«

»

Mar 22 2012

Internet Information Services (IIS 7.0) Üzerinde SSL Sertifika İşlemleri

Yeni bir makale tekrar merhaba.. Bu makalemizde, Micrsoft?un sunucu Platformu Windows Server 2008 R2 işletim sistemi üzerinde bulunan IIS (Internet Information Services  7.0) üzerinde SSL  Sertifikası kurulumu hakkında bilgi sahibi olacağız.  IIS 7.0 üzerinde  SSL sertifikası kurulumu aşamalarına  geçmeden önce Internet Information Services (IIS 7.0) hakkında kısaca bilgi sahibi olalım.

Internet Information Services (IIS 7.0), Microsoft?un yeni nesil web sunucusu hizmetidir.  Internet Information Services , Web siteleri ve Web uygulamaları çalıştırmak  için kullanılan bir servistir. IIS , Microsoft?un Windows işletim sistemleri üzerinde çalışmaktadır. IIS, network üzerindeki client bilgisayarlardan gelen  HTTP , HTTPS, gibi protokoller üzerinden gelen isteklere yanıt vermektedir.

IIS  7 , ASP.NET ve Windows Communication Foundation ile entegreli bir şekilde çalışmaktadır. IIS  ilk olarak 1.0 sürümü ile piyasaya sürüldü ve Windows NT 3.51 işletim sistemi  ve daha sonrası işletim sistemleri ile çalışan bilgisayarlarda kullanılmaya başlandı.  Internet Information Services (IIS), Windows Vista ve Microsoft?un sunucu işletim sistemi olan Windows Server 2008 ile beraber yeniden tasarlandı.

IIS 7 ile beraber, dışarıdan gelebilecek saldırılar da minimum seviyeye indirilmiş ve  beraberinde getirdiği yeni modüler tasarım araçları sayesinde de yüksek performans artışı  sağlanmış oldu. IIS 7.0 içerisinde, yeni bir Windows tabanlı yönetim uygulaması, ve komut satırı üzerinden yönetim yapılmasını sağlayan araçlar bulunmaktadır.  Ayrıca IIS 7.0, ASP NET platformu  için hiyerarşik bir yapı sunmaktadır.

IIS 7.5 sürümünde, WebDAV,  ve FTP modüllerinin yanısıra, gelişmiş komut satırı yönetim araçları (PoweShell) , Best Practices Analyzer aracı gibi bir çok uygulama bulunmakta.

IIS SÜRÜMLERİ

Aşağıdaki şekil üzerinde de görüldüğü gibi,  Internet Information Services (IIS) servisi, IIS 1.0 sürümü ile Windows NT 3.51 işletim sistemi üzerinde  kullanılmaya başlanmış ve Microsoft?un sunucu ve client işletim sistemleri olan Windows Server 2008 R2 ve Windows 7 işletim sistemleri IIS 7.5 versiyonu ile yeniden tasarlanmıştır.

04

IIS 7.5 ÖZELLİKLERİ

Windows Server 2008 R2 işletim sistemi içerisindeki Web Sunucusu Rolü (IIS) , internet, intranet ve extranet üzerindeki kullanıcılar arasında bilgi paylaşımı yapmanızı sağlamaktadır.  IIS 7.5  üzerinde bulunan özellikler aşağıdaki gibidir.

Tümleşik özellikler

  • WebDAV ve FTP özellikleri
  • İsteğe Göre Filtre İçerik Filtreleme
  • Yönetim Paketi Modülleri

Yönetim Tarafındaki Özellikler

  • Windows PowerShell için IIS modülü
  • Yapılandırma Kayıtlarının Günlük Olarak Kayıt Edilmesi ve İzlenmesi

Uygulama Tarafındaki Özellikler

  • Hizmet Sağlamlaştırma
  • Hizmet Hesapları Yönetimi
  • Server Core Üzerinde .Net Desteği
  • Barındırılabilir Web Çekirdeği

WebDAV ve FTP Özellikleri

IIS 7.0 ile gelen WebDAV ve FTP özelliği sayesinde, Web geliştiricilerinin, IIS 7.0 ?ın önceki sürümlerine göre daha güvenli bir şekilde yayın yapmaları sağlandı.. IIS 7.0 için geliştirilmiş olan WebDAV ve FTP modülleri ile, Web sunucusu üzerindeki adminlere (yöneticilere) daha çok kimlik doğrulama, denetleme, günlüğe kaydetme, gibi seçenekler sunulmuş oldu.

