PALVELINVARMENTEEN TILAAMINEN - PALVELINKOHTAISET OHJEET

MICROSOFT IIS JA AZURE


IIS 10

VAIHE 1. VARMENNEPYYNNÖN LUONTI IIS 10

  1. Avaa Start-painikkeen takaa löytyvä valikko Windows Administrative Tools, josta valitse Internet Information Services
  2. Klikkaa palvelimen nimeä
  3. Tuplaklikkaa IIS-osiossa olevaa kuvaketta Server Certificates
  4. Valitse oikealta Actions-menusta Create Certificate Request
  5. Syötä seuraavat tiedot Distinguished Name Properties-ikkunaan:
    1. Common Name: palvelimen täysi DNS-nimi
    2. Organization: yhteisönne nimi siten, että se vastaa täsmälleen Y-tunnuksellenne rekisteröityä nimeä
    3. Organizational Unit: ei tule varmenteeseen
    4. City/locality: pakollinen kenttä
    5. State/province: ei tule varmenteeseen Suomen tai Ruotsin ollessa kyseessä
    6. Country/region: esimerkiksi FI
  6. Käytä oletusarvoa Microsoft RSA SChannel Cryptographic Service Provider Properties-valinnassa. Aseta avaimen pituudeksi vähintään 2048
  7. Syötä File name-sivulle nimi CSR-tiedostolle
  8. Avaa tekemäsi varmennepyyntö (MyCertReq.txt) Notepad-ohjelmalla ja kopioi sisältö joko yksittäisen tilauksen tilaussivulle tai itsepalveluportaalin Palvelinvarmennepyyntö-kenttään. Älä kopioi välilyöntejä tai tyhjiä rivejä!

VAIHE 2. VARMENTEEN ASENTAMINEN JA KÄYTTÖÖNOTTO IIS 10

  1. Käytettäessä tilaamiseen kirjautumista vaatimatonta webshopia, Telia lähettää asiakkaalle sähköpostilinkin, josta varmenne ladataan. Itsepalveluportaalia käytettäessä varmenne on tallennettavissa luontiprosessin viimeisestä näkymästä.
    2. Tallenna varmenne omalle työasemallesi tai suoraan Windows-palvelimelle seuraavien ohjeiden avulla esim. nimelle MyCert.cer. Seuraavilla ohjeilla sekä varmenne, että varmennusketjun varmenteet tallentuvat samaan tiedostoon, eikä varmennusketjua tarvitse erikseen asentaa MMC snap-in-työkalulla
    • Jos teit varmenteesi kirjautumista edellyttävällä itsepalveluportaalilla:
      Valitse varmenteen luontiprosessin viimeisessä näkymässä varmenteen koodaukseksi PEM (Base64). Klikkaa ZIP-painiketta, jolloin varmenne ladataan zip-pakettina, jossa ovat oma varmenteesi sekä varmenneketjun varmenteet erillisinä tiedostoina.

      Pura zip ja avaa varmenneketjun muut tiedostot paitsi TeliaSonera Root CA v1 tekstieditorilla, esimerkiksi Notepad. Laita kopioi ja liitä-toiminnolla tekstieditorissa varmenneketjun varmenteet seuraavaan järjestykseen tiedostoon, jossa omanvarmenteesi PEM-koodi on:

      ylimpänä oman palvelimesi varmenne
      seuraavanä myöntävä taso (Telia Server CA v3 tai Telia Domain Validation CA v3)
      viimeisenä ristiinvarmennuksen välitasovarmenne Telia Root CA v2.
      TeliaSonera Root CA v1 varmennetta ei tarvita, koska se löytyy kaikista Windows-laitteista. Tallenna tiedosto ja vie se palvelimellesi


