Web Hosting & cPanel

    cPanel'de CSR ve Özel Anahtar Oluşturma

    Ücretli SSL için cPanel'de CSR ve özel anahtar üretimini doğru bilgilerle yapmayı anlatan rehber.

    12 dk okuma Güncellendi: 10 Temmuz 2026

    Ücretli bir SSL sertifikası satın almaya karar verdiğinizde, sertifika otoritesi (CA) sizden ilk olarak bir CSR ister. CSR, yani Certificate Signing Request, sertifika imzalama isteği anlamına gelir ve alan adınızın kimliğini doğrulamak için gereken bilgileri içeren şifreli bir metin bloğudur. Bu metni sunucunuz üretir, siz kopyalayıp CA'nın satın alma ekranına yapıştırırsınız. CA bu isteği kendi kök sertifikasıyla imzalayarak size tarayıcıların güvendiği geçerli bir sertifika döndürür. Yani CSR, sertifikanın kimlik başvuru formudur.

    cPanel kullanan bir hosting hesabınız varsa, CSR ve ona eşlik eden özel anahtarı üretmek için sunucuya SSH ile bağlanıp openssl komutları çalıştırmanıza gerek yoktur; işin tamamı SSL/TLS panelinden birkaç dakikada hallolur. Bu rehberde CSR oluşturma formundaki her alanı tek tek ele alacak, anahtar boyutu seçimini netleştirecek, ürettiğiniz özel anahtarı nasıl koruyacağınızı ve sık yapılan hataları nasıl önleyeceğinizi kıdemli bir sistem yöneticisinin gözünden anlatacağız. Amaç, formu bir kez doğru doldurup CA reddi, yanlış alan adı ya da kayıp özel anahtar gibi baş ağrılarını en baştan elemenizdir.

    CSR ve Özel Anahtar Nedir?#

    Bir SSL sertifikası aslında birbirinden ayrılamayan bir matematiksel çiftin yarısıdır. cPanel sizin için CSR oluşturduğunda arka planda aynı anda iki şey üretir: bir özel anahtar (private key) ve bir CSR. Özel anahtar sunucuda kalır ve asla kimseyle paylaşılmaz; CSR ise içindeki genel anahtarı (public key) ve kurum bilgilerinizi taşıyan, CA'ya gönderilmek üzere hazırlanmış açık metindir.

    CA size sertifikayı döndürdüğünde, o sertifika yalnızca CSR'yi üreten özel anahtarla eşleşir. Bu yüzden özel anahtarı kaybederseniz elinizdeki sertifika işe yaramaz hale gelir; kurulum sırasında sunucu "özel anahtar sertifikayla eşleşmiyor" hatası verir. CSR ve özel anahtarın nasıl bir güven zinciri kurduğunu ve sertifikanın tarayıcıda neden yeşil kilit olarak göründüğünü daha temelden anlamak isterseniz, SSL sertifikası nedir yazımız iyi bir başlangıç noktası.

    CSR bloğu tipik olarak şu biçimdedir ve düz metin olarak taşınır:

    -----BEGIN CERTIFICATE REQUEST-----
    MIICvDCCAaQCAQAwdzELMAkGA1UEBhMCVFIxDzANBgNVBAgMBklzdGFuYnVsMRIw
    EAYDVQQHDAlLYWRpa295MRUwEwYDVQQKDAxBY21lIEEuUy4gVFIxHDAaBgNVBAMM
    E3d3dy5vcm5la3NpdGVuaXouY29tMIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIB
    ...
    -----END CERTIFICATE REQUEST-----
    

    BEGIN ve END satırları da dahil olmak üzere bu bloğun tamamı CSR'dir. CA'nın satın alma ekranına yapıştırırken bu iki sınır satırını kesinlikle silmeyin, aksi halde istek geçersiz sayılır.