İçerik Filtreleme

İstek Filtreleme modülü sayesinde, Web Sunusuna yönlendirilen http isteklerini sınırlandırmamıza veya engellememize olanak tanımaktadır. Bu sayede, zaralı http ataklarının Web Sunucusuna ulaşması engellenmiş olmaktadır.

 Yönetim Paketi Modülleri

IIS 7.5 üzerinde bulunan Yönetim Paketi Modülleri sayesinde, Web Sunucunumuzu IIS üzerinden yönetmemiz için gerekli olan ek araçlar sunulmaktadır. Bu yönetim modülleri, makalemizde de belirtmiş olduğumuz gibi, içerik filtreleme, WebDAV ve FTP özelliği, FastCGI ve ASP .Net plaftormu için geliştirmiş olduğumuz uygulamalarımızı yönetmemize yardımcı olan Yapılandırma Düzenleyicisi ve UI uzantıları içermektedir.

Yönetim Geliştirmeleri

IIS 7.5, bundan bir önceki IIS sürümü olan ISS 7.0?a göre yönetim araçları bakımından farklılık göstermektedir. Bunlar;

En İyi Yöntemler Çözümleyicisi

En iyi yöntemler çözümleyicisi (BPA), Web Sunucusuna, Sunucu Yöneticisi ve Windows PowerShell yönetim araçları kullanılarak erişilebilen bir yönetim aracıdır. BPA ile, Web Sunucusu üzerinde bulunan uygulamalar taranarak, herhangibir sorun oluşması durumunda, Web Sunucusu yöneticisine bildirimde bulunularak, uygulama sorunlarının minimuma indirilmesi sağlanmış olmaktadır.

Windows PowerShell İçin IIS Modülü

Windows PowerShell yönetim modülünde bulunan  cmdlet bileşenleri sayesinde, Web Sitelerini, Web Uygulamalarını ve Web Sunucularının yönetimi basit bir şekilde gerçekleştirilmektedir.

Yapılandırma Kayıtlarının İzlenmesi

Bu özellik sayesinde, Web Sunucusuna gerçekleştirilen erişimleri ve sunucu üzerindeki IIS yapılandırma bilgilerini , başarılı veya başarısız kayıtları Olay Görüntüleyicisi sayesinde izleyebilmekteyiz.

IIS 7.5 Üzerinde Web Sunucusu Güvenliği

Windows işletim sistemi kurulumunun akabinde, Internet Information Services (IIS) servisi default olarak sistemimize yüklenmemektedir.  IIS servisinin Windows kurulumu sonucunda yüklenmemesinin sebebi, Web sunucumuz dışarıdan gelebilecek tehlikelere karşı bir nebze de olsa korumak içindir.  Web sunucumuzun güvenliğinin sağlanması için, Sunucumuz üzerinde bazı kimlik doğrulama yöntemlerini de tanımlamamız gerekmektedir. Web sunucumuzun güvenliği için olan kimlik doğrulama yöntemlerini seçenekler halinde sıralayacak olursak, bunlar;

  • Temel Kimlik Doğrulaması
  • Windows Kimlik Doğrulaması
  • Özet Kimlik Doğrulaması
  • İstemci Sertifikası eşleme ile Kimlik Doğrulaması
  • IIS Sertifikası eşleme ile Kimlik Doğrulaması
  • URL Yetkilendirme
  • Filtre İsteme
  • İnternet Protokolü Güvenliği

 

Temel Kimlik Doğrulaması

Bu kimlik doğrulama seçeneğinde, network üzerindeki kullanıcılarımızın  Web Server (IIS) sunucumuz üzerindeki kaynaklara hangi kullanıcılarımızın erişebileceği belirlenmektedir. Kullanıcıların kimlik doğrulaması işleminde birli bir tarayıcı kullanma zorunluluğu bulunmamaktadır.Kullanıcıların, Web Server bilgisayarı üzerinde ki uygulamalara erişmesi için, kullanıcı adı ve parola gibi kinlik doğrulama bilgilerini girmeleri gerekmektedir. IIS 7.0, yukarıda seçenekler hailinde belirmiş olduğumuz kimlik doğrulama yöntemlerinin yanında, sorgulama tabanlı ve giriş  yönlendirme tabanlı kimlik doğrulama yöntemlerine de destek vermektedir. 

