OHJEET PALVELINVARMENTEEN TILAAMISEEN

Skandinaaviset merkit
Varmennepyynnössä annettavissa tiedoissa ei tule käyttää skandinaavisia tai muita erikoismerkkejä.

Hallinnollinen yhteyshenkilö
Huomioikaa hallinnollista yhteyshenkilöä asettaessanne, että kyseisen henkilön tulee olla puhelimella tavoitettavissa. Jos henkilön tavoittamisessa ilmenee vaikeuksia, varmenteen toimitus viivästyy.

Palvelimen nimi
Common Name (CN) tai Subject Alternative Name (SAN) on domain-nimi muotoa www.yritys.fi tai IP-osoite 123.45.6.7. Tämän osoitteen on oltava palvelimen rekisteröity osoite tai wildcard-varmenteen tapauksessa tähti, piste ja organisaationne hallussaoleva domain-nimi (*.domain.fi). Nimen tai nimien asettaminen varmennetilaukseen on mahdollista kahdella tavalla:

  • luomalla CSR-pyyntö, joka sisältää halutut CN- ja SAN-arvot
  • luomalla CSR:n ilman CN- tai SAN-arvoja tai yhdellä arvolla ja lisäämällä tarvittavat arvot Telian varmenteen tilauspalvelun käyttöliittymässä
Nimet www.yritys.fi ja yritys.fi
Telia tarjoaa perushinnalla varmenteeseen tuen osoitteen muodolle www:n kanssa ja ilman. Jotta tuki voidaan toimittaa, tilauksen tulee sisältää nimet (SAN-arvot) www.yritys.fi ja yritys.fi. Telia suosittelee toisen nimen lisäämistä tilauspalvelun sivulla 3 painikkeella LISÄÄ KENTTÄ. Toinen nimi on mahdollista sisällyttää myös CSR-pyyntöön tekovaiheessa. Tällöin sivustonne toimii suojattuna niin osoitteella https://www.yritys.fi kuin https://yritys.fi.

Kielletyt nimet ja IP-osoitteet
Sisäisten nimien käyttö on kielletty. Tämä tarkoittaa sitä, että palvelimen nimessä esiintyvä domainnimi on oltava virallinen DNS-palvelusta löytyvä domainnimi. Oheinen taulukko esittelee kiellettyjen arvojen tyypit:
Kielletty CN/SAN-arvoEsimerkki
Rekisteröimätön domain-pääte.local
Ei domain-päätettä ollenkaanEXCHANGESERVER1
Ei-julkinen IP-osoite10.x.x.x169.254.x.x172.16.x.x - 172.31.x.x192.168.x.x

Täydellinen lista kielletyistä osoitteista löytyy IETF:n dokumenteista RFC 1918 (IPv4) ja RFC 4193 (IPv6)

Avaimen pituus
Telia CA vaatii RSA-avaimilta vähintään 2048 bitin avainpituutta.

Varmennehierarkian muutokset
Vanhan Sonera Class 2 CA -juurivarmenteen korvaava uusi varmennehierarkia on CA/Browser Forumin vaatimusten mukainen moniportainen. Siirtymävaiheen ajan juurivarmenteena on Sonera Class 2 CA, sen alla TeliaSonera Root CA v1 (intermediate) ja palvelinvarmenteet myöntää TeliaSonera Server CA v2. Vuoteen 2019 mennessä TeliaSonera Root CA v1 korvaa täysin Sonera Class 2 CA:n ja välitaso poistuu varmennushierarkiasta. Siihen asti suositellaan kolmiportaisen varmennehierarkian asentamista palvelimelle. Oheinen taulukko näyttää kolmen varmennehierarkian luottamusketjun juurivarmenteesta palvelinvarmenteeseen:

VarmennehierarkiaJuuritaso*VälitasoMyöntävä tasoPalvelintaso
Käytössä ennen v. 2012Sonera Class 2 CApalvelin.fi
Nykyinen suositusSonera Class 2 CATeliaSonera Root CA v1 (intermediate)TeliaSonera Server CA v2palvelin.fi
Suositus v. 2017 jälkeen **TeliaSonera Root CA v1TeliaSonera Server CA v2palvelin.fi

* Juurivarmennetta ei tarvitse asentaa jos palvelinohjelmisto osaa käyttää käyttöjärjestelmässä mukana olevia juurivarmentajia.
** Tämä hierarkia ei välttämättä vielä toimi oikein, jos loppukäyttäjillä on hyvin vanhoja laitteita tai käyttöjärjestelmiä.

Tarvittavat CA-varmenteet voit ladata ylläolevan taulukon linkeistä, lataussivustolta täältä tai käytä valmiita juurivarmennepaketteja, jotka löytyvät alareunan Palvelinkohtaisista ohjeista.


CSR-pyynnön kenttien täyttöohje

Kenttä Esimerkki sisällöstä Pakollinen Lisätietoja
(CN) Common name www.yritys.fi /
*.yritys.fi
On Osoitteen oltava palvelimen rekisteröity osoite, tai wildcard-varmenteen tapauksessa tähti, piste ja domain-nimi.
(OU) Organizational unit Tietohallinto Ei Ei suositella käytettäväksi. Jos käytössä niin sisältää asiakasnimen tarkenteen.
(O) Organization Oy Yritys Ab On Oltava täsmälleen sama kuin yhteisönne Y-tunnukselle rekisteröity nimi.
(L) Locality Helsinki On O-kentässä nimetyn asiakasyrityksen kotikaupunki. Ei palvelimen sijaintipaikka!
(ST) State - Ei käytössä Tätä arvoa ei aseteta Telia Companyn myöntämiin varmenteisiin.
(C) Country FI On O-kentässä nimetyn asiakasyrityksen kotimaan koodi. Maa-koodi on AINA kaksi-kirjaiminen, esim. ”FI”.
(E) Email webmaster@
yritys.fi
Ei Voi olla pyynnössä mukana ilmoittamassa palvelimen ylläpitäjien yhteystietoja käyttäjille.

Tyhjät meta-arvot kuten "unknown","-" ja " " ovat kiellettyjä varmennepyynnössä.

Käyntiosoitteen muodostaminen

Varmenne voidaan myöntää vain täydellisillä ja rekisteritietoja vastaavilla osoitetiedoilla varustetuille tilauksille. Käyntiosoite muodostuu CSR-kentistä O, L ja C, sekä tilauslomakkeen kentistä Yrityksen osoite ja Yrityksen postinumero. Postilokero ei voi olla käyntiosoite, mutta laskutusosoitteena sitä voidaan käyttää.


PALVELINKOHTAISET OHJEET

Apache
Microsoft IIS ja Azure
Oracle Java
Tomcat