parallax background

Varmenteen asennus


parallax background

Varmenneketju

Varmenneketju (Certificate Chain) muodostuu myöntävistä varmenteista sekä varsinaisesta palvelin-varmenteesta.

Varmenneketjun luotto perustuu ROOT-varmenteeseen. Yksinkertaisimmillaan palvelimen varmenne voi olla myönnetty suoraan ROOT-varmenteella. Näin ei kuitenkaan ole, vaan palvelinvarmenne on myönnetty jostain intermediate-varmenteesta. Intermediate-varmennekin voi olla ketjun terminoiva varmenne. Siirryttäessä SHA1 varmenteista SHA2 varmenteisiin, useat varmennetoimittaja loivat uuden Intermediate varmenteen siirtymäkautta varten. Tulloin Entrustin SHA2 varmenneketju oli neliportainen: ServerCertificate > Intermediate1 > Intermediate2 (G2) > Entrust ROOT. Näistä "välivarmenteista" Entrust Intermediate G2 toimii useilla laitteilla jo terminoivana ROOT-varmenteena. Varmenneketju Entrustin portaalista onkin tänä päivänä oletuksena kolmiportainen: ServerCertificate > Intermediate > Entrust Root Certification Authority - G2 .

parallax background

Ohjevideoita & vinkkejä

Kuinka lisätä inventaariota Entrustin ECS Partner portaalissa

Video opastaa tekemään inventaarion lisäämisen, ja välttämään virheellisen toiminnan inventaarion lisäyksissä. 


Varmenteen asentaminen MMC-konsolilla

Yksi tavoista asentaa varmenne Windows-palvelimelle, on käyttää MMC-konsolia. Video näyttää miten palvelinvarmenne viedään sille tarkoitettuun säilöön Windows-palvelimella.


IIS7


F5 Big IP


Cisco ASA


Varmenteen asentamista helpottavia vinkkejä

Varmenteen tiedostomuoto
Entrust on määrittänyt palvelunsa niin, että varmennetta ladattaessa voidaan tarvittaessa valita tietyn tyyppinen palvelin ja vaikuttaa näin siihen, missä muodossa varmenne latautuu. Esimerkiksi jos halutaan varmennetiedostojen latautuvan Apachelle valmiiksi sopivassa muodossa, valittaessa kyseinen palvelintyyppi latautuvat varmenteet zip-tiedostossa, jossa Root- ja Intermediate-varmenne ovat bundlattuna ja palvelinvarmenne omana tiedostonaan seuraavasti:
  • ChainBundle1.crt
  • ServerCertificate.crt
Oikean tiedostomuodon lisäksi palvelintyypin valitsemalla saat asennusohjeet suoraan jo latausvaiheessa tarvittaessa hyödynnettäviksi.
Ongemia asennuksessa?
Asennuksesessa tai sen jälkeen ilmaantuvat ongelmat varmenteen toimintaan liittyen johtuvat usein joko Private Key:n puuttumisesta tai puutteellisesta varmenneketjusta. Mikäli törmäät ongelmiin, tarkista ainakin seuraavat:
  • Mikäli olet asentamassa samanaikaisesti useita eri varmenteita, varmista että käsittelemäsi varmennetiedosto on oikea. Varmenne tulee asentaa sitä vastaavan Private Key:n omaavalle palvelimelle.
  • Tarkista varmenteen ketjuttuminen, pääset näkemään tämän esimerkiksi Certificate > Certification Chain-kohdasta. Alla esimerkki oikein ketjuttuvasta varmenteesta Wesentra Oy:n verkkosivulla:
    Varmenneketju
Myös Private Key:n paikallistamiseen on keinoja/työkaluja, mutta tarvittaessa voidaan myös korjata tilanne luomalla uusi CSR ja luoda varmenne tällä uudelleen, jolloin ei menetetä jo lunastettua varmennepaikkaa/yksikköä. Tämä on myös tietoturvallinen keino, mikäli on syytä epäillä että Private Key