 Sorgulama tabanlı kimlik doğrulama yönteminde amaç, sunucu tarafından başlatılan bir uygulamaya,network üzerindeki bir client bilgisayarın erişim gerçekleştirmesi esnasında, kullanıcılardan kimlik bilgilerinin doğrulanması istenmektedir.

Giriş yönlendirme tabanlı kimlik doğrulama yönteminde ise, kullanıcı  kimlik bilgilerini doğrulaması için, herhangibir sorgulama işlemi gerçekleştirilmeden hemen oturum açma sayfasına yönlendirilmektedir. IIS sunucusu üzerinde aynı anda,hem sorgulama kimlik doğrulama yöntemi, hemde, giriş tabanlı kimlik doğrulama yöntemi kullanılmamaktadır.  IIS 7.0 sunucu üzerinde, Güvenli Yuva Katmanı (SSL) desteklenmektedir.

Özet Kimlik Doğrulaması Yöntemi

Özet kimlik doğrulaması yönteminde, IIS sunucumuz üzerinde bulunan kaynaklara erişim gerçekleştirmek isteyen kullanıcıların, kimlik doğrulaması işlemlerinde, Windows Etki Alanı Denetleyicisi kullanılmaktadır. Eğer ortamınızda, güvenlik duvarı (Firewall) veya Proxy sunucularınız varsa, Özet kimlik doğrulama yönteminden faydalanabilirsiniz.

Windows Kimlik Doğrulaması Yöntemi

Eğer network ortamınızdaki bilgisayarlarınzı bir intranet ortamında bulunuyorsa, Windows Kimlik Doğrulama yönteminden faydalanabilirsiniz. İntranet kavramına açıklık getirecek olursak, intranet, belirli bir organizasyon içerisindeki bilgisayarları veya yerel ağlarını birbirine bağlayan TCP/IP tabanlı bir ağ çeşididir.

İstemci Sertifikası Eşleme ile Kimlik Doğrulama Yöntemi

Bu sertifika yönteminde, Workgroup ortamındaki kullanıcılarınızı, IIS sunucusu üzerinde mevcut durumda bulunan belirli bir sertifika ile eşleme yapmanızı sağlamaktadır.

URL Yetkilendirme

URL Yetkilendirme seçeneğinde ise, network ortamındaki belirli bilgisayarları, bilgisayar gruplarını,siteleri veya sunucu üzerinde varolan uygulamaları kullanıcıların erişim sağlamasında kısıtlayabilirsiniz. URL Yetkilendime seçeneğine örnek vermek gerekirse, sisteminiz üzerinde Finansal Kaynaklar veya İnsan Kaynakları grubu içerisinde kullanıcılarınız mevcut, ve siz sadece belirli kullanıcılarınıza sunucu üzerindeki uygulamalara erişim hakkı tanımak istiyorsanız bu kimlik doğrulma seçeneğinden yararlanabilirsiniz. Bir diğer işlem ise, intranet sunucunuz üzerindeki uygulamalara , organizasyonunuz dışındaki kullanıcıların da erişmesini istemiyorsanız gerekli yapılandırmaları gerçekleştirerek, sunucu üzerindeki kaynaklara erişim hakkı olmayan kullanıcıları engelleyebilirsiniz.

IIS Sertifikası Eşleme İle Kimlik Doğrulaması

Bu kimlik doğrulaması seçeneğinde ise, IIS sunucusu üzerinde bulunan bir sertifikayı, network üzerindeki belirli bir client bilgisayarlar arasında eşlemenize olanak sağlamaktadır.

