YKSITYISEN AVAIMEN HALLINNAN TODISTAMINEN



Huomaa: älä lähetä revokointilomakkeella hallintatodisteena koskaan yksityistä avaintasi!

Revokointisyyn ollessa avaimen vaarantuminen, voit todistaa tarvittaessa avaimen hallinnan lähettämällä Telialle avaimesta otetun tiivisteen allekirjoituksen. Avaimen hallinnan todistaminen koskee vain avaimen vaarantumista. Älä lähetä tiivisteen allekirjoitusta muiden revokointisyiden tapauksessa.

Huomaa, että syyn ollessa avaimen vaarantuminen ja hallinnan ollessa todistettuna, kaikki samalla avaimella tehdyt varmenteet revokoidaan. Varmista ennen tätä toimenpidettä, ettei avain ole käytössä varmenteissa, joita ei haluta poistaa käytöstä.

Yksityisen avaimen hallinta todistetaan Telia Varmennepalvelussa ottamalla avaimesta tiivisteen allekirjoitus, joka toimitetaan revokointilomakkeen lisätietokentässä Telialle. Alla on ohje tiivisteen allekirjoituksen ottamiseen.

Allekirjoituksen ottamiseen tarvitaan OpenSSL-ohjelmisto, joka on Linux- ja Mac OSX-käyttöjärjestelmissä vakiona.

  1. Selvitä, missä revokoitavan varmenteen yksityinen avain on. Avain löytyy palvelimelta, jossa varmenne on käytössä.


  2. Seuraava kohta koskee vain Windows-käytössä olevia varmenteita. Windows Server-palvelimella saat yksityisen avaimen ja varmenteen vietyä pfx-paketiksi IIS Managerin Server Certificates-kohdasta oikealla hiirennäppäimellä löytyvästä Export-toiminnolla. Pfx-tiedosto tulee pilkkoa OpenSSL:llä varustetulla tietokoneella erillisiksi varmenteeksi ja avaimeksi komennolla openssl pkcs12 -in keyStore.pfx -out keyStore.pem -nodes. Pilkkomisessa vaaditaan varmennetta Windowsista vietäessä asettamasi salasana. Korvaa keyStore.pfx oman pfx-tiedostosi nimellä. Tiedosto keystore.pem sisältää sekä yksityisen avaimen että varmenteen. Ne tulee pilkkoa todistelutiivisteen luontia varten erillisiksi tiedostoiksi esimerkiksi tekstieditorilla ja leikkaa/liitä-toiminnolla.


  3. Aja seuraavat komennot OpenSSL:llä varustetulla tietokoneella, jossa avain ja varmenne ovat. Tiivisteen allekirjoituksen tulostuu tiedostoksi signature.hash:

    • Tiivisteen luonti yksityisestä avaimesta nimeltä secp384r1.key:
      echo "PoP verification" | openssl dgst -sha256 -sign secp384r1.key |base64 > signature.hash
    • Tiivisteen tarkastus varmenteen ec_public.pem osalta tiedostossa signature.hash olevaa tiivistettä vasten:
      echo "PoP verification" | openssl dgst -sha256 -verify <(openssl x509 -pubkey -noout -in ec_public.pem) -signature <(base64 -d signature.hash)


  4. Toimita tiivisteen allekirjoitus Telialle revokointipyyntöä tehdessä liittämällä se lisätietokenttään