---
title: mTLS Configuration
category: product
entity_type: skill
price: ₺369
canonical: https://forgehouse.ai/tr/skiller/mtls-configuration/
lang: tr
hreflang_alt: https://forgehouse.ai/skills/mtls-configuration/
last_updated: 2026-06-20
---

# mTLS Configuration

> Configure mutual TLS (mTLS) for zero-trust service-to-service communication.

Sıfır güven servisten servise iletişim için karşılıklı TLS yapılandırmaya yönelik uygulamalı bir rehber. Sertifika hiyerarşisini, otomatik rotasyonu ve kimlik tabanlı yetkilendirmeyi Istio, Linkerd, cert-manager ve SPIFFE/SPIRE için uygulamaya hazır şablonlarla kapsar; böylece dahili trafik her iki uçta şifrelenir ve doğrulanır.

## Ne için kullanılır
- Servis ağı genelinde katı karşılıklı TLS uygulama ve izin verici moddan güvenle geçiş
- Otomatik rotasyonlu kısa ömürlü iş yükü sertifikaları kurma
- Başarısız TLS el sıkışmalarını sertifika süresinden zincir güvenine adım adım ayıklama
- Çapraz küme ve çoklu bulut iletişimini birleşik güvenle güvenceye alma
- Şifreli dahili iletişim için uyumluluk gereksinimlerini karşılama
- SPIFFE ve SPIRE ile platformdan bağımsız iş yükü kimlikleri atama

## Faydalar
- Her dahili bağlantıyı doğrulayarak yatay hareket saldırılarını durdurma
- Otomatik rotasyonla süresi dolan sertifikalardan kaynaklı sessiz kesintileri önleme
- Katmanlı sertifika otoritesi hiyerarşisiyle bir ihlalin etki alanını sınırlama
- Güvenli başarısızlık ve varsayılan reddetme duruşuyla el sıkışma hatalarını sıfıra indirme

## Ne içerir
- Katı ve karşılıklı modlar için Istio PeerAuthentication ve DestinationRule şablonları
- Kısa süre ve önceden yenileme pencereli cert-manager sertifika yapılandırmaları
- Kümeler arası kimlik tabanlı yetkilendirme için SPIFFE/SPIRE kurulumu
- Linkerd otomatik mTLS doğrulaması ve dış servis yönetimi
- Sertifika ve şifre hataları için el sıkışma yaşam döngüsü ayıklama sırası
- Sertifika rotasyon komutları ve operasyonel yapılması/yapılmaması listesi

## Kimler için
Kubernetes servis ağlarında sıfır güven ağ kurma ve sertifika yönetimi uygulayan platform ve güvenlik mühendisleri.

## Nasıl çalışır
Her servisin kim olduğunu kanıtlaması gerektiğinde skill'in koştuğu birebir zero-trust kablolaması. Kara kutu yok, yaptığı iş bu:
1. Önce politika duruşunu belirler: mesh genelinde Istio PeerAuthentication STRICT; PERMISSIVE sadece legacy namespace'ler için tarihli bir geçiş penceresi olarak kabul edilir, ayrıca port seviyesi istisnalar (metrik portu açıkça hariç tutulabilir).
2. Güvenin iki yönünü de yapılandırır: mesh içinde DestinationRule ISTIO_MUTUAL; dış partnerler için açık client cert, key ve CA yollarıyla SIMPLE veya MUTUAL. Dışa giden güven de içe gelen kadar bilinçli kurulur.
3. Sertifika ömrünü cert-manager ile otomatikleştirir: 24 saatlik workload sertifikaları, 8 saatlik renewBefore, doğru SAN listesi ve hem server auth hem client auth kullanımı. Manuel rotasyon gelecekteki bir kesinti sayılır.
4. Hasar alanı için CA hiyerarşisini kurar: offline root CA, cluster başına intermediate CA. Ele geçirilen bir cluster CA'sı sadece o cluster'ın sertifikalarını iptal ettirir, kalanına dokunulmaz; multi-cluster federasyon için SPIFFE/SPIRE kimlikleri eklenir.
5. Güvenmek yerine doğrular: servis başına istioctl authn tls-check, gerçek bitiş tarihlerini okumak için openssl ile çözülen proxy-config secret, mTLS'i Linkerd taşıyorsa linkerd viz edges.
6. Handshake hatalarını yaşam döngüsü sırasıyla debug eder: TLS sürüm uyumsuzluğu, sonra CA güven zinciri, sonra SAN uyumsuzluğu veya süresi dolmuş sertifika, sonra cipher pazarlığı. Her birinin kendi kontrolü vardır, arıza noktası tahmin edilmez, bulunur.

## Sık sorulanlar
### Istio değil Linkerd kullanıyoruz, kapsam dahilinde miyiz?
İki servis ağı da kapsanıyor: Istio için katı ve karşılıklı modlarda PeerAuthentication ve DestinationRule şablonları, Linkerd için otomatik mTLS doğrulaması ve dış servis yönetimi var. cert-manager ve SPIFFE/SPIRE kurulumları ağdan bağımsız geçerli.

### Süresi dolan sertifikaların servisleri sessizce düşürmesini nasıl engelliyoruz?
cert-manager yapılandırmalarında sertifikalar kısa ömürlü ve önceden yenileme pencereli kesiliyor, böylece rotasyon süre dolmadan epey önce kendiliğinden gerçekleşiyor. Rotasyon komutları ve yapılması gerekenler listesi operasyon tarafını, el sıkışma ayıklama sırası ise yine de kaçan durumları yakalıyor.

### Tarayıcıların açık sitemize bağlandığı kullanıcı tarafı TLS'i de yönetiyor mu?
Hayır. Kapsam, küme içinde ve kümeler arasında sıfır güven servisten servise trafik. Açık uç TLS, CDN sertifikaları ve tarayıcıya bakan sonlandırma farklı araçlar gerektiren ayrı bir problem.

## Fiyat
₺369, tek seferlik, abonelik yok. KDV dahil.

İlgili rehber: [Pazarlama ajansını yapay zekâ ile yönetmek](https://forgehouse.ai/tr/rehberler/pazarlama-ajansi-yapay-zeka-otomasyon/)