Filtre İsteme

IIS sunucunuzu internet üzerinden gelebilecek isteklere karşı sınırlandırmak istiyorsanız bu kimlik doğrulama seçeneğinden yararlanabilirsiniz. HTTP isteklerini sınırlandırmak için önceden UrlScan isimli güvenlik aracı kullanılıyordu.  IIS 7.0 ile gelen bu özellik sayesinde, HTTP isteklerini sınırlandırmak basitleştirildi. HTTP isteklerini filtrelemek için doğrudan bir WMI komut dosyası yazarak veya komut satırı penceresi üzerinde Appcmd.exe komut satırı aracını yazarak HTTP filtreleme işlemi gerçekleştirebilirsiniz.  Appcmd.exe komutu hakkında daha detaylı bilgi almak için aşağıdaki adresten faydalanabilirsiniz.

Link: http://technet.microsoft.com/en-us/library/cc754791(WS.10).aspx

Internet Protokolü Güvenliği (IPSec)

İnternet Protokolü Güvenliği (IPSec), network ortamınızda bulunan client bilgisayarlarınız arasındaki veri trafiğini şifrelemektedir. Bilgisayarlar arasındaki verilerin şifrelenmesi işleminde, veriler  üzerinde daha sonra değişiklik yapılmasına karşı koruma altına alınmış olmaktadır. İnternet Güvenlik  Protokolü (IPSec) sayesinde, özel ağ ve network ortamınız, dışarıdan gelebilecek tehlikelere karşı koruma altına alınmaktadır. IPSec?in çalışma yapısı itibari ile, iki ana hedefi vardır. Bunlar;

  • IP Paketlerinin içeriğini yetkisiz  kişilerden korumak
  • Paket şifreleme ve güvenilir iletişim alt yapısı üzerinden, ağ saldırılarına karşı network?ü korumak

Yukarıda seçenekler halinde bahsetmiş olduğumuz hedeflerin  her ikisi de şifreleme tabanlı koruma hizmeti, güvenlik protokolleri ve dinamik anahtar yönetimi ve kullanımı gibi özelliklersunmaktadır. IPSec, özel ağ bilgisayarlarının dışarıdan gelebilecek saldırılara karşı korunma sağlamasının akabinde, etki alanları, siteler, uzak lokasyon üzerindeki sitelere erişim ve extranet ve dial -up  ile bağlantı gerçekleştiren müşteriler arasında güvenli bir iletişim sağlamaktadır.

Evet, IIS 7.0 ile beraber gelen özelliklerden  kısaca bahsettikten sonra, Web Sunucusu (IIS) ile beraber neler yapabiliyoruz, bunlara kısaca değinelim.

IIS 7.0 İle Beraber Neler Yapılabilir.

Web Sunucusu (IIS) ile beraber aşağıdaki uygulamaları gerçekleştirebilirsiniz.

  • Organizasyonunuz içerisindeki kullanıcılarınıza internet veya intranet üzerinden bilgi sağlama
  • WebDAV özelliği ile, kullanıcılara FTP üzerinden dosya yüklemesine izin verme
  • Üç katmanlı uygulamalar için Web hizmetleri barındırma
  • Network?ünüz üzerindeki uygulamaları, kullanıcılara, depolama aygıtları yerine Internet üzerinden dağıtma gibi işlemleri Internet Information Services (IIS) servisi ile gerçekleştirebilmekteyiz.

 

Internet Information Services (IIS) üzerinde, SSL Sertifika yükleme işlemi için, Start ? Programs ? Administrative Tools içerisinde Internet Information Services (IIS) seçeneğine çift tıklayarak IIS yönetim konsolunun açılmasını sağlıyoruz.

01

Yukarıdaki şekil üzerinde de görüldüğü gibi gerekli işlemlerin ardıdan karşımıza IIS manager konsolu çıkmakta.  IIS konsolu üzerinde şekilde de görüldüğü gibi, çeşitli amaçlar doğrultusunda eklenebilecek roller mevcut. Biz, IIS üzerinde SSL Sertifika yükleme işlemlerini gerçekleştireceğimiz için, konsol üzerinde bulunan  Server Certificates bileşenini kullanacağız.  SSL  Sertifika yükleme işlemine başlamak için  yönetim konsolu üzerinde bulunan Server Certificates bileşenine çift tıklıyoruz. Bu işleminde ardından karşımıza aşağıdaki gibi bir ekran çıkacaktır.

