SSL Sertifika Otomasyon Araçları: ACME, Panel Entegrasyonları ve DNS‑01 Stratejileri

SSL sertifikalarını elle yenilemek, özellikle birden fazla alan adınız olduğunda, hem riskli hem de zaman kaybettiren bir iş. Sertifika süresi bittiğinde tarayıcıların gösterdiği kırmızı uyarıları, kaybedilen sepetleri ve bir anda düşen dönüşüm oranlarını sahada defalarca gördük. İşin teknik tarafında ise manuel süreçler; unutulan takvim hatırlatmaları, yanlış yüklenen ara sertifikalar, staging yerine canlıya yazılan hatalı yapılandırmalar gibi sorunları da beraberinde getiriyor. Tam da bu yüzden SSL sertifika otomasyon araçları, artık lüks değil temel ihtiyaç haline geldi. DCHost tarafında yaptığımız mimari tasarım ve güvenlik denetimlerinde, ilk baktığımız konulardan biri sertifika yenileme süreçlerinin ne kadar otomatik olduğu. Bu yazıda, ACME protokolünden kontrol paneli entegrasyonlarına, DNS‑01 tabanlı wildcard çözümlerden SaaS senaryolarına kadar, pratikte kullandığımız ve önerebileceğimiz bütün SSL otomasyon yaklaşımını sade bir dille topladık.

SSL Sertifika Otomasyonu Neden Bu Kadar Önemli?

Tarayıcılar ve arama motorları, HTTPS’i uzun zamandır varsayılan standart haline getirdi. Sertifika süresi dolduğunda ise yalnızca bir güvenlik uyarısı görmüyorsunuz; aynı zamanda SEO puanı, kullanıcı güveni ve dönüşümler de zarar görüyor. Manuel yönetilen bir ortamda şu risklerle sıkça karşılaşıyoruz:

• Unutulan yenilemeler: Takvim hatırlatıcısı atlanıyor ve canlı sitede “güvenli değil” uyarısı beliriyor.
• İnsan hatası: Yanlış alan adına sertifika yükleme, yanlış private key kullanma, ara sertifikayı eklemeyi unutma gibi sorunlar.
• Ölçeklenemeyen süreç: 30–40 alan adı olan ajans ya da SaaS projelerinde, her yenilemeyi tek tek yönetmek imkansız hale geliyor.
• Güncel TLS ayarlarına uyumsuzluk: Sertifika otomasyonunu kurarken modern şifre takımları ve TLS sürümlerini de güncellemezseniz, performans ve güvenlik tarafında geri kalabiliyorsunuz.

Bu noktada, TLS sürümleri ve modern şifre takımları ile ilgili daha derin bir bakış için SSL/TLS güvenlik güncellemelerini net ve uygulanabilir şekilde anlattığımız rehbere mutlaka göz atmanızı öneririz. Orada anlatılan prensipler, bu yazıda değineceğimiz otomasyon araçları ile birleştirildiğinde ortaya hem güvenli hem sürdürülebilir bir HTTPS mimarisi çıkıyor.

SSL Sertifika Otomasyonunun Temel Bileşenleri

Sağlam bir otomasyon kurmak için öncelikle oyundaki aktörleri doğru tanımlamak gerekiyor. Kafanızda net bir resim oluşursa, hangi aracı nerede kullanacağınızı seçmek çok daha kolaylaşır.

ACME Protokolü Nedir?

Günümüzde SSL sertifika otomasyonunun omurgasını neredeyse her zaman ACME (Automatic Certificate Management Environment) protokolü oluşturur. ACME, sertifika otoritesi (CA) ile sunucunuz arasında otomatik konuşmayı sağlayan standart bir protokoldür. Temel akış şöyle işler:

1. Sunucunuz, ACME istemcisi (örneğin acme.sh veya Certbot) üzerinden CA’ya sertifika talebi gönderir.
2. CA size “bu alan adının kontrolü sende mi?” diye sorar ve bir challenge (doğrulama görevi) verir.
3. Sunucu bu challenge’ı HTTP, DNS veya TLS katmanında yerine getirir.
4. CA doğrulamayı başarıyla görürse sertifikayı üretir ve otomatik olarak sunucuya teslim eder.
5. ACME istemcisi sertifikayı ilgili web sunucusuna (Nginx, Apache, LiteSpeed vb.) yerleştirir ve genellikle hizmeti yeniden yükler.

