OHJEET PALVELINVARMENTEEN TILAAMISEEN

Skandinaaviset merkit

  • Skandinaavisia merkkejä voidaan käyttää varmennepyynnössä Organization (O) ja Locality (L)-arvoissa suoraan ilman erikoisjärjestelyjä. Rajoitteena on vaatimus UTF-8-merkistön käytöstä. Linux-pohjaisissa järjestelmissä tämä on oletusmerkistö. Windows- ja Apple-järjestelmissä skandinaaviset merkit eivät ole oletuksena UTF-8:a ja niillä luotu varmennepyyntö ei ole kelvollinen. OpenSSL-ohjelmistossa tulee käyttää valintaa -utf8
  • Verkkotunnuksessa ei voida käyttää mitään muita merkkejä suoraan paitsi a-z, 0-9 ja -. Jos verkkotunnusta halutaan käyttää skandinaavisilla merkeillä, tulee erikoismerkkejä sisältävä verkkotunnus asettaa punycode-koodattuna varmennepyyntöön. Lisätietoa kansallisten merkkien käytöstä ja punycodea tuottava IDN-muunnin on Liikenne- ja viestintäviraston verkkopalvelussa.
  • Varmennepyynnössä ei tule käyttää muita erikoismerkkejä, kuten alaviivaa (_).

Hallinnollinen yhteyshenkilö
Huomioikaa hallinnollista yhteyshenkilöä asettaessanne, että kyseisen henkilön tulee olla puhelimella tavoitettavissa. Jos henkilön tavoittamisessa ilmenee vaikeuksia, varmenteen toimitus viivästyy.

Palvelimen nimi
Common Name (CN) tai Subject Alternative Name (SAN) on domain-nimi muotoa www.yritys.fi tai IP-osoite 123.45.6.7. Tämän osoitteen on oltava palvelimen rekisteröity osoite tai wildcard-varmenteen tapauksessa tähti, piste ja organisaationne hallussaoleva domain-nimi (*.domain.fi). Nimen tai nimien asettaminen varmennetilaukseen on mahdollista kahdella tavalla:

  • luomalla CSR-pyyntö, joka sisältää halutut CN- ja SAN-arvot
  • luomalla CSR:n ilman CN- tai SAN-arvoja tai yhdellä arvolla ja lisäämällä tarvittavat arvot Telian varmenteen tilauspalvelun käyttöliittymässä
Nimet www.yritys.fi ja yritys.fi
Telia tarjoaa perushinnalla varmenteeseen tuen osoitteen muodolle www:n kanssa ja ilman. Jotta tuki voidaan toimittaa, tilauksen tulee sisältää nimet (SAN-arvot) www.yritys.fi ja yritys.fi. Telia suosittelee toisen nimen lisäämistä tilauspalvelun sivulla 3 painikkeella LISÄÄ KENTTÄ. Toinen nimi on mahdollista sisällyttää myös CSR-pyyntöön tekovaiheessa. Tällöin sivustonne toimii suojattuna niin osoitteella https://www.yritys.fi kuin https://yritys.fi.

Kielletyt nimet ja IP-osoitteet
Sisäisten nimien käyttö on kielletty. Tämä tarkoittaa sitä, että palvelimen nimessä esiintyvä domainnimi on oltava virallinen DNS-palvelusta löytyvä domainnimi. Oheinen taulukko esittelee kiellettyjen arvojen tyypit:
Kielletty CN/SAN-arvoEsimerkki
Rekisteröimätön domain-pääte.local
Ei domain-päätettä ollenkaanEXCHANGESERVER1
Ei-julkinen IP-osoite10.x.x.x169.254.x.x172.16.x.x - 172.31.x.x192.168.x.x

Täydellinen lista kielletyistä osoitteista löytyy IETF:n dokumenteista RFC 1918 (IPv4) ja RFC 4193 (IPv6)

Tuetut avaintyypit ja avaimen pituus
Telia CA tukee RSA- ja ECC-avaimia. RSA-avaimilta vaaditaan vähintään 2048 bitin avainpituus.
Elliptisten käyrien kryptografiasta tuetaan seuraavia EC-käyriä:

  • prime256v1
  • secp384r1
Varmennehierarkian muutokset
Nykyinen Telia Varmennepalvelun juurivarmenne on nimeltään TeliaSonera Root CA v1.

Telia on siirtymässä uuden Telia Root CA v2-juurivarmenteen käyttöön. Kyseinen varmenne ei vielä ole kaikissa käyttöjärjestelmissä, joten tällä hetkellä sitä ei käytetä varmenteiden myöntämiseen. Siirtymäaikana tullaan käyttämään kolmiportaista hierarkiaa.

