Wesentra Oy
Alkuun

Ohjeita erilaisiin SSL/TLS-Tilanteisiin

Varmenteen asennus, yleisimmät ongelmat

Asennusohjeita

Varmenteen asennus MMC-konsolilla

Yksi tavoista asentaa varmenne Windows-palvelimelle, on käyttää MMC-konsolia. Alla oleva video näyttää miten palvelinvarmenne viedään sille tarkoitettuun säilöön Windows-palvelimella.

Takaisin sisällysluetteloon

Varmenneketjun asennus

Pelkkä varmenteen asentaminen palvelimelle ei aina riitä, vaan koko varmenneketju tulee asentaa oikein. Jos ketju on puutteellinen, varmenne ei toimi oikein ja selaimet/asiakkaat eivät luota siihen. Varmenteissa aiemmin yleisesti käytetty kryptausmenetelmä SHA-1 tuli tiensä päähän ja korvattiin SHA-2 menetelmällä. Tämä johti siihen, että useiden varmentajien piti luoda uusi välivarmenne, intermediate certificate, jotta koko varmenneketjusta saatiin SHA-2 ketju. Poikkeuksen tähän SHA-2 ketjuun tekee ROOT-varmenteet, jotka tyypillisesti edelleen ovat SHA-1 tyyppisiä, mutta tämä on hyväksyttävää johtuen ROOT-varmenteiden erilaisesta käsittelystä ja säilyttämisestä.

Esimerkki varmenneketjusta (Entrust)

Root intermediate2 intermediate1 servercertificate

Varmenteet toimitetaan zip-tiedostossa, joka sisältää seuraavat varmenteet:


ServerCertificate.crt palvelimen sertifikaatti (palvelimen nimi, tämä on myönnetty Intermediate1 toimesta)
Intermediate1.crt Chain sertifikaatti (Entrust Certification Authority - L1K, tämä on myönnetty Intermediate2 toimesta)
Intermediate2.crt G2 Chain root sertifikaatti (Entrust Root Certification Authority - G2, tämä on myönnetty ROOT toimesta)
ROOT.crt Entrust root sertifikaatti ( Entrust Root Certification Authority, on self signed, eli itsensä myöntämä. Useimmissa tapauksissa tämä on jo palvelimella, mutta varmuuden vuoksi mukana )

Havaintoja, joilla on korjattu ketjutuksissa esiintyneitä ongelmia (esimerkkinä EntrusT-varmenteet):

Entrust Root Certification Authority - G2 pois trusted root storesta (koska ihan kaikki laitteet ei vielä tätä tue, vaan vaatii koko 4 ketjun sertifikaatin)


Ketjun asennus uudelleen järjestyksessä:


1. Trusted Root säilöön: Root (useimmiten tämä on jo paikallaan!, Apachella on jouduttu joskus tiputtamaan tämä SSLCACertificatePath directiven osoittamaan paikkaan )
2. Intermediate/Chain säilöön:
- Intermediate2 ensin, sitten Intermediate1 (jos nämä pitää bundlata yhteen tiedostoon, silloin Intermediate2 sisältö ensin!)
- Palvelimen sertifikaatti paikoilleen

On huomattavaa, että nykyään selaimet jo alkavat tukemaan suoraan tuota G2 rootia, mutta ei vielä kaikilla alustoilla. Siksi tuo neliportainen asennustapa on suositeltava.


Tarkista MMC-konsolilla intermediate säilön kaksi varmennetta:


SSL certificate installation, SSL Varmenteen asennus, SSL certifikat chain


Jos nämä puuttuvat, tuo Intermediate Certification Authorities Certificates säilöön ketjuttavat varmenteet:


SSL certificate installation, SSL Varmenteen asennus, SSL certifikat chain


Entrustilla nämä ovat Intermediate1.crt ja Intermediate2.crt ja molemmat varmenteet tarvitaan. Kun varmenteet ovat paikallaan, tulisi niiden näkyä Intermediate säilössä näin:


SSL certificate installation, SSL Varmenteen asennus, SSL certifikat chain


Esimerkki varmenneketjusta (Telia)

TeliaSonera Root CA v1 TeliaSonera Server CA v2 servercertificate


Tarkista MMC-konsolilla intermediate säilön varmenne


SSL certificate installation, SSL Varmenteen asennus, SSL certifikat chain


Jos tämä puuttuu, tuo Intermediate Certification Authorities Certificates säilöön ketjuttava varmenne. Telialla tämä on teliasoneraservercav2.der Kun varmenne on paikallaan, tulisi sen näkyä Intermediate säilössä kuten ylläoleva kuva näyttää.


Tarkista MMC-konsolilla Trusted Root säilön varmenteet:


SSL certificate installation, SSL Varmenteen asennus, SSL certifikat chain


Takaisin sisällysluetteloon

Varmenneketju, mikä se on?

VARMENNEKETJU

Varmenneketju muodostuu myöntävistä varmenteista (ROOT ja Intermediate varmenteet) sekä varsinaisesta palvelin-varmenteesta. ROOT-varmenne on koko ketjun kuningas. Sen luotettavuuteen perustuu koko ketjun luotto. Yksinkertaisimmillaan palvelimen varmenne voi olla myönnetty suoraan ROOT-varmenteella. Näin ei kuitenkaan ole,vaan palvelin-varmenne on myönnetty jostain intermediate varmenteesta. Intermediate varmennekin voi olla ketjun terminoiva varmenne. Esimerkiksi siirryttäessä SHA1 varmenteista SHA2 varmenteisiin, useat varmennetoimittaja loivat uuden Intermediate varmenteen siirtymäkautta varten. Esimerkiksi Entrustin SHA2 varmenneketjusta tuli neliportainen: ServerCertificate Intermediate1 Intermediate2 (G2) Entrust ROOT.
Näistä "välivarmenteista" Entrust Intermediate G2 toimii useilla laitteilla jo terminoivana ROOT-varmenteena. Varmennusketju on monisyinen asia, siitä kannattaa muistaa, että intermediate varmenteita EI TULE asentaa laitteen "trusted root" säilöön, vaan "intermediate" säilöön. Suuri osa asennuksen jälkeisistä varmenneongelmista johtuu siitä, että varmenneketju on puutteellinen.

Lue lisää..

PRIVATE KEY

Symmetrisen salauksen aikaansaamiseen käytetään PKI-menetelmää (Public Key Infrastructure). PKI:n lähtökohtana on kaksi salausavainta, jotka ovat erittäin pitkiä alkulukuja.
Toinen on salainen avain (Private Key) ja toinen julkinen avain (Public Key). Jos salaisella avaimella salataan viesti, sen voi avata vain julkisella avaimella. Ja päinvastoin: jos julkisella avaimella salataan viesti, sen voi avata vain salaisella avaimella.

Lue lisää..