    cPanel'de SSL/TLS Bölümüne Ulaşmak#

    cPanel'e giriş yaptıktan sonra ana ekranda Güvenlik (Security) başlığı altında SSL/TLS kutucuğunu görürsünüz. Arama kutusuna doğrudan SSL yazarak da hızlıca bulabilirsiniz. Bu bölüme girdiğinizde dört ana bağlantı çıkar:

    • Private Keys (KEY) — sunucudaki özel anahtarları yönetir
    • Certificate Signing Requests (CSR) — CSR üretir ve saklar
    • Certificates (CRT) — CA'dan gelen sertifikaları saklar
    • Install and Manage SSL for your site (HTTPS) — sertifikayı alan adına kurar

    CSR üretmek için ortadaki Certificate Signing Requests (CSR) bağlantısına tıklarsınız. Açılan sayfanın üst kısmında var olan CSR'lerinizin listesi, alt kısmında ise Generate a New Certificate Signing Request (CSR) başlıklı doldurmanız gereken form yer alır.

    Burada önemli bir kolaylık şudur: cPanel formu doldurup Generate dediğinizde özel anahtarı sizin için otomatik oluşturur ve Private Keys (KEY) bölümüne kaydeder. Yani ayrı bir adımda önce anahtar üretmenize gerek yoktur. Yine de dilerseniz Private Keys ekranından elle bir anahtar üretip CSR formunda o mevcut anahtarı seçmeniz de mümkündür; çoğu kullanıcı için otomatik yol yeterlidir.

    Generate a Certificate Signing Request Formunu Doldurmak#

    Formdaki her alanın CA doğrulaması ve sertifikanın geçerliliği açısından bir anlamı vardır. Yanlış girilen bir alan çoğu zaman sertifikanın yeniden düzenlenmesini (reissue) gerektirir; bu da zaman kaybıdır. Alanları tek tek gözden geçirelim.

    AlanNe yazılmalıÖrnek
    KeyYeni anahtar üret veya mevcut anahtar seçGenerate a new 2,048 bit key
    DomainsSertifikayı alacak tam alan adıwww.orneksiteniz.com
    CityKurumun bulunduğu şehir (kısaltma yok)Istanbul
    Stateİl / bölgeIstanbul
    Countryİki harfli ülke koduTR
    CompanyYasal kurum adıAcme Bilisim A.S.
    Company DivisionDepartman (opsiyonel)Bilgi Islem
    Emailİletişim e-postası[email protected]
    PassphraseAnahtar parolası (genelde boş bırakılır)
    DescriptionKendi notunuz2026 yenileme

    En kritik alan Domains kısmıdır. Buraya sertifikanın koruyacağı tam alan adını yazın. www.orneksiteniz.com ile orneksiteniz.com teknik olarak farklı iki host adıdır; hangisini CN (Common Name) olarak isterseniz onu yazmalısınız. Günümüzde CA'lar tek alanlı bir sertifika satın aldığınızda genellikle www ve wwwsuz sürümü birlikte kapsar, ancak yine de sitenizin canonical (asıl) sürümünü yazmanız beklenir. Birden fazla alt alanı tek sertifikada toplamak istiyorsanız wildcard SSL nedir yazımıza göz atın; wildcard için CN alanına *.orneksiteniz.com biçiminde yıldızlı bir değer girilir.

    City ve State alanlarında kısaltma kullanmayın; "Ist." yerine "Istanbul" yazın. Bazı EV (Extended Validation) ve OV (Organization Validation) sertifikalarında bu bilgiler CA tarafından resmi kayıtlarla karşılaştırılır, tutarsızlık doğrulamayı geciktirir. Country her zaman iki harfli ISO kodudur; Türkiye için TR.

    Company alanına DV (Domain Validation) sertifikası alıyorsanız kişisel/kurumsal adınızı yazabilirsiniz, ancak OV ve EV sertifikalarında burası ticaret sicilindeki yasal kurum adıyla birebir aynı olmalıdır. Türkçe karakter içeren resmi unvanlarda CA'lar bazen ASCII karşılığını ister; "A.Ş." yerine "A.S." yazmak güvenli bir tercihtir.