Oheinen taulukko näyttää varmennehierarkian luottamusketjun juurivarmenteesta palvelinvarmenteeseen:

VarmennehierarkiaJuuritaso*VälitasoMyöntävä tasoPalvelintaso
Käytössäoleva varmennusketju OVTeliaSonera Root CA v1TeliaSonera Server CA v2palvelin.fi
Käytössäoleva varmennusketju DVTeliaSonera Root CA v1Telia Domain Validation CA v2palvelin.fi
Siirtymäajan varmennusketju OVTeliaSonera Root CA v1Telia Root CA v2 intermediateTelia Server CA v3palvelin.fi
Siirtymäajan varmennusketju DVTeliaSonera Root CA v1Telia Root CA v2 intermediateTelia Domain Validation CA v3palvelin.fi
Tuleva varmenneketju OV**Telia Root CA v2Telia Server CA v3palvelin.fi
Tuleva varmenneketju DV**Telia Root CA v2Telia Domain Validation CA v3palvelin.fi

* Juurivarmennetta ei tarvitse asentaa palvelinpäässä, jos palvelinohjelmisto osaa käyttää käyttöjärjestelmässä mukana olevia juurivarmentajia.
** Tämä hierarkia ei ole vielä tuettuna osassa käyttöjärjestelmiä ja selaimia.

Tarvittavat CA-varmenteet saat varmennetoimituksen mukana. Voit ladata ne myös ylläolevan taulukon linkeistä, tai lataussivustolta täältä.


CSR-pyynnön kenttien täyttöohje

Kenttä Esimerkki sisällöstä Pakollinen Lisätietoja
(CN) Common name www.yritys.fi /
*.yritys.fi
On Osoitteen oltava palvelimen rekisteröity osoite, tai wildcard-varmenteen tapauksessa tähti, piste ja domain-nimi.
(OU) Organizational unit Tietohallinto Kielletty Tätä arvoa ei aseteta Telia myöntämiin varmenteisiin. CA/Browser Forum on kieltänyt arvon käytön v. 2022.
(O) Organization Oy Yritys Ab On Oltava täsmälleen sama kuin yhteisönne Y-tunnukselle rekisteröity nimi.
(L) Locality Helsinki On O-kentässä nimetyn asiakasyrityksen kotikaupunki. Ei palvelimen sijaintipaikka!
(ST) State - Ei käytössä Tätä arvoa ei aseteta Telia myöntämiin varmenteisiin.
(C) Country FI On O-kentässä nimetyn asiakasyrityksen kotimaan koodi. Maa-koodi on AINA kaksi-kirjaiminen, esim. FI.
(E) Email - Ei käytössä Tätä arvoa ei aseteta Telia myöntämiin varmenteisiin.

Tyhjät meta-arvot kuten "unknown","-" ja " " ovat kiellettyjä varmennepyynnössä.

Jos O/L sisältävät skandinaavisia merkkejä, käytä UTF-8-merkistöä.

FullSSL-asiakkailla on käytössä rajoitettu valikoima L-arvoja, jotka ovat tarkastettu kyseisen organisaation toimipaikoiksi.

Käyntiosoitteen muodostaminen

Varmenne voidaan myöntää vain täydellisillä ja rekisteritietoja vastaavilla osoitetiedoilla varustetuille tilauksille. Käyntiosoite muodostuu CSR-kentistä O, L ja C, sekä tilauslomakkeen kentistä Yrityksen osoite ja Yrityksen postinumero. Postilokero ei voi olla käyntiosoite, mutta laskutusosoitteena sitä voidaan käyttää.


Organisaationimien käytön delegointi toiselle yritykselle

Jos yrityksenne haluaa delegoida varmenteidenne luomisen ja ylläpidon toiselle yritykselle, tulee täyttää tämän sivun reunavalikosta ladattava erityinen valtuutuslomake, jolla te annatte valtuutuksen käyttää organisaationimeänne toisen yrityksen toimesta.

Domain Control Validation-menetelmä verkkotunnuksen hallinnan toteamisessa

Vuodesta 2018 alkaen verkkotunnuksen hallinta vahvistetaan yhdellä neljästä validointimenetelmästä. Validointi on tehtävä aina verkkotunnuksille, joille ei ole luotu aiemmin varmennetta Telian varmennepalvelun kautta. Lue lisää


YKSITYISEN AVAIMEN LUONTI

Yksityisen avaimen luonti OpenSSL:llä

PALVELINKOHTAISET OHJEET

Apache
Microsoft IIS ja Azure
Oracle Java
Tomcat