Bu döngüye bir de otomatik yenileme adımı eklenir: Sertifika süresi dolmadan belli bir süre önce (örneğin 30 gün kala) ACME istemcisi aynı akışı kendisi tetikler. Böylece hiçbir takvim hatırlatıcısına ihtiyaç kalmaz.

ACME Challenge Türleri

ACME’nin en kritik noktalarından biri, alan adının kontrolünü ispat ettiğiniz challenge türüdür. Kısaca üç ana türden bahsedebiliriz:

• HTTP‑01: Belirli bir URL altında belirli bir içeriği servis ederek alan adının sizde olduğunu kanıtlarsınız. Tek sunuculu, basit yapılarda çok pratiktir.
• DNS‑01: Alan adınızda belirli bir TXT kaydı oluşturarak kontrolü kanıtlarsınız. Wildcard sertifikalar, çoklu ortamlar ve SaaS senaryolarında vazgeçilmezdir.
• TLS‑ALPN‑01: Özel TLS uzantılarıyla doğrulama yapar. Daha niş, genellikle gelişmiş altyapılarda tercih edilir.

Bu üç yöntemin artılarını, eksilerini ve hangi durumda hangisini seçmeniz gerektiğini ayrıntılı olarak ACME challenge türlerini derinlemesine anlattığımız rehberimizde ele almıştık. Burada sadece şunu vurgulayalım: Wildcard ve çok kiracılı yapılarda DNS‑01, klasik tek siteli kurulumlarda ise HTTP‑01 genellikle en mantıklı seçimdir.

CA, İstemci, DNS ve Web Sunucusu İlişkisi

Otomasyon araçlarını seçerken şu ilişkileri netleştirmek işinizi kolaylaştırır:

• CA (Certificate Authority): Sertifikayı üreten kurum. ACME desteği varsa otomasyon mümkündür.
• ACME istemcisi: acme.sh, Certbot, lego gibi araçlar; panel içi modüller de aslında birer ACME istemcisi gibi davranır.
• DNS sağlayıcısı: DNS‑01 challenge kullanacaksanız, API erişimi çok kritiktir.
• Web sunucusu: Nginx, Apache, LiteSpeed gibi; ACME istemcisi sertifikayı buraya yerleştirir, genellikle otomatik reload eder.

İyi tasarlanmış bir otomasyon mimarisinde bu dört bileşenin birbirine nasıl bağlandığı nettir ve her birinin yetkileri minimum gerekli seviyede tutulur.

SSL Sertifika Otomasyon Araç Tipleri

Piyasada çok farklı isimler, script’ler ve modüller görebilirsiniz; ama çoğunu şu üç ana kategoriye oturtmak mümkün: kontrol paneli içi otomasyon, komut satırı ACME istemcileri ve DNS API tabanlı çözümler.

Kontrol Paneli İçi Otomasyon (cPanel, DirectAdmin, Plesk vb.)

Paylaşımlı hosting veya yönetilen panel ortamlarında, çoğu zaman panelin kendi SSL modülü ilk adımdır. Örneğin cPanel’in AutoSSL özelliği veya DirectAdmin/Plesk üzerindeki Let’s Encrypt eklentileri, ACME sürecini sizin yerinize arka planda yürütür.

Bu yaklaşımın avantajları:

• Sıfıra yakın operasyon yükü: Genellikle tek tıkla etkinleştirirsiniz, yenileme işleri arka planda cron ile takip edilir.
• Hosting ile bütünleşik: Yeni bir alan adı eklediğinizde çoğu zaman sertifika da otomatik olarak oluşturulur.
• Güncelleme ve bakım kolaylığı: Panel güncellemeleriyle birlikte SSL modülleri de gelişir.

cPanel ve DirectAdmin tarafında bu kurulumu adım adım görmek isterseniz, Let’s Encrypt ile ücretsiz SSL sertifikası kurulumu ve otomatik yenileme rehberimizde ekran görüntüleriyle birlikte oldukça detaylı bir anlatım bulabilirsiniz.

Komut Satırı ACME İstemcileri (acme.sh, Certbot, lego vb.)