    • Jos teit varmenteesi kirjautumista edellyttämättömällä webshop-palvelulla:
      Avattuasi sähköpostilla saapuneen varmenteen noutoviestin, tallenna PEM (Base64)-muodossa oma varmenteesi tekstitiedostoon. Avaa tiedosto esimerkiksi Notepad-tekstieditorilla ja liitä varmenteesi alle seuraavat tiedostot. Nämä löytyvät varmenneviestisi alaosasta kohdasta Varmentajan varmennehierarkia PEM-muodossa:. Laita oman varmenteesi alle seuraavat varmenteet:
      ylimpänä oman palvelimesi varmenne
      seuraavanä myöntävä taso Telia Server CA v3
      viimeisenä ristiinvarmennuksen välitasovarmenne Telia Root CA v2.
      TeliaSonera Root CA v1 varmennetta (alin lataussivulla) ei tarvita, koska se löytyy kaikista Windows-laitteista.
      Tallenna tiedosto ja vie se palvelimellesi
  2. Avaa IIS:n hallinta kohdissa 1-3 kuvatuilla toimilla
  3. Valitse oikealla puolella olevasta Actions-valikosta Complete Certificate Request
  4. Avaa varmennetiedoston haku klikkaamalla painiketta, jossa on kolme pistettä (...)
  5. Hae tallentamasi varmenne (MyCert.cer). Jos varmennetiedostoa ei näy kansiossa, vaihda alasvetovalikosta näkyvien tiedostojen tyypiksi *.*
  6. Aseta varmenteelle nimi kenttään Friendly name:. Nimi erottelee varmenteen muista saman CN/SAN-nimen omaavista varmenteista varmennelistauksella
  7. Valitse varmennevarastoksi alasvetovalkosta Web Hosting
  8. Klikkaa OK ja varmenteesi asentuu IIS:iin

  9. Valitse IIS Manager-työkalussa Sites-kohdasta tulevasta listauksesta nettisaittisi. Valitse vasemmalla olevasta Actions-valikosta Bindings
  10. Klikkaa Add avautuneessa ikkunassa, jos binding-asetuksia ei ole luotu aiemmin. Lisää https-binding valitsemalla Type-alasvetovalikosta https. Avautuu uusi valinta sivun alalaitaan, jossa on teksti SSL Certiticate: Not selected. Klikkaa Select-painiketta. Valitse äsken asennettu varmenne avautuvasta valikosta ja klikkaa . Klikkaa myös aiemmassa näkymässä OK ja tämän jälkeen Close
  11. Mikäli https-binding on jo olemassa, valitse se ja klikkaa Edit. Klikkaa Select-painiketta. Valitse äsken asennettu varmenne avautuvasta valikosta ja klikkaa . Klikkaa myös aiemmassa näkymässä OK ja tämän jälkeen Close
  12. Uudelleenkäynnistä IIS Actions-valikon Manage Website-kohdan toiminnolla Restart
  13. Jos käytät Microsoftin ISA/TMG/UAG palvelinta, käynnistä palvelin uudelleen
  14. Testaa sivujesi toiminta ottamalla selaimella yhteys tyyliin https://sinunsivusto.fi

VARMUUSKOPIOINTI IIS 10

  1. Avaa Start-painikkeen takaa löytyvä valikko Windows Administrative Tools, josta valitse Internet Information Services
  2. Klikkaa palvelimen nimeä valikosta vasemmalta
  3. Tuplaklikkaa keskivalikossa Security-osiossa olevaa kuvaketta Server Certificates
  4. Valitse oikealta Actions-menusta Export
  5. Export Certificate ikkunassa valitse paikka jonne varmenne varmuuskopioidaan ja määrittele salasana varmuuskopiolle, klikkaa OK
  6. Säilytä varmuuskopio turvallisesti. Varmuuskopio on tyyppiä .pfx, eli sisältää kaiken tarvittavan palautukseen, myös yksityisen avaimen

PALAUTUS VARMUUSKOPIOSTA IIS 10

  1. Avaa Start-painikkeen takaa löytyvä valikko Windows Administrative Tools, josta valitse Internet Information Services
  2. Klikkaa palvelimen nimeä
  3. Tuplaklikkaa keskivalikossa Security-osiossa olevaa kuvaketta Server Certificates
  4. Valitse oikealta Actions-menusta Import
  5. Import Certificate -ikkunassa hae varmuuskopioitu varmenne ja anna salasana jolla varmuuskopioitu varmenne on suojattu. Valitse varmennevarastoksi Web Hosting. Klikkaa OK
  6. Varmenne on palautettu varmuuskopiosta. Ota varmenne käyttöön tekemällä binding web-palveluusi

