OHJEET PALVELINVARMENTEEN TILAAMISEEN

Skandinaaviset merkit

  • Skandinaavisia merkkejä voidaan käyttää varmennepyynnössä Organization (O), Organizational Unit (OU) ja Locality (L)-arvoissa suoraan ilman erikoisjärjestelyjä. Rajoitteena on vaatimus UTF-8-merkistön käytöstä. Linux-pohjaisissa järjestelmissä tämä on oletusmerkistö. Windows- ja Apple-järjestelmissä skandinaaviset merkit eivät ole oletuksena UTF-8:a ja niillä luotu varmennepyyntö ei ole kelvollinen. OpenSSL-ohjelmistossa tulee käyttää valintaa -utf8
  • Verkkotunnuksessa ei voida käyttää mitään muita merkkejä suoraan paitsi a-z ja 0-9. Jos verkkotunnusta halutaan käyttää skandinaavisilla merkeillä, tulee erikoismerkkejä sisältävä verkkotunnus asettaa punycode-koodattuna varmennepyyntöön. Lisätietoa kansallisten merkkien käytöstä ja punycodea tuottava IDN-muunnin on Liikenne- ja viestintäviraston verkkopalvelussa.
  • Varmennepyynnössä ei tule käyttää muita erikoismerkkejä, kuten alaviivaa (_).

Hallinnollinen yhteyshenkilö
Huomioikaa hallinnollista yhteyshenkilöä asettaessanne, että kyseisen henkilön tulee olla puhelimella tavoitettavissa. Jos henkilön tavoittamisessa ilmenee vaikeuksia, varmenteen toimitus viivästyy.

Palvelimen nimi
Common Name (CN) tai Subject Alternative Name (SAN) on domain-nimi muotoa www.yritys.fi tai IP-osoite 123.45.6.7. Tämän osoitteen on oltava palvelimen rekisteröity osoite tai wildcard-varmenteen tapauksessa tähti, piste ja organisaationne hallussaoleva domain-nimi (*.domain.fi). Nimen tai nimien asettaminen varmennetilaukseen on mahdollista kahdella tavalla:

  • luomalla CSR-pyyntö, joka sisältää halutut CN- ja SAN-arvot
  • luomalla CSR:n ilman CN- tai SAN-arvoja tai yhdellä arvolla ja lisäämällä tarvittavat arvot Telian varmenteen tilauspalvelun käyttöliittymässä
Nimet www.yritys.fi ja yritys.fi
Telia tarjoaa perushinnalla varmenteeseen tuen osoitteen muodolle www:n kanssa ja ilman. Jotta tuki voidaan toimittaa, tilauksen tulee sisältää nimet (SAN-arvot) www.yritys.fi ja yritys.fi. Telia suosittelee toisen nimen lisäämistä tilauspalvelun sivulla 3 painikkeella LISÄÄ KENTTÄ. Toinen nimi on mahdollista sisällyttää myös CSR-pyyntöön tekovaiheessa. Tällöin sivustonne toimii suojattuna niin osoitteella https://www.yritys.fi kuin https://yritys.fi.

Kielletyt nimet ja IP-osoitteet
Sisäisten nimien käyttö on kielletty. Tämä tarkoittaa sitä, että palvelimen nimessä esiintyvä domainnimi on oltava virallinen DNS-palvelusta löytyvä domainnimi. Oheinen taulukko esittelee kiellettyjen arvojen tyypit:
Kielletty CN/SAN-arvoEsimerkki
Rekisteröimätön domain-pääte.local
Ei domain-päätettä ollenkaanEXCHANGESERVER1
Ei-julkinen IP-osoite10.x.x.x169.254.x.x172.16.x.x - 172.31.x.x192.168.x.x

Täydellinen lista kielletyistä osoitteista löytyy IETF:n dokumenteista RFC 1918 (IPv4) ja RFC 4193 (IPv6)

Tuetut avaintyypit ja avaimen pituus
Telia CA tukee RSA- ja ECC-avaimia. RSA-avaimilta vaaditaan vähintään 2048 bitin avainpituus.
Elliptisten käyrien kryptografiasta tuetaan seuraavia EC-käyriä:

  • prime256v1
  • secp256k1
  • secp384r1
  • secp521r1
Varmennehierarkian muutokset
Vanhan Sonera Class 2 CA -juurivarmenteen korvaava uusi varmennehierarkia on CA/Browser Forumin vaatimusten mukainen moniportainen. Siirtymävaiheen ajan juurivarmenteena on Sonera Class 2 CA, sen alla TeliaSonera Root CA v1 (intermediate) ja palvelinvarmenteet myöntää TeliaSonera Server CA v2. Vuoteen 2020 mennessä TeliaSonera Root CA v1 korvaa täysin Sonera Class 2 CA:n ja välitaso poistuu varmennushierarkiasta. Siihen asti suositellaan kolmiportaisen varmennehierarkian asentamista palvelimelle. Oheinen taulukko näyttää varmennehierarkian luottamusketjun juurivarmenteesta palvelinvarmenteeseen:
VarmennehierarkiaJuuritaso*VälitasoMyöntävä tasoPalvelintaso
Käytössä ennen v. 2020 (Java-käytössä voimassaoleva suositus)Sonera Class 2 CATeliaSonera Root CA v1 (intermediate)TeliaSonera Server CA v2palvelin.fi
Nykyinen suositus**TeliaSonera Root CA v1TeliaSonera Server CA v2palvelin.fi

* Juurivarmennetta ei tarvitse asentaa jos palvelinohjelmisto osaa käyttää käyttöjärjestelmässä mukana olevia juurivarmentajia.
** Tämä hierarkia ei välttämättä toimi oikein, jos loppukäyttäjillä on hyvin vanhoja laitteita tai varmenne on vanhentuneen Java-version varmennevarastossa.

Tarvittavat CA-varmenteet voit ladata ylläolevan taulukon linkeistä, lataussivustolta täältä tai käytä valmiita juurivarmennepaketteja, jotka löytyvät alareunan Palvelinkohtaisista ohjeista.


CSR-pyynnön kenttien täyttöohje

Kenttä Esimerkki sisällöstä Pakollinen Lisätietoja
(CN) Common name www.yritys.fi /
*.yritys.fi
On Osoitteen oltava palvelimen rekisteröity osoite, tai wildcard-varmenteen tapauksessa tähti, piste ja domain-nimi.
(OU) Organizational unit Tietohallinto Ei Ei suositella käytettäväksi. Jos käytössä niin sisältää asiakasnimen tarkenteen.
(O) Organization Oy Yritys Ab On Oltava täsmälleen sama kuin yhteisönne Y-tunnukselle rekisteröity nimi.
(L) Locality Helsinki On O-kentässä nimetyn asiakasyrityksen kotikaupunki. Ei palvelimen sijaintipaikka!
(ST) State - Ei käytössä Tätä arvoa ei aseteta Telia Companyn myöntämiin varmenteisiin.
(C) Country FI On O-kentässä nimetyn asiakasyrityksen kotimaan koodi. Maa-koodi on AINA kaksi-kirjaiminen, esim. FI.
(E) Email - Ei käytössä Tätä arvoa ei aseteta Telia Companyn myöntämiin varmenteisiin.

Tyhjät meta-arvot kuten "unknown","-" ja " " ovat kiellettyjä varmennepyynnössä.

Jos O/OU/L sisältävät skandinaavisia merkkejä, käytä UTF-8-merkistöä.

FullSSL-asiakkailla on käytössä rajoitettu valikoima L-arvoja, jotka ovat tarkastettu kyseisen organisaation toimipaikoiksi. Jos pyynnön L-arvossa ei ole käytetty UTF-8-merkkejä, Secure Manager antaa virheilmoituksen CSR-tiedostoa avattaessa.

Käyntiosoitteen muodostaminen

Varmenne voidaan myöntää vain täydellisillä ja rekisteritietoja vastaavilla osoitetiedoilla varustetuille tilauksille. Käyntiosoite muodostuu CSR-kentistä O, L ja C, sekä tilauslomakkeen kentistä Yrityksen osoite ja Yrityksen postinumero. Postilokero ei voi olla käyntiosoite, mutta laskutusosoitteena sitä voidaan käyttää.


Organisaationimien käytön delegointi toiselle yritykselle

Jos yrityksenne haluaa delegoida varmenteidenne luomisen ja ylläpidon toiselle yritykselle, tulee täyttää tämän sivun reunavalikosta ladattava erityinen valtuutuslomake, jolla te annatte valtuutuksen käyttää organisaationimeänne toisen yrityksen toimesta.

Domain Control Validation-menetelmä verkkotunnuksen hallinnan toteamisessa

1.8.2018 alkaen verkkotunnuksen hallinta vahvistetaan yhdellä neljästä validointimenetelmästä. Validointi on tehtävä aina verkkotunnuksille, joille ei ole luotu aiemmin varmennetta Telian varmennepalvelun kautta. Lue lisää


PALVELINKOHTAISET OHJEET

Apache
Microsoft IIS ja Azure
Oracle Java
Tomcat