VPS, dedicated sunucu veya colocation ortamlarında, özellikle de kontrol paneli kullanmıyorsanız, devreye genellikle komut satırı ACME istemcileri girer. En sık karşılaştığımız araçlar arasında:

• acme.sh: Saf shell script; hafif, esnek, çok sayıda DNS sağlayıcısı entegrasyonu var.
• Certbot: Uzun süredir kullanılan, yaygın dokümantasyona sahip bir istemci.
• lego, dehydrated vb.: Daha niş ama belirli kullanım senaryolarında tercih edilen istemciler.

Bu araçların ortak özellikleri:

• ACME protokolü ile CA’ya bağlanır.
• HTTP‑01 veya DNS‑01 challenge’ları otomatik olarak yürütür.
• Başarılı olursa sertifikayı belirlediğiniz klasöre yazar ve opsiyonel olarak web sunucunuzu yeniden yükler.
• Yenileme işlemini cron veya systemd timer ile zamanlar.

Avantajı, neredeyse her türlü özel senaryoya uyarlanabilmesi; dezavantajı ise panel içi çözümlere göre biraz daha çok başlangıç emeği gerektirmesidir. DCHost üzerindeki VPS ve dedicated ortamlarında, genellikle acme.sh veya benzeri hafif istemcilerle oldukça esnek mimariler kuruyoruz.

DNS API Tabanlı Otomasyon (Özellikle Wildcard için)

Wildcard sertifikalar (*.alanadi.com) ve çok kiracılı SaaS mimarileri söz konusu olduğunda, HTTP‑01 ile otomasyonu sürdürmek zorlaşır. Bu noktada DNS‑01 challenge + DNS API ikilisi devreye girer:

• ACME istemcisi, alan adınızda belirli bir TXT kaydı oluşturmak ister.
• DNS sağlayıcınızın API’si üzerinden bu kaydı otomatik ekler.
• CA, DNS kaydını doğruladıktan sonra sertifikayı üretir.

Bu yaklaşım:

• Wildcard sertifikalar için tek gerçekçi çözümdür.
• Staging, test, canlı gibi birden fazla ortamınız olsa bile tek merkezden yönetim sağlar.
• Özellikle SaaS’te müşteri alan adları için otomatik SSL gerektiren yapılarda neredeyse zorunludur.

DNS‑01 odaklı kurulumları pratik örneklerle anlattığımız Let’s Encrypt wildcard SSL otomasyonu yazımızda, hem panel üzerinden hem de Nginx gibi elle yapılandırılan sunucularda izlenebilir bir yol haritası bulabilirsiniz.

Farklı Senaryolar İçin Doğru Otomasyon Stratejisi

“Hangi aracı kullanmalıyım?” sorusunun tek bir doğru cevabı yok. Kullandığınız hosting modeli, alan adı sayısı, uygulama türü ve ekip yetkinlikleri seçimi doğrudan etkiliyor. Saha deneyiminde sık gördüğümüz birkaç tipik senaryoyu özetleyelim.

Tek Siteli Küçük İşletme: Panel İçi Otomasyon Yeterli

Senaryo: Bir kurumsal site veya küçük bir e‑ticaret sitesi, DCHost üzerindeki paylaşımlı hosting ya da yönetilen panel ortamında çalışıyor. Tek alan adı, belki bir iki alt alan adı var. Bu durumda:

• cPanel/DirectAdmin/Plesk içindeki otomatik SSL modülünü aktif etmek genellikle yeterlidir.
• Yenileme süreleri panel tarafından takip edilir; paneldeki loglardan durumu zaman zaman kontrol etmek iyi bir pratiktir.
• Ekstra karmaşık ACME script’lerine çoğu zaman ihtiyaç yoktur.

Burada asıl kritik olan şey, HTTP’den HTTPS’e geçişi doğru yapmak, 301 yönlendirmeleri ve HSTS ayarlarını ihmal etmemektir. Bunları adım adım görmek için HTTP’den HTTPS’e geçiş rehberimizi inceleyebilirsiniz.

