Skandinaaviset merkit
- Skandinaavisia merkkejä voidaan käyttää varmennepyynnössä Organization (O) ja Locality (L)-arvoissa suoraan ilman erikoisjärjestelyjä. Rajoitteena on vaatimus UTF-8-merkistön käytöstä. Linux-pohjaisissa järjestelmissä tämä on oletusmerkistö. Windows- ja Apple-järjestelmissä skandinaaviset merkit eivät ole oletuksena UTF-8:a ja niillä luotu varmennepyyntö ei ole kelvollinen. OpenSSL-ohjelmistossa tulee käyttää valintaa
-utf8 - Verkkotunnuksessa ei voida käyttää mitään muita merkkejä suoraan paitsi a-z, 0-9 ja -. Jos verkkotunnusta halutaan käyttää skandinaavisilla merkeillä, tulee erikoismerkkejä sisältävä verkkotunnus asettaa punycode-koodattuna varmennepyyntöön. Lisätietoa kansallisten merkkien käytöstä ja punycodea tuottava IDN-muunnin on Liikenne- ja viestintäviraston verkkopalvelussa.
- Varmennepyynnössä ei tule käyttää muita erikoismerkkejä, kuten alaviivaa (_).
Hallinnollinen yhteyshenkilö
Huomioikaa hallinnollista yhteyshenkilöä asettaessanne, että kyseisen henkilön tulee olla puhelimella tavoitettavissa. Jos henkilön tavoittamisessa ilmenee vaikeuksia, varmenteen toimitus viivästyy.
Palvelimen nimi
Common Name (CN) tai Subject Alternative Name (SAN) on domain-nimi muotoa www.yritys.fi tai IP-osoite 123.45.6.7. Tämän osoitteen on oltava palvelimen rekisteröity osoite tai wildcard-varmenteen tapauksessa tähti, piste ja organisaationne hallussaoleva domain-nimi (*.domain.fi). Nimen tai nimien asettaminen varmennetilaukseen on mahdollista kahdella tavalla:
- luomalla CSR-pyyntö, joka sisältää halutut CN- ja SAN-arvot
- luomalla CSR:n ilman CN- tai SAN-arvoja tai yhdellä arvolla ja lisäämällä tarvittavat arvot Telian varmenteen tilauspalvelun käyttöliittymässä
Telia tarjoaa perushinnalla varmenteeseen tuen osoitteen muodolle www:n kanssa ja ilman. Jotta tuki voidaan toimittaa, tilauksen tulee sisältää nimet (SAN-arvot) www.yritys.fi ja yritys.fi. Telia suosittelee toisen nimen lisäämistä tilauspalvelun sivulla 3 painikkeella LISÄÄ KENTTÄ. Toinen nimi on mahdollista sisällyttää myös CSR-pyyntöön tekovaiheessa. Tällöin sivustonne toimii suojattuna niin osoitteella https://www.yritys.fi kuin https://yritys.fi.
Kielletyt nimet ja IP-osoitteet
Sisäisten nimien käyttö on kielletty. Tämä tarkoittaa sitä, että palvelimen nimessä esiintyvä domainnimi on oltava virallinen DNS-palvelusta löytyvä domainnimi. Oheinen taulukko esittelee kiellettyjen arvojen tyypit:
| Kielletty CN/SAN-arvo | Esimerkki | |||
| Rekisteröimätön domain-pääte | .local | |||
| Ei domain-päätettä ollenkaan | EXCHANGESERVER1 | |||
| Ei-julkinen IP-osoite | 10.x.x.x | 169.254.x.x | 172.16.x.x - 172.31.x.x | 192.168.x.x |
Täydellinen lista kielletyistä osoitteista löytyy IETF:n dokumenteista RFC 1918 (IPv4) ja RFC 4193 (IPv6)
Tuetut avaintyypit ja avaimen pituus
Telia CA tukee RSA- ja ECC-avaimia. RSA-avaimilta vaaditaan vähintään 2048 bitin avainpituus.
Elliptisten käyrien kryptografiasta tuetaan seuraavia EC-käyriä:
- prime256v1
- secp384r1
Nykyinen Telia Varmennepalvelun varmenneketju koostuu juurivarmenteesta Telia Root CA v2 ja välitason varmenteista Telia Server CA v3 ja Telia Domain Validation CA v3. Vanha TeliaSonera Root CA v1:stä alkava varmenneketju on voimassa vuoteen 2026 asti.