INTERMEDIATE-VARMENTEEN ASENTAMINEN

  1. Avaa Microsoft Management Console (MMC) Start -> Run -> kirjoita "mmc" ja klikkaa "ok" tai paina enter
  2. Avaa Add/remove snap-in ikkuna File -> Add/Remove Snap-in
  3. Avaa Certificates Snap-in Klikkaa 'Add' ja klikkaa 'Certificates'
  4. Valitse 'Computer Account' ja klikkaa 'Next'
  5. Valitse 'Local Computer' ja klikkaa 'Finish'
  6. Sulje 'Add Standalone Snap-in' ikkuna ja klikkaa 'OK'
  7. Laajenna Certificate näkymä klikkaamalla plus (+) merkkiä
  8. Klikkaa hiiren oikeanpuoleisella näppäimellä 'Intermediate Certification Authorities' päällä, valitse 'All Tasks' ja valitse 'Import'
  9. Etsi Intermediate varmenne (TS_intermediate.p7b) ja klikkaa 'next' ja 'Finish'.


AZURE


Tarvitset Microsoft Azure-pilvipalvelutilauksen lisäksi tietokoneen, jossa on asennettuna OpenSSL tai Microsoft IIS, jotta saat vietyä Telia-varmenteen Azureen. Voit viedä tämän ohjeen avulla myös varmenteesi toiseen IIS-instanssin.

VAIHE 1. VARMENNEPYYNNÖN LUONTI OPENSSL:LLÄ TAI IIS:LLÄ

  1. Luo varmennepyyntö käyttäen OpenSSL:n komentoa openssl req -new -newkey rsa:2048 -nodes tai ylläkuvattua IIS:n CSR-luontia. Pidä huolta yksityisestä avaimesta; OpenSSL:ää käytettäessä tarvitset yksityistä avainta myöhemmin pfx-tiedostoa luotaessa.
  2. Tilaa varmenne käyttättäen Telian tilauspalvelua.

VAIHE 2a. LUO PFX-TIEDOSTO OPENSSL:LLÄ

  1. OpenSSL:n tapauksessa luo kaksi tiedostoa saamastasi varmennetoimitusviestistä: a) palvelinvarmennetiedosto esimerkiksi nimellä palvelin.cer viestin yläosan varmenneblokista ja b) juurivarmennenipputiedosto varmenneviestin alaosan juurivarmenneblokeista (3 kpl blokkeja).
  2. Luo varmennetiedostosta, yksityisestä avaimesta ja juurivarmennenipusta pfx-tiedosto komennolla: openssl pkcs12 -export -out pfxtiedosto.pfx -inkey privkey.pem -in palvelin.cer -certfile teliarootnippu.cer.

VAIHE 2b. LUO PFX-TIEDOSTO IIS:LLÄ

  1. IIS:n tapauksessa luo samat varmennetiedosto ja juurivarmennenipputiedosto varmenneviestistä kuin OpenSSL:llä. Vie varmenne ja juurivarmenteet IIS:iin ylempänä kuvatulla tavalla. Luo pfx-tiedosto valitsemalla Certificates snap-in, valitsemalla äsken syöttämäsi varmenne ja ottamalla Action -menusta All Tasks ja Export.
  2. Valitse seuraavat valinnat Certificate Export Wizardissa: Yes, export the private key / Include all certificates in the certification path if possible / Export all extended properties. Syötä pfx-tiedostolle salasana ja tiedostonimi.

VAIHE 3. PFX:N SISÄLLÖN TARKASTELU

  1. Voit halutessasi tarkastaa pfx-tiedoston sisällön komennolla certutil.exe -dump tiedosto.pfx. Tiedostossa tulisi olla palvelinvarmenteesi tilassa "Encryption test passed" ja muut ketjun varmenteet TeliaSonera Server CA v2, TeliaSonera Root CA v1 ja Sonera Class 2 CA. Näille varmenteille ei luonnollisesti ole yksityistä avainta.

VAIHE 4. VIE PFX-TIEDOSTO AZUREEN

  1. Vie pfx-tiedosto Azureen valitsemalla vasemalla olevasta valikosta SSL Certificates ja klikkaa Upload Certificatea. Valitse tiedostovalintakuvakkeella luomasi pfx ja syötä sen salasana.
  2. Varmenne näkyy nyt varmennelistassa. Sido varmenteesi web-palveluusi Add binding-toiminnolla.

MICROSOFTIN SIVUT