Ajanslar ve Çoklu Alan Adı Portföyü: Merkezî İzleme + Panel/Otomasyon Karma Modeli

Senaryo: Bir ajans olarak 30–50 müşterinizin sitesini yönetiyorsunuz. Kimi paylaşımlı hostingte, kimi VPS üzerinde, kimi farklı panellerde. Sertifika yenilemelerinin dağınık kalması, riskleri katlıyor.

Bu durumda genellikle şöyle bir strateji öneriyoruz:

• Her ortamda yerel otomasyonu (panel içi SSL, ACME istemcisi vb.) aktif edin.
• Bütün alan adlarını merkezî bir listede toplayın ve süre sonu izleme (expiry monitoring) için ek bir katman kurun.
• Yaklaşan bitişlerde e‑posta veya webhook ile uyarı alın; böylece yerel otomasyon bir yerde başarısız olsa bile fark edebilirsiniz.

Bu modelin pratik detaylarını ve kullanılabilecek araçları, onlarca alan adı için SSL sertifika süre sonu izleme ve otomatik yenileme stratejisi rehberimizde adım adım anlattık. Ajans yapısında çalışıyorsanız, o yazı ile bu makaleyi birlikte okumanızı özellikle tavsiye ederim.

SaaS Platformları ve Çok Kiracılı Mimariler

Senaryo: Çok kiracılı bir SaaS ürününüz var. Müşteriler kendi alan adlarını sisteme ekliyor ve siz onlara otomatik HTTPS sunmak istiyorsunuz. Örneğin musteri1.ornek.com veya bizzat müşterinin musteri‑markasi.com adresi üzerinden hizmet veriyorsunuz.

Bu durumda genellikle şu ihtiyaçlar ortaya çıkıyor:

• Wildcard sertifikalar (*.ornek.com) veya her müşteri alan adı için ayrı sertifika.
• DNS‑01 challenge ile tam otomatik ACME süreci.
• Her yeni tenant (müşteri) eklendiğinde otomatik sertifika üretimi ve yenileme.

Bu tür çok kiracılı yapılarda, DNS‑01 ve ACME entegrasyonunu derinlemesine ele aldığımız SaaS’te özel alan adları ve otomatik SSL rehberimiz, hem mimari kararlar hem de pratik script örnekleri açısından güçlü bir referans olacaktır.

Kurumsal Ortamda Geliştirme–Test–Canlı Ayrımı

Senaryo: Bir kurumsal projede geliştirme, test, pre‑prod ve canlı gibi birden fazla ortamınız var. Her ortam için ayrı alt alan adları (örneğin api-dev, api-test, api) kullanıyorsunuz.

Burada iki ana strateji öne çıkıyor:

• Her ortam için ayrı ACME istemcisi ve sertifika yenileme akışı.
• Wildcard sertifika ile birden fazla ortamı tek çatı altında toplamak.

Hangisini seçerseniz seçin, CI/CD boru hattınıza sertifika güncellemelerinin entegrasyonunu düşünmek kritik. Örneğin, yeni bir ortam ayağa kalktığında otomatik olarak ACME kayıtlarının oluşturulması, sertifikanın deploy edilmesi ve health check’lerin koşması gibi adımlar, üretim ortamında yaşanacak sorunları ciddi biçimde azaltır.

SSL Sertifika Otomasyon Araçlarını Kurarken Dikkat Edilmesi Gerekenler

“Script’i kurdum, cron’a yazdım, bitti” demek maalesef yeterli değil. Otomasyonun kendisi de güvenli, izlenebilir ve yedekli olmalı.

Güvenlik: API Anahtarları, Erişim Yetkileri ve CAA Kayıtları

DNS‑01 challenge kullanıyorsanız, DNS sağlayıcınızın API erişim anahtarlarını (token, API key vb.) genellikle ACME istemcisinin erişebileceği bir yerde tutarsınız. Burada birkaç altın kural:

• API anahtarlarını sadece gerekli izinlerle sınırlayın; tam yönetici yetkisi vermeyin.
• Anahtarları düz metinle git deposuna veya paylaşımlı notlara koymayın; mümkünse gizli anahtar yönetim sistemleri veya en azından dosya izinleriyle koruyun.
• Düzenli anahtar rotasyonu planlayın.