02

Şekil üzerinde de görüldüğü gibi,  Server Certificates bölümünde, benim daha önceki uygulamalarım için oluşturmuş olduğum SSL sertifikaları mevcut. Siz, daha önce herhangi bir sertifika ekleme işlemi gerçekleştirmediyseniz bu kısım sizin ekranınız da boş gözükecektir.  Sertifika eklemek için Actions (Eylemler) sütunu altında bulunan Create Certificate Request seçeneğine tıklıyoruz. Sertifika ekleme işlemini, konsol üzerine gelip sağ tıklayarak gelen menüden Create Certificate Request seçeneğini seçerek de yapabilirsiniz.

03

İlgili seçeneğin seçilmesinin ardıdan karşımıza Distinguished  Name Properties penceresi çıkacaktır.

05

Distinguished penceresinde, oluşturacağımız sertifikaya ait birtakım bilgileri girmemiz gerekmektedir. Burada dikkat edeceğimiz nokta ise, Common Name kısmına  sunucunuzun ismini (FQDN) girmeniz gereklidir.

Gerekli bilgiler de ilgili kısımlara girildikten sonra Next diyerek diğer bir adıma geçiş yapıyoruz.

06

Cryptographic Service Provider Properties (Şifreleme Sağlayıcısı Özellikleri) ekranında ise, SSL işlemleri için sertifika sağlayıcısı ile ilgili bilgiler ve şifreleme için bit uzunluğunu tanımlayabileceğimiz bölümler mevcut.  Bit uzunluğu ne kadar yüksek olursa , sertifika güvenliği de okadar güçlü olmaktadır. Burada dikkat edeceğimiz diğer bir nokta ise, gereğinden daha yüksek düzeydeki biit uzunluğu, performans düşüklüğüne sebep olacaktır.  Ben bu pencere üzerinde herhangibir değişiklik yapmadan next diyerek diğer bir adıma geçiyorum.

07

Bu ekranda ise, oluşturulacak sertifika için bir isim ve sertifikanın hangi lokasyona kaydedileceğine dair bilgileri girmemiz gerekmekte. Gerekli bilgileri girdikten sonra Finish diyerek sertifika oluşturma işlemini başlatıyoruz. Oluşturulmuş olan sertifikanın içeriği aşağıdaki şekilde de görülmektedir. Tabi sertifika içeriği şifreli olduğu için biz bu yazılanlardan bir şey anlayamıyoruz??

Evet, makalemizin bu zamana kadar ki bölümlerinde IIS sunucusu üzerinde nasıl SSL Sertifika oluşturma işlemleri hakkında bilgi sahibi olduk. Makalemizin bundan sonra ki bölümlerinde ise, oluşturmuş olduğumuz SSL Sertifikasını IIS Sunucusu üzerine nasıl import edebiliriz, buna bir göz atalım. Oluşturmuş olduğumuz SSL Sertifikasını IIS sunucusu üzerine yüklemek için yine Internet Information Services (IIS) yönetim konsolunu açıyoruz.

Yine IIS yönetim konsolu üzerinde Server Certificates seçeneğine çift tıklıyoruz.

Karşımıza makalemizin bundan önceki bölümlerinde olduğu gibi Server Certificates penceresi çıkmakta. Burada, diğer adımlardan farklı olarak bu kez Complete Certificate Request seçeneğine tıklıyoruz.

Bu adımda ise, makalemizin bundan önceki adımlarında oluşturmuş olduğumuz SSL sertifikamızı seçmemiz gerekecektir.  Sertifika seçimin ardından OK tuşuna basıyoruz ve SSL sertifikası ekleme işlemimizi bitiriyoruz. Bu işlemin akabinde aşağıdaki gibi bir ekran karşımıza çıkacaktır.

Yukarıdaki şekil üzerinde de görüldüğü gibi, oluşturmuş olduğumuz sertifika IIS yönetim konsolu üzerinde eklenmiş durumda.

Evet, bu makalemizde, IIS sunucusu üzerinde SSL sertifikası oluşturma  ve oluşturulan SSL sertifikasını IIS sunucusu üzerine yükleme gibi işlemler hakkında bilgi sahibi olduk. Bir daha ki makalemde görüşmek üzere hoşcakalın?

Yavuz TAŞCI

Bir Cevap Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Şu HTML etiketlerini ve özelliklerini kullanabilirsiniz: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>