Oheinen taulukko näyttää varmennehierarkian luottamusketjun juurivarmenteesta palvelinvarmenteeseen:
| Varmennehierarkia | Juuritaso* | Välitaso | Myöntävä taso | Palvelintaso |
| Vanha varmennusketju OV | TeliaSonera Root CA v1 | Telia Root CA v2 intermediate | Telia Server CA v3 → | palvelin.fi |
| Vanha varmennusketju DV | TeliaSonera Root CA v1 | Telia Root CA v2 intermediate | Telia Domain Validation CA v3 → | palvelin.fi |
| Nykyinen varmenneketju OV | Telia Root CA v2 → | Telia Server CA v3 → | palvelin.fi | |
| Nykyinen varmenneketju DV | Telia Root CA v2 → | Telia Domain Validation CA v3 → | palvelin.fi |
* Juurivarmennetta ei tarvitse asentaa palvelinpäässä, jos palvelinohjelmisto osaa käyttää käyttöjärjestelmässä mukana olevia juurivarmentajia.
Tarvittavat CA-varmenteet saat varmennetoimituksen mukana. Voit ladata ne myös ylläolevan taulukon linkeistä, tai lataussivustolta täältä.
CSR-pyynnön kenttien täyttöohje
| Kenttä | Esimerkki sisällöstä | Pakollinen | Lisätietoja |
| (CN) Common name | www.yritys.fi / *.yritys.fi |
On | Osoitteen oltava palvelimen rekisteröity osoite, tai wildcard-varmenteen tapauksessa tähti, piste ja domain-nimi. |
| (OU) Organizational unit | Tietohallinto | Kielletty | Tätä arvoa ei aseteta Telia myöntämiin varmenteisiin. CA/Browser Forum on kieltänyt arvon käytön v. 2022. |
| (O) Organization | Oy Yritys Ab | On | Oltava täsmälleen sama kuin yhteisönne Y-tunnukselle rekisteröity nimi. |
| (L) Locality | Helsinki | On | O-kentässä nimetyn asiakasyrityksen kotikaupunki. Ei palvelimen sijaintipaikka! |
| (ST) State | - | Ei käytössä | Tätä arvoa ei aseteta Telia myöntämiin varmenteisiin. |
| (C) Country | FI | On | O-kentässä nimetyn asiakasyrityksen kotimaan koodi. Maa-koodi on AINA kaksi-kirjaiminen, esim. FI. |
| (E) Email | - | Ei käytössä | Tätä arvoa ei aseteta Telia myöntämiin varmenteisiin. |
Tyhjät meta-arvot kuten "unknown","-" ja " " ovat kiellettyjä varmennepyynnössä.
Jos O/L sisältävät skandinaavisia merkkejä, käytä UTF-8-merkistöä.
FullSSL-asiakkailla on käytössä rajoitettu valikoima L-arvoja, jotka ovat tarkastettu kyseisen organisaation toimipaikoiksi.
Käyntiosoitteen muodostaminen
Varmenne voidaan myöntää vain täydellisillä ja rekisteritietoja vastaavilla osoitetiedoilla varustetuille tilauksille. Käyntiosoite muodostuu CSR-kentistä O, L ja C, sekä tilauslomakkeen kentistä Yrityksen osoite ja Yrityksen postinumero. Postilokero ei voi olla käyntiosoite, mutta laskutusosoitteena sitä voidaan käyttää.
Organisaationimien käytön delegointi toiselle yritykselle
Jos yrityksenne haluaa delegoida varmenteidenne luomisen ja ylläpidon toiselle yritykselle, tulee täyttää tämän sivun reunavalikosta ladattava erityinen valtuutuslomake, jolla te annatte valtuutuksen käyttää organisaationimeänne toisen yrityksen toimesta.
Domain Control Validation-menetelmä verkkotunnuksen hallinnan toteamisessa
Vuodesta 2018 alkaen verkkotunnuksen hallinta vahvistetaan yhdellä neljästä validointimenetelmästä. Validointi on tehtävä aina verkkotunnuksille, joille ei ole luotu aiemmin varmennetta Telian varmennepalvelun kautta. Lue lisää
YKSITYISEN AVAIMEN LUONTI
Yksityisen avaimen luonti OpenSSL:lläPALVELINKOHTAISET OHJEET
ApacheMicrosoft IIS ja Azure
Oracle Java
Tomcat