SSL (Secure Socket Layer), https gibi güvenli iletişim protokollerinin kullandığı şifreleme altyapısını sağlar. Güvenli bir protokol kullanarak gerçekleştirilen iletişim, her iki tarafta da (istemci ve sunucu) şifrelenerek aktarılır. Bunun için asimetrik şifreleme adı verilen bir yöntem kullanılır. Bu yönteme göre; özel ve açık anahtar adı verilen iki adet anahtar üretilmiştir. Açık anahtar herkesçe erişilebilirdir ve şifrelenmek istenen veri henüz istemci tarafında iken bu anahtar ile şifrelenerek gönderilir. Bu anahtarın şifrelediği veriyi sadece özel anahtar açabilir.
Diğer çağdaş işletim sistemlerinde olduğu gibi, Raspbian dağıtımı ile de dünyada en çok itibar gören yani güvenli kabul edilen açık anahtarlar yüklü olarak gelir. Bu anahtarlar sertifika adı verilen dosyalar içinde kayıt edilmiştir (uzantıları cert, crt, pem olabilir). Sözünü ettiğim sertifikaların bulunduğu dizin /etc/ssl/certs’dir. Dilerseniz bu sertifikaların depolandığı dizine yeni sertifikalar da yükleyebilirsiniz. Ancak yüklediğiniz sertifikanın güvenilir bir kaynaktan geldiğine emin olmalısınız. Ne de olsa yükleyeceğiniz bu sertifika açık ağlar üzerinde seyahat edecek olan verilerinizi şifrelemek için kullanılacak. Aksi takdirde iletişiminizin arasına giren bir saldırgan (MITM saldırı yöntemi) tüm verilerinizi deşifre edebilir ve ele geçirebilir.
Yüklemek istediğiniz sertifikanın uzak bir web sunucusunda bulunduğunu varsayarsak, öncelikle Raspberry Pi bilgisayarına indirilmesi gerekir:
1 2 3 |
pi@raspberry:~ $ cd /etc/ssl/certs pi@raspberry:~ $ sudo su pi@raspberry:~ # wget https://sertifika.meb.gov.tr/MEB_SERTIFIKASI.cer |
Yukardıdaki gibi MEB_SERTIFIKASI.cer adlı sertifikanın Raspberry Pi bilgisayarında kullanılabilmesi için pem (base64) biçimine dönüştürülmesi gerekir bunun için aşağıdaki komutu kullanabilirsiniz:
1 |
pi@raspberry:~ # openssl x509 -inform der -in MEB_SERTIFIKASI.cer -out MEB_SERTIFIKASI.pem |
Pem dosyası oluşturulduktan sonra cer dosyasını silebilirsiniz. Yeni yüklenen sertifikaların ağ bağlantısı ile çalışan programlar tarafından kullanılabilmesi için sertifikalara ait sembolik linklerin yeniden oluşturulması gerekir.
1 2 |
pi@raspberry:~ # rm -rf *.cer pi@raspberry:~ # update-ca-certificates -f |
Bu sertifika gerektiğinde ilgili istemci program tarafından otomatik olarak kullanılacak ve veri trafiği sadece uzak sunucunun çözebileceği şekilde şifrelenecektir. Tekrar hatırlatmak gerekirse; sertifikaların güvenli bir kaynaktan geldiğinden emin olmalısınız, çünkü sertifikayı oluşturan kuruluş (yani özel anahtarına sahip olan kuruluş) tüm şifreli trafiğinizi açık olarak görebilir. Bu (kök sertifika yükleme işlemi) genellikle güvenli internet bağlantılarının incelenmek/filtrelenmek istendiği güvenlik duvarı uygulamalarında kullanılır.