    Passphrase (parola) alanını çoğu senaryoda boş bırakın. Anahtara parola koyarsanız web sunucusu her yeniden başlatmada o parolayı sorar; otomatik açılışlar ve panel tabanlı kurulumlar bu yüzden takılır. Passphrase, yalnızca anahtar dosyasını başka bir yerde saklayacaksanız ek bir koruma katmanı olarak anlamlıdır.

    Anahtar Boyutu ve Algoritma Seçimi#

    Formdaki Key menüsünden anahtar boyutunu seçersiniz. En yaygın iki seçenek 2048 bit ve 4096 bit RSA anahtarlarıdır. Kısa cevap şudur: bugün için 2048 bit fazlasıyla yeterlidir ve sektör standardıdır. 4096 bit daha yüksek bir güvenlik marjı sunar ama her el sıkışmada (TLS handshake) biraz daha fazla CPU harcar; yoğun trafikli sitelerde bu fark ölçülebilir hale gelebilir.

    Kriter2048 bit RSA4096 bit RSA
    Güvenlik seviyesiBugün için güvenli, standartDaha yüksek marj
    El sıkışma hızıHızlıBiraz daha yavaş
    CPU yüküDüşükYüksek
    UyumlulukHer yerdeHer yerde
    Önerilen kullanımGenel siteler, çoğu durumUzun ömürlü kök/ara sertifikalar

    CA/Browser Forum kuralları RSA için minimum 2048 bit dayatır; artık 1024 bit anahtar kabul edilmez ve cPanel de bu seçeneği sunmaz. Modern bir alternatif olan ECDSA anahtarları (örneğin P-256 eğrisi) 256 bit ile 3072 bit RSA'ya denk güvenlik verir ve çok daha hafiftir, ancak cPanel'in klasik CSR formu genellikle RSA üretir. ECDSA istiyorsanız SSH üzerinden openssl ile üretmeniz veya CA'nızın panelini kullanmanız gerekebilir.

    Uygulamada karar basittir: standart bir kurumsal site ya da e-ticaret için 2048 bit seçin. Uzun ömürlü olması beklenen, nadiren yenilenen kritik altyapı sertifikaları için 4096 bit değerlendirin. Anahtar boyutunu sonradan değiştirmek yeni bir CSR ve yeni bir özel anahtar üretmeyi gerektirir; yani karar bir kere doğru verildiğinde sertifikanın ömrü boyunca sabit kalır.

    CSR'yi Sertifika Otoritesine Göndermek#

    Formu doldurup Generate dediğinizde cPanel size iki blok gösterir: Encoded Certificate Signing Request ve Encoded Private Key. Satın alma sürecinde CA'ya yalnızca CSR bloğunu verirsiniz; özel anahtar bloğu sunucuda kalır ve dışarı çıkmaz.

    CSR'yi kopyalarken tüm bloğu, -----BEGIN CERTIFICATE REQUEST----- satırından -----END CERTIFICATE REQUEST----- satırına kadar seçin. CA'nın sipariş ekranındaki metin kutusuna yapıştırın. CA bu noktada CSR'yi ayrıştırır ve içindeki alan adını, kurumu, ülkeyi ekranda gösterir; girdiğiniz bilgilerin doğru okunduğunu bu adımda kontrol edin.

    CA sertifikayı imzalamadan önce alan adı sahipliğini doğrulamak ister. En yaygın üç yöntem şunlardır:

    ; DNS doğrulama — CA'nın verdiği kaydı ekleyin
    _acme-challenge.orneksiteniz.com.  IN  TXT  "rastgele-dogrulama-degeri"
    
    • DNS doğrulama — CA'nın verdiği bir TXT kaydını alan adınızın DNS'ine eklersiniz.
    • HTTP dosya doğrulama — verilen bir dosyayı http://orneksiteniz.com/.well-known/pki-validation/ altına yüklersiniz.
    • E-posta doğrulama — WHOIS'teki ya da [email protected] gibi standart bir adrese gelen bağlantıya tıklarsınız.

    Doğrulama tamamlanınca CA size sertifika dosyalarını (genelde .crt ve ara sertifika .ca-bundle) e-postayla ya da panelinden verir. Bu dosyaları cPanel'de SSL/TLS → Certificates (CRT) bölümüne yükler, ardından Install and Manage SSL ekranından ilgili alan adına kurarsınız. Kurulum sırasında cPanel, doğru özel anahtarı zaten sunucuda sakladığı için genellikle otomatik eşleştirir; ekranda "Certificate and key match" doğrulamasını görmelisiniz.

    Özel Anahtarın Gizliliği ve Güvenliği#

    Bu rehberdeki en önemli kural budur: özel anahtar gizlidir ve asla paylaşılmaz. Özel anahtar, sertifikanızın kimliğini kanıtlayan tek unsurdur. Onu ele geçiren biri, sitenizin şifreli trafiğini çözebilir ya da sizin adınıza güvenilir bir sunucu taklit edebilir. Bu yüzden özel anahtar sunucudan dışarı çıkarılmaz; e-postayla gönderilmez, sohbet uygulamalarına yapıştırılmaz, herkese açık bir depoya (git deposu gibi) commit edilmez.

    cPanel özel anahtarı sizin için Private Keys (KEY) bölümünde saklar. Anahtarın metnini kopyalamanız gereken tek meşru durum, sertifikayı başka bir sunucuya taşırken ortaya çıkar; bu durumda bile aktarımı güvenli bir kanaldan (SCP, SFTP ya da doğrudan panel içi taşıma) yapın. Sunucular arası taşımada bilinen bir yaklaşım için site taşıma hizmetimiz güvenli aktarımı sizin yerinize üstlenir.

    Anahtar dosyalarının sunucudaki dosya izinleri de önemlidir. SSH erişiminiz varsa özel anahtar dosyasının yalnızca sahibi tarafından okunabilir olduğundan emin olun:

    # Özel anahtar dosyası yalnızca sahibine okunabilir olmalı
    chmod 600 /home/kullanici/ssl/keys/orneksiteniz.key
    ls -l /home/kullanici/ssl/keys/orneksiteniz.key
    # -rw------- 1 kullanici kullanici 1704 orneksiteniz.key
    

    Web sunucusu yapılandırmasında da anahtar dosyasına giden yol, web kök dizininin (public_html) dışında tutulmalıdır. Aşağıdaki Nginx örneğinde sertifika ve anahtarın web'den erişilemeyecek bir dizinde olduğuna dikkat edin:

    server {
        listen 443 ssl;
        server_name orneksiteniz.com www.orneksiteniz.com;
    
        ssl_certificate     /etc/ssl/orneksiteniz/fullchain.crt;
        ssl_certificate_key /etc/ssl/orneksiteniz/private.key;
    
        ssl_protocols       TLSv1.2 TLSv1.3;
    }
    

    Bir özel anahtarın herhangi bir şekilde sızdığından şüpheleniyorsanız, doğru davranış paniklemek değil, sertifikayı iptal edip (revoke) yeni bir anahtar ve CSR ile yeniden düzenlemektir. Sızmış anahtar geri alınamaz; onu güvenli saymanın hiçbir yolu yoktur.

