SSL SERVERCERTIFIKAT - INSTRUKTIONER

Specialtecken
De uppgifter som lämnas med certifikatbegäran får inte innehålla skandinaviska tecken (å, ä, ö) eller andra specialtecken.

Administrativ kontaktperson
Observera att när du anger en administrativ kontaktperson så måste denna person finnas tillgänglig för att besvara ett telefonsamtal från oss för verifiering. Om han/hon inte går att kontakta kommer certifikatleveransen att försenas.

Servernamn
Common Name (CN) eller Subject Alternative Name (SAN) har oftast formen www.foretag.se eller som en IP-adress 123.4.5.6. Adressen skall vara registrerad för aktuell server. Om man beställer ett wildcardcertifikat (*.domän.com), ska Common Name (CN) vara i formen en asterix, en punkt och ett domännamn för vilket er organisation är ägare till (*.foretag.se). Det finns två sätt att skriva in namnet/namnen vid en certifikatbeställning:

  • Genom att skapa en Certificate Signing Request (CSR) med alla CN och SAN-värden
  • Genom att skapa Certificate Signing Request (CSR) med eller utan ett CN/SAN-värde de man kan addera fler värden i beställningsformuläret de certifikatet beställs.
De inte tillåtna namn och IP-addresser
Det är inte tillåtet att använda interna namn. Domännamnet måste alltså finnas med i det officiella DNS-registret.
Tabellen nedan visar exempel på otillåtna värden:
CN/SAN värdeExempel
Oregistrerad domän.local
Ingen domänEXCHANGESERVER1
Privat IP-adress10.x.x.x169.254.x.x172.16.x.x - 172.31.x.x192.168.x.x

En fullständig lista av de privata IP-adresser finns i IETF dokument RFC 1918 (IPv4) och RFC 4193 (IPv6)

Nyckellängd
Vid beställningar av certifikat är det obligatoriskt med en nyckellängd på minst 2048 bitar.

Ändringarna i certifieringshierarki
Den nya certifieringshierarkin som ersätter Sonera Class 2 CA rotcertifikat har krav på flera nivåer enligt CA / Browser Forum. Rotcertifikatet är Sonera Class 2 CA vid övergångsperioden, i mellannivån finns TeliaSonera Root CA v1 (intermediate) för servercertifikat som utfärdas av TeliaSonera Server CA v2. TeliaSonera Root CA v1 kommer att helt ersätta Sonera Class 2 CA från år 2019 och mellannivån kommer att tas bort från den certifikathierarkin. Tills dess att migreringen är klar rekommenderar vi en installation av tre nivåers certifikathierarki till servrarna.

CertifieringshierarkiRotnivå*MellannivåUtfärdande nivåServernivå
I bruk till år 2012Sonera Class 2 CAserver.se
Nuvarande rekommendationSonera Class 2 CATeliaSonera Root CA v1 (intermediate)TeliaSonera Server CA v2server.se
Rekommendation efter år 2017 **TeliaSonera Root CA v1TeliaSonera Server CA v2server.se

* Installation av rotcertifikaten är inte nödvändigt om serverapplikationen kan använda operativsystemets certifikatlager.
** Den här hierarkin kan ge säkerhetsvarningar om användarna har en ovanligt gammal utrustning eller operativsystem.

De rotcertifikat som behövs kan laddas ner från länkarna i tabellen eller här. Rotcertifikatpaketen som finns i kapitlet Instruktioner för olika servrar kan också användas.

Instruktion för CSR-innehåll

Fält Exampel Krav Information
(CN) Common name www.foretag.se /
*.foretag.se
Ja Denna adress skall vara registrerad för servern, eller om certifikatet är ett wildcard-certifikat, Common Name måste vara i formen en asterix, en punkt och ett domännamn
(OU) Organizational unit IT Avd Nej Rekommenderas inte. Om fältet används, bör detta innehålla extra information om organisationen
(O) Organization Företaget AB Ja Organisationsnamnet måste vara det officiella registrerade namnet
(L) Locality Stockholm Ja Huvudsäte för organisationen ska finnas i värdet O
(ST) State - Inte i bruk Detta värde ingår inte i certifikat utfärdade av Telia Company.
(C) Country SE Ja Landskoden för organisationens säte i värde O. Detta värde har alltid två bokstäver
(E) Email webmaster@
foretag.se
Nej Den här adressen kan användas för att meddela användare om en administratörs kontaktinformation
Tomma meta-värden som "unknown","-" och " " inte är tillåtna som CSR-värden.

Sammansättning av en korrekt registrerad adress

Ett certifikat kan endast utfärdas om det lämnats fullkomliga uppgifter som stämmer överens mot uppgifterna i ett officiellt godkänt register. En registrerad adress består av CSR-fälten O, L och C och fälten Organisationens adress samt Postnummer i beställningsformuläret. Registrerad adress kan inte vara en boxadress utan måste vara en gatu/besöksadress. En fakturaadress kan vara en boxadress..

ANVISNINGAR FÖR OLIKA SERVRAR

Apache
Microsoft IIS
Tomcat