Buna ek olarak CAA kayıtları ile hangi CA’ların alan adınız için sertifika üretebileceğini sınırlandırabilirsiniz. Bu, yanlışlıkla veya kötü niyetle farklı bir CA üzerinden sertifika üretilmesi riskini azaltır. CAA kayıtlarının nasıl tanımlanacağını ve çoklu CA senaryolarında nelere dikkat etmeniz gerektiğini CAA kayıtlarını derinlemesine incelediğimiz yazımızda detaylandırdık.

İzleme ve Alarm: Otomasyonun “Otomatik” Çalıştığını Nasıl Doğrularsınız?

Kurulan her otomasyon, bir noktada başarısız olabilir: DNS sağlayıcı API’si hata verebilir, sunucu taşındıktan sonra cron job unutulabilir veya ACME rate limit’lerine takılabilirsiniz. Bu yüzden:

• Sertifika bitiş tarihlerinin merkezi bir envanterini tutun.
• 30 gün, 15 gün, 7 gün kala uyarı veren basit bir izleme sistemi kurun.
• ACME istemcisinin loglarını düzenli olarak toplayın ve kritik hatalara alarm bağlayın.

Böylece otomasyon bozulduğunda, ilk haber alan siz olursunuz; tarayıcı kullanıcıları değil.

Yedekli CA ve Geri Dönüş (Fallback) Stratejisi

Özellikle yüksek hacimli, çok alan adlı ortamlarda tek bir CA’ya bağımlı kalmak, oran limitleri (rate limit) veya olası kesintiler nedeniyle risk oluşturabilir. Bu yüzden:

• Birincil CA başarısız olduğunda devreye girecek ikincil CA planı yapmak mantıklıdır.
• ACME istemcinizi, önce CA‑1 ile deneyecek, başarısızsa CA‑2 ile devam edecek şekilde kurgulayabilirsiniz.

Bu yaklaşımı gerçek örneklerle anlattığımız ACME otomasyonunda yedekli CA kurulumunu anlattığımız yazımızda, özellikle yoğun SSL trafiği olan projeler için uygulanabilir bir yol haritası bulabilirsiniz.

DCHost Altyapısında SSL Otomasyonunu Nasıl Konumlandırıyoruz?

DCHost ekibi olarak SSL tarafında amacımız, müşterilerimizin hem güvenli hem de operasyonel yükü düşük bir yapı kurmasını sağlamak. Genel yaklaşımımız şu eksenlerde şekilleniyor:

• Paylaşımlı hosting ve reseller ortamları: Panel içi otomatik SSL (AutoSSL/Let’s Encrypt vb.) varsayılan kabul edilir, mümkünse bütün alan adları bu kapsam altına alınır.
• Managed VPS ve dedicated sunucular: Projenin yapısına göre acme.sh veya benzeri istemcilerle HTTP‑01 veya DNS‑01 tabanlı otomasyon kurgulanır.
• SaaS ve çok kiracılı yapılar: DNS‑01, wildcard ve müşteri alan adları için otomatik sertifika üretimi odaklı daha gelişmiş bir ACME mimarisi tasarlanır.

Bu tasarımları yaparken, daha önce SSL sertifika otomasyonu inovasyonları yazımızda paylaştığımız sahadaki deneyimleri ve iyi uygulamaları da rehber olarak kullanıyoruz. Böylece DCHost altyapısında barındırılan projelerde sertifika yenileme, “bir gün unutursam” kaygısından çıkıp, altyapının doğal bir parçası haline geliyor.

Adım Adım Basit Bir ACME Otomasyon Örneği (Linux VPS + Nginx)

Teoriyi bir kenara bırakıp, sahada en çok karşımıza çıkan senaryolardan biri için somut bir akış yazalım: DCHost üzerinde bir Linux VPS’iniz var, Nginx üzerinde bir site çalışıyor ve HTTP‑01 ile otomatik SSL kurmak istiyorsunuz.

1. ACME İstemcisini Kurun

Örnek olarak acme.sh üzerinden gidelim (Certbot veya başka bir istemci de tercih edebilirsiniz):

1. Sunucunuza SSH ile bağlanın.
2. acme.sh script’ini yükleyin (resmi dokümantasyondaki tek satırlık kurulum komutunu kullanabilirsiniz).
3. Kurulum sonrası ~/.acme.sh dizininde yapılandırma dosyaları oluşacaktır.