    CSR Doğrulama ve Sık Yapılan Hatalar#

    CSR'yi CA'ya göndermeden önce içeriğini bizzat doğrulamak, hatalı bir sertifika almanın önüne geçer. SSH erişiminiz varsa openssl ile CSR'nin içindeki alanları okuyabilirsiniz:

    # CSR içindeki alanları oku ve doğrula
    openssl req -in orneksiteniz.csr -noout -text
    
    # Yalnızca CN (Common Name) alanını hızlıca gör
    openssl req -in orneksiteniz.csr -noout -subject
    # subject=C = TR, ST = Istanbul, L = Istanbul, O = Acme Bilisim A.S., CN = www.orneksiteniz.com
    

    Özel anahtarın CSR ile gerçekten eşleştiğini teyit etmek isterseniz, ikisinin modulus özetini karşılaştırın; aynı çıkmalıdırlar:

    # Bu iki komutun çıktısı birebir aynı olmalı
    openssl req -in orneksiteniz.csr -noout -modulus | openssl md5
    openssl rsa -in orneksiteniz.key -noout -modulus | openssl md5
    

    Uygulamada en sık karşılaşılan hatalar ve nedenleri şunlardır:

    • Yanlış alan adı — CN alanına www yazıp wwwsuz sürümü unutmak ya da tam tersi. Sitenizin canonical sürümünü yazın.
    • Eksik BEGIN/END satırları — CSR'yi kopyalarken sınır satırlarını atlamak isteği geçersiz kılar.
    • Türkçe karakter sorunları — kurum adında "Ş, İ, Ğ" gibi karakterlerin CA tarafından reddedilmesi. ASCII karşılığını kullanın.
    • Kayıp özel anahtar — CSR'yi bir yerde üretip sertifikayı başka bir sunucuya kurmaya çalışmak. Anahtar hangi sunucudaysa sertifika oraya kurulur.
    • Ülke kodu hatası — "Turkey" ya da "TUR" yazmak. Yalnızca iki harfli TR kabul edilir.

    Bu kontrolleri tek bir alan adı için değil, birden fazla site yönetiyorsanız her biri için ayrı ayrı yapmanız gerekir. Çok sayıda alan adı ve sertifika yöneten kurumsal ekipler, sunucu yönetimi hizmetimizle bu süreci bize devredebilir; sertifika üretiminden yenilemeye kadar tüm döngüyü izleriz.

    Sıkça Sorulan Sorular#

    CSR oluştururken özel anahtarı ayrıca üretmem gerekir mi?#

    Hayır, cPanel formunda Generate a new key seçeneği işaretliyken CSR'yi ürettiğinizde özel anahtar otomatik olarak birlikte oluşturulur ve Private Keys bölümüne kaydedilir. Ayrı bir adıma gerek yoktur; yalnızca daha önce ürettiğiniz bir anahtarı yeniden kullanmak istiyorsanız formda o mevcut anahtarı seçersiniz. Özel anahtarı ürettikten sonra kaybetmemeye ve dışarıya sızdırmamaya özen gösterin, çünkü sertifika yalnızca bu anahtarla eşleşir.

    2048 bit mi 4096 bit mi seçmeliyim?#

    Çoğu web sitesi için 2048 bit RSA fazlasıyla güvenli ve sektör standardıdır; bu seçenekle asla yanlış yapmazsınız. 4096 bit daha yüksek bir güvenlik marjı sunar fakat her TLS el sıkışmasında biraz daha fazla işlemci gücü harcar, bu yüzden yoğun trafikli sitelerde küçük bir performans farkı doğurabilir. Kural olarak standart siteler için 2048 bit, nadiren yenilenen uzun ömürlü kritik sertifikalar için 4096 bit tercih edin.

    CSR'yi yanlış bilgiyle oluşturursam ne yapmalıyım?#

    Sertifikayı henüz satın almadıysanız yapmanız gereken şey basittir; cPanel'de yeni bir CSR üretip doğru bilgileri girmeniz yeterlidir, eskisi zarar vermez. Sertifikayı zaten satın aldıysanız CA'nın panelinden yeniden düzenleme (reissue) talep eder ve yeni CSR'yi gönderirsiniz; bu işlem çoğu CA'da ücretsizdir. Hatalı bilgiyle kurulmuş bir sertifikayı olduğu gibi bırakmak yerine mutlaka düzeltin, çünkü CN uyuşmazlığı tarayıcıda güvenlik uyarısına yol açar.

    Özel anahtarı yedeklemem gerekir mi?#

    Evet, özel anahtarı güvenli bir ortamda yedeklemek iyi bir alışkanlıktır, çünkü anahtarı kaybederseniz elinizdeki sertifika kullanılamaz hale gelir ve yeni bir CSR ile baştan başlamanız gerekir. Yedeği şifrelenmiş bir depoda ya da parola yöneticinizde saklayın; e-posta gelen kutusu veya ortak bir ağ klasörü gibi kolay erişilen yerlerden kaçının. Otomatik sunucu ve dosya yedekleri için yedekleme çözümümüz anahtar dosyalarını da güvenli biçimde kapsayabilir.

    Let's Encrypt kullanıyorsam yine de CSR oluşturmam gerekir mi?#

    Hayır, Let's Encrypt gibi ücretsiz otomatik sertifikalarda CSR'yi ve anahtarı istemci yazılım (AutoSSL, certbot) sizin adınıza otomatik üretir; elle bir şey doldurmanıza gerek kalmaz. CSR'yi elle oluşturma adımı esas olarak ücretli OV, EV ve wildcard sertifikaları satın alırken gereklidir, çünkü CA sizden imzalama isteğini bizzat ister. cPanel hesabınızda AutoSSL etkinse basit siteler için hiç CSR üretmeden HTTPS'e geçebilirsiniz.

    CSR'de girdiğim e-posta adresi ne işe yarar?#

    CSR'deki e-posta alanı, sertifikayla ilgili iletişim için CA'nın kullanabileceği bir kayıt noktasıdır ve bazı doğrulama yöntemlerinde önem taşır. E-posta tabanlı doğrulama seçtiyseniz CA, alan adınıza ait yönetimsel adreslerden birine doğrulama bağlantısı gönderir; bu yüzden erişebildiğiniz gerçek bir adres yazın. DNS ya da dosya doğrulaması kullanıyorsanız e-posta alanının kritik bir rolü olmaz ama yine de geçerli bir adres girmek her zaman daha güvenlidir.

    Kapanış#

    CSR ve özel anahtar üretimi ilk bakışta teknik görünse de, cPanel'in SSL/TLS paneli sayesinde alan adını, kurum bilgilerini ve anahtar boyutunu doğru girdiğinizde birkaç dakikada tamamlanan bir işlemdir. Aklınızda tutmanız gereken üç temel kural şudur: CN alanına sitenizin doğru sürümünü yazın, standart siteler için 2048 bit seçin ve özel anahtarı hiçbir koşulda paylaşmayın. Bu üç noktaya dikkat ederseniz CA reddi, eşleşmeyen anahtar ya da güvenlik uyarısı gibi sorunları en baştan elemiş olursunuz.

    Clou.TR olarak SSL sürecinin her adımında yanınızdayız. cPanel'li web hosting ve WordPress hosting paketlerimizde AutoSSL hazır gelir; ücretli, kurumsal doğrulamalı ya da wildcard sertifika ihtiyaçlarınız içinse SSL çözümlerimizi inceleyebilir, kurulum ve yenilemeyi bize bırakmak isterseniz sunucu yönetimi hizmetimizden yararlanabilirsiniz. Sertifikalarınızın hangi tür olması gerektiğine karar veremiyorsanız, doğru paketi birlikte seçmek için ekibimize her zaman ulaşabilirsiniz.

    cPanelSSL

    Uygulamaya geçmeye hazır mısınız?

    NVMe SSD, ücretsiz SSL ve %99.9 uptime garantisiyle Clou.TR hosting ve sunucu çözümleriyle projenizi hayata geçirin.