OHJEET PALVELINVARMENTEEN TILAAMISEEN

Skandinaaviset merkit
Varmennepyynnössä annettavissa tiedoissa ei tule käyttää skandinaavisia tai muita erikoismerkkejä.

Hallinnollinen yhteyshenkilö
Huomioikaa hallinnollista yhteyshenkilöä asettaessanne, että kyseisen henkilön tulee olla puhelimella tavoitettavissa. Jos henkilön tavoittamisessa ilmenee vaikeuksia, varmenteen toimitus viivästyy.

Palvelimen nimi
Common Name (CN) tai Subject Alternative Name (SAN) on domain-nimi muotoa www.yritys.fi tai IP-osoite 123.45.6.7. Tämän osoitteen on oltava palvelimen rekisteröity osoite tai wildcard-varmenteen tapauksessa tähti, piste ja organisaationne hallussaoleva domain-nimi (*.domain.fi). Nimen tai nimien asettaminen varmennetilaukseen on mahdollista kahdella tavalla:

  • luomalla CSR-pyyntö, joka sisältää halutut CN- ja SAN-arvot
  • luomalla CSR:n ilman CN- tai SAN-arvoja tai yhdellä arvolla ja lisäämällä tarvittavat arvot Telian varmenteen tilauspalvelun käyttöliittymässä
Nimet www.yritys.fi ja yritys.fi
Telia tarjoaa perushinnalla varmenteeseen tuen osoitteen muodolle www:n kanssa ja ilman. Jotta tuki voidaan toimittaa, tilauksen tulee sisältää nimet (SAN-arvot) www.yritys.fi ja yritys.fi. Telia suosittelee toisen nimen lisäämistä tilauspalvelun sivulla 3 painikkeella LISÄÄ KENTTÄ. Toinen nimi on mahdollista sisällyttää myös CSR-pyyntöön tekovaiheessa. Tällöin sivustonne toimii suojattuna niin osoitteella https://www.yritys.fi kuin https://yritys.fi.

Kielletyt nimet ja IP-osoitteet
Sisäisten nimien käyttö on kielletty. Tämä tarkoittaa sitä, että palvelimen nimessä esiintyvä domainnimi on oltava virallinen DNS-palvelusta löytyvä domainnimi. Oheinen taulukko esittelee kiellettyjen arvojen tyypit:
Kielletty CN/SAN-arvoEsimerkki
Rekisteröimätön domain-pääte.local
Ei domain-päätettä ollenkaanEXCHANGESERVER1
Ei-julkinen IP-osoite10.x.x.x169.254.x.x172.16.x.x - 172.31.x.x192.168.x.x

Täydellinen lista kielletyistä osoitteista löytyy IETF:n dokumenteista RFC 1918 (IPv4) ja RFC 4193 (IPv6)

Avaimen pituus
Telia CA vaatii RSA-avaimilta vähintään 2048 bitin avainpituutta.

Varmennehierarkian muutokset
Vanhan Sonera Class 2 CA -juurivarmenteen korvaava uusi varmennehierarkia on CA/Browser Forumin vaatimusten mukainen moniportainen. Siirtymävaiheen ajan juurivarmenteena on Sonera Class 2 CA, sen alla TeliaSonera Root CA v1 (intermediate) ja palvelinvarmenteet myöntää TeliaSonera Server CA v2. Vuoteen 2019 mennessä TeliaSonera Root CA v1 korvaa täysin Sonera Class 2 CA:n ja välitaso poistuu varmennushierarkiasta. Siihen asti suositellaan kolmiportaisen varmennehierarkian asentamista palvelimelle. Oheinen taulukko näyttää kolmen varmennehierarkian luottamusketjun juurivarmenteesta palvelinvarmenteeseen:

VarmennehierarkiaJuuritaso*VälitasoMyöntävä tasoPalvelintaso
Käytössä ennen v. 2018 (Java-käytössä voimassaoleva suositus)Sonera Class 2 CATeliaSonera Root CA v1 (intermediate)TeliaSonera Server CA v2palvelin.fi
Nykyinen suositus**TeliaSonera Root CA v1TeliaSonera Server CA v2palvelin.fi

* Juurivarmennetta ei tarvitse asentaa jos palvelinohjelmisto osaa käyttää käyttöjärjestelmässä mukana olevia juurivarmentajia.
** Tämä hierarkia ei välttämättä toimi oikein, jos loppukäyttäjillä on hyvin vanhoja laitteita tai varmenne on Javan varmennevarastossa.