2. Nginx Üzerinde HTTP‑01 İçin Uygun Klasörü Hazırlayın

ACME istemcisi, challenge dosyalarını genellikle /.well-known/acme-challenge/ altında yayınlar. Nginx konfigürasyonunuza şu tarz bir blok ekleyerek bu klasörü herkese açık hale getirebilirsiniz:

location /.well-known/acme-challenge/ {
    root /var/www/letsencrypt;
}

Ardından bu klasörü oluşturun:

mkdir -p /var/www/letsencrypt

3. İlk Sertifikayı Alın

acme.sh ile örnek bir komut şu şekilde olabilir (alan adını kendi alan adınızla değiştirin):

acme.sh --issue 
  -d ornekalanadi.com 
  -w /var/www/letsencrypt

İşlem başarıyla tamamlandığında, acme.sh sertifika ve anahtar dosyalarını kendi dizininde saklayacaktır. Nginx’in okuyabileceği bir yere kopyalamak için ek adımlar gerekebilir (örneğin /etc/nginx/ssl/ altına). Çoğu zaman acme.sh’nin --install-cert seçeneğiyle bunu da otomatikleştirirsiniz.

4. Nginx Konfigürasyonunu Güncelleyin

Sunucu bloğunuzu şu şekilde düzenleyebilirsiniz:

server {
    listen 443 ssl http2;
    server_name ornekalanadi.com;

    ssl_certificate     /etc/nginx/ssl/ornekalanadi.com/fullchain.cer;
    ssl_certificate_key /etc/nginx/ssl/ornekalanadi.com/ornekalanadi.com.key;

    # Diğer TLS ayarları ve site yapılandırması...
}

Ardından Nginx’i yeniden yükleyin:

nginx -t && systemctl reload nginx

5. Otomatik Yenileme İçin Cron veya systemd Timer Kurun

acme.sh genellikle kendi cron kaydını otomatik ekler, ama emin olmak için kontrol etmenizde fayda var. Örneğin crontab -l çıktısında günde bir kez çalışan bir acme.sh job’ı görmelisiniz. Yenileme sonrası Nginx’in yeniden yüklenmesi gerekiyorsa, --reloadcmd parametresi ile bu komutu da acme.sh tarafına öğretmelisiniz.

Bu basit senaryo, HTTP‑01 ile tek sunuculu bir Nginx sitesini otomatik hale getirmek için yeterli. Eğer wildcard, çoklu ortam veya gelişmiş TLS ayarları gibi konulara girmek isterseniz, yukarıda link verdiğimiz kapsamlı ACME ve wildcard rehberlerine göz atmanız iyi bir sonraki adım olacaktır.

Sonuç: SSL Sertifika Otomasyon Araçları İçin Yol Haritanız

SSL sertifikaları, modern web’in en temel güvenlik katmanlarından biri. Ama iş sadece bir kez sertifika almakla bitmiyor; asıl önemli olan, yenileme süreçlerinin risk oluşturmadan, mümkün olan en az insan müdahalesiyle devam edebilmesi. Bu yazıda ACME protokolünden panel içi çözümlere, DNS‑01 tabanlı wildcard kurulumlarından ajans ve SaaS senaryolarına kadar, SSL sertifika otomasyon araçları ile gerçek dünyada nasıl sağlıklı mimariler kurulabileceğini mümkün olduğunca sahaya yakın örneklerle anlatmaya çalıştım.

Eğer DCHost üzerinde paylaşımlı hosting kullanıyorsanız, muhtemelen panel içi otomasyon sizin için zaten pek çok işi hallediyor. VPS, dedicated veya colocation tarafında ise ACME istemcileri, DNS API entegrasyonları, CAA kayıtları ve yedekli CA gibi başlıklar devreye giriyor. Bu noktada projenizin büyüklüğüne, ekip yetkinliklerine ve güvenlik beklentilerinize göre en doğru stratejiyi birlikte tasarlayabiliriz. Müşteri panelinizden bir destek bileti açarak, mevcut altyapınızdaki SSL süreçlerini birlikte gözden geçirebilir, hem güvenlik hem operasyonel yük açısından uzun vadede içinizi rahat ettirecek bir otomasyon planı çıkarabiliriz.