayı Elastic Load Balancer, Cloud Formation, API Gateway gibi servislerde SSL sertifikasını kullanabiliriz. Bu konu ile ilgili olarak Emre YILMAZ Hocanın IIS Redirect HTTP to HTTPS ve Windows Server 2019 IIS Central Certificate Store makalelerini Emre KEP Hocanın Let’s Encrypt Kullanarak Web Siteleriniz İçin Ücretsiz SSL Sertifikası Oluşturun makalelerini de incelemenizi tavsiye ederim. MsHowto portalında her konuda deneyimli kaliteli içerikler üreten yazarlardan birçok makale bulabilirsiniz.
Bu konuyla ilgili sorularınızı alt kısımda bulunan yorumlar alanını kullanarak sorabilirsiniz.
Referanslar
www.mshowto.org, https://aws.amazon.com/tr/certificate-manager/, https://www.openssl.org/
TAGs: AWS Certificate Manager, ACM, SSL/TLS sertifikası import, IIS SSL sertifika export, OpenSSL ile PFX sertifikayı PEM olarak değiştirmek, PFX to PEM convert, IIS Server Certificates Export, Move a SSL certificate from Microsoft IIS to AWS Certificate Manager ACM