Tarvittavat CA-varmenteet voit ladata ylläolevan taulukon linkeistä, lataussivustolta täältä tai käytä valmiita juurivarmennepaketteja, jotka löytyvät alareunan Palvelinkohtaisista ohjeista.


CSR-pyynnön kenttien täyttöohje

Kenttä Esimerkki sisällöstä Pakollinen Lisätietoja
(CN) Common name www.yritys.fi /
*.yritys.fi
On Osoitteen oltava palvelimen rekisteröity osoite, tai wildcard-varmenteen tapauksessa tähti, piste ja domain-nimi.
(OU) Organizational unit Tietohallinto Ei Ei suositella käytettäväksi. Jos käytössä niin sisältää asiakasnimen tarkenteen.
(O) Organization Oy Yritys Ab On Oltava täsmälleen sama kuin yhteisönne Y-tunnukselle rekisteröity nimi.
(L) Locality Helsinki On O-kentässä nimetyn asiakasyrityksen kotikaupunki. Ei palvelimen sijaintipaikka!
(ST) State - Ei käytössä Tätä arvoa ei aseteta Telia Companyn myöntämiin varmenteisiin.
(C) Country FI On O-kentässä nimetyn asiakasyrityksen kotimaan koodi. Maa-koodi on AINA kaksi-kirjaiminen, esim. FI.
(E) Email webmaster@
yritys.fi
Ei Voi olla pyynnössä mukana ilmoittamassa palvelimen ylläpitäjien yhteystietoja käyttäjille.

Tyhjät meta-arvot kuten "unknown","-" ja " " ovat kiellettyjä varmennepyynnössä.

Jos käytät skandinaavisia tai muita ASCIIn ulkopuolisia merkkejä varmenteeseen tulevissa tiedoissa, varmista, että CSR-pyyntö on tehty UTF-8-merkistöä käyttäen. Esimerkiksi OpenSSL:ssä on tällöin käytettävä -utf8 -optiota.

FullSSL-asiakkailla on käytössä rajoitettu valikoima L-arvoja, jotka ovat tarkastettu kyseisen organisaation toimipaikoiksi. Jos pyynnön L-arvossa ei ole käytetty UTF-8-merkkejä, Secure Manager antaa virheilmoituksen CSR-tiedostoa avattaessa.

Käyntiosoitteen muodostaminen

Varmenne voidaan myöntää vain täydellisillä ja rekisteritietoja vastaavilla osoitetiedoilla varustetuille tilauksille. Käyntiosoite muodostuu CSR-kentistä O, L ja C, sekä tilauslomakkeen kentistä Yrityksen osoite ja Yrityksen postinumero. Postilokero ei voi olla käyntiosoite, mutta laskutusosoitteena sitä voidaan käyttää.


Domain- ja organisaationimien käytön delegointi toiselle yritykselle

Jos yrityksenne haluaa delegoida varmenteidenne luomisen ja ylläpidon toiselle yritykselle, tulee täyttää tämän sivun reunavalikosta ladattava erityinen valtuutuslomake, jolla te annatte valtuutuksen käyttää organisaatio- ja domainnimiänne toisen yrityksen toimesta.

Domain Control Validation-menetelmän varmistustiedoston sijaintipaikka

DCV-tiedostovalidoinnissa Telian toimittama tiedosto tulee asettaa tiettyyn paikkaan web-palvelimella, jotta sen tarkastus voidaan suorittaa. Esimerkkitiedosto: telia_validation_data_file_20180308.

TarkastusosoiteEsimerkki koko polusta
Linuxwww.yritys.fi/.well-known/pki-validation/telia_validation_data_file_20180308/var/www/html/.well-known/pki-validation/telia_validation_data_file_20180308
Windowswww.yritys.fi/.well-known/pki-validation/telia_validation_data_file_20180308C:\well-known\pki-validation\telia_validation_data_file_20180308
Windowssissa ei ole mahdollista asettaa polkuun pistettä. Siksi IIS:ssä tulee luoda virtuaalinen hakemisto avaamalla valikko oikean napin klikkaamisella palvelimesi nimen päällä ja valitsemalla Add virtual directory. Laita aliakseksi .well-known ja lisää Physical path-kenttään polku C:\well-known\pki-validation

PALVELINKOHTAISET OHJEET

Apache
Microsoft IIS ja Azure
Oracle Java
Tomcat