Skip to Content

4.3.13. Sertifikaları kullanma

<< Prev   Next >>

4.3.13.1. Genel bilgiler

Kamuya açık iletişim kanalları (İnternet) üzerinden bilgi gönderirken bu bilgilerin dinlemeye ve sahteciliğe karşı korunması özellikle önemlidir. Bu bölümde 1C:Enterprise tabanlı bir sistemde güvenli bağlantı kurma konusu ele alınmaktadır.

Güvenli bir bağlantı kurma genel prosedürünü inceleyelim. Genel prosedür, ortak anahtarları bir sertifika yetkilisi aracılığıyla ilgili kullanıcı kimlikleriyle ilişkilendiren Ortak Anahtar Altyapısına (PKI) dayanır.

Basit bir örnekle PKI'nın nasıl çalıştığını ele alalım. Verdiği sertifikaların geçerliliğini kontrol etmek için herkesin sertifika verenle iletişime geçebileceğini varsayalım.

Polis Memurunun bir Yabancı ile karşılaştığını ve bu kişinin gerçekten Yabancı olduğunu doğrulamak istediğini varsayalım. Polis Memuru, kimliğini doğrulamak için Yabancıdan kimliğini göstermesini ister. Yabancı, kimliğini göstermeden önce karşısındaki kişinin gerçekten Polis Memuru olduğundan emin olmak ister. Polis Memurundan rozetini göstermesini ister, karşısındaki kişinin Polise Memuru olduğunu doğrulamak için Emniyet Müdürlüğünü arayarak rozet sayısını kontrol etmelerini talep eder. Doğrulamanın ardından Yabancı, kimliğini Polis Memuruna gösterir. Kimliğin benzersiz bir sayısı vardır ve ayrıca Belge Bakanlığı tarafından verildiği yazmaktadır. Polis Memuru, Belge Bakanlığı ile iletişime geçerek karşısındaki kişinin Yabancı olduğunu doğrulamak için Kimlik numarasını kontrol etmelerini ister.

Fakat Yabancı başka bir ülkeye gittiğinde yukarıdaki kimlik doğrulama algoritması çalışmayacaktır, çünkü başka bir ülkedeki Polis Memuru, Belge Bakanlığı hakkında hiçbir şey bilmemektedir. Dolayısıyla Yabancı, kimliğini doğrulamak için başka bir yöntem bulunana dek gözaltına alınacaktır.

Şimdi de bunları PKI nesneleri ve ağ altyapısı terimlerine çevirelim. 1C:Enterprise istemci uygulaması bir Yabancı olarak hareket eder. İstemci uygulama tarafından Infobase'e erişmek için kullanılan web sunucusu, Polis Memuru olarak davranır. Belge Bakanlığı ve Emniyet Müdürlüğü, Sertifika yetkilileridir. HTTPS bağlantılarını kurmak için kullanılan Sertifikalar, Yabancının kimliği ve Polis Memurunun rozetiyle aynı işlevi görür.

Şimdi doğru terimlerle prosedürü bir kez daha gözden geçirelim. Bir istemci uygulama web sunucusuna bağlanmaya çalıştığında, istemci uygulama sunucu sertifikasını doğrular. Web sunucusu sertifikasında belirtilen sertifika yetkilisi, istemci uygulamanın bulunduğu bilgisayardaki kök sertifika yetkilileri listesindeyse sertifika yetkilisi aracılığıyla doğrulama gerçekleştirilir. Doğrulama başarılı olursa istemci uygulama istemci sertifikasını doğrulama için web sunucusuna iletir. Sunucu, kök sertifika yetkilileri listesini kullanarak sertifikayı doğrular. Doğrulama başarılı olursa istemci uygulama ve web sunucusu güvenli bir HTTPS bağlantısı kurar. Ardından, istemci uygulama sunucuya gönderilen verileri şifreler ve sunucudan alınan verilerin şifresini sunucunun ortak anahtarını kullanarak çözerken, sunucu da kendi özel anahtarını kullanarak verileri şifreler ve şifrelerini çözer. İstemci uygulama ve web sunucusu, diğer tarafça bilinmeyen farklı özel anahtarlar kullanır.

Bu, güvenli bir bağlantı kurmanın genel bir tanımıdır. Sonraki bölümde daha ayrıntılı bir tanım yer almaktadır.

4.3.13.2. Güvenli bağlantı kurma yöntemleri

Güvenli bir bağlantı, ince istemci veya web istemcisi ile Infobase'e erişmek için kullanılan web sunucusu arasında kurulabilir. İstemci veya sunucudaki sertifika kullanılabilirliğine bağlı olarak güvenli bir bağlantı kurmak için birkaç yöntem kullanılabilir. Bu yöntemler aşağıda tanımlanmıştır. Tüm HTTPS bağlantılarının şifrelendiğini unutmayın.

Sunucu

İstemci

Tanım

Sertifika+

Kök-

Sertifika-

Kök-

Sunucu ve istemci sertifikaları doğrulanmaz.

Bu mod yalnızca 8.3.3'den önceki sürümlerde kullanılabilir.

Sertifika+

Kök-

Sertifika-

Kök+

Sunucu sertifikası doğrulanır. İstemci sertifikası doğrulanmaz.

Sertifika+

Kök+

Sertifika-

Kök-

veya

Sertifika-

Kök+

Desteklenmiyor.

Sertifika+

Kök+

Sertifika+

Kök-

Sunucu sertifikası doğrulanmaz. İstemci sertifikası doğrulanır.

Sertifika+

Kök+

Sertifika+

Kök+

Hem istemci hem de sunucu sertifikası doğrulanır.

Tabloda kullanılan terimler:

  • Sertifika. Sertifikanın kullanılabilir (Sertifika+) veya kullanılamaz (Sertifika-) olduğunu gösterir.
    • Sunucu için sunucu sertifikası
    • İstemci için istemci sertifikası
  • Kök. Sunulan sertifikayı doğrulamak için bir sertifika yetkilisi (CA) listesinin kullanılabilir (Kök+) veya kullanılamaz (Kök-) olduğunu gösterir. CA listesi, istemci uygulama veya web sunucusu tarafından sunulan sertifikaların doğrulanmasına izin vermelidir.

Bir web istemcisi kullanırken, bir sertifikanın veya kök sertifika listesinin kullanılabilirliği, web tarayıcısı tarafından kullanılan sertifika deposunda yüklü sertifikalar tarafından belirlenir.

İnce istemci için sertifika (ve kök sertifika listesi) başlatma komut satırı parametreleri veya Infobase başlatma parametreleri kullanılarak belirtilebilir (bkz. sayfa 5.2.3. Infobase başlatma parametreleri).

4.3.13.3. Sertifika kaynakları ve formatları

Aşağıdaki depolar sertifika kaynakları olarak kullanılabilir:

  • macOS ve Windows için sistem sertifika deposu.
  • Linux'ta sertifika deposu, /etc/ssl/certs dizininde yer alır. Bu dizinde yer alan tüm sertifikalar güvenilir olarak kabul edilir.

    Bazı Linux dağıtım paketleri kök sertifika depoları için aşağıdaki dizinleri de destekler:

    • Debian, Mint, Ubuntu::/etc/ssl/certs/ca-certificates.crt.
    • CentOS, Fedora, RedHat:/etc/ssl/certs/ca-bundle.trusted.crt veya /etc/pki/tls/certs/ca-bundle.crt.
    • Alt Linux:/etc/share/ca-certificates/ca-bundle.crt.
  • Dosya sertifikalar Linux, macOS ve Windows içindir.

Aşağıdaki dosya sertifika formatları desteklenmektedir:

  • PEM (64 tabanlı kodlamalı X.509). X.509 standardı altında metin biçiminde şifrelenmiş anahtarlar ve sertifikalar. Sertifika ve anahtar verileri 64 tabanlı kodlama kullanılarak kodlanır. Özel sertifika anahtarları parolayla korunur. Bu sertifika dosyası biçimi, diğerlerinin yanı sıra Apache web sunucusu tarafından varsayılan olarak kullanılır. İstemci sertifikasının özel anahtarı ayrı bir dosyada saklanıyorsa bu dosyanın içeriği istemci sertifika dosyasına eklenmelidir.
  • P12/PFX (PKCS#12). PKCS#12 standardı altında şifreli anahtarlar ve sertifikalar. Dosya bir parolayla korunabilir. Bu, Windows'ta sistem sertifika depolarını dışa ve içe aktarmak için kullanılan birincil formattır. Örneğin, Microsoft Internet Information Services web sunucusu tarafından kullanılır. İstemci sertifika dosyası özel anahtarını içermelidir.

Dosya uzantısı, dosyanın formatını belirler:

  • *.p12, *.pfx: P12 dosya formatı.
  • *.pem: PEM dosya formatı.
  • Varsayılan dosya formatı PEM'dir.

<< Prev   Next >>

Icon/Social/001 Icon/Social/006 Icon/Social/005 Icon/Social/004 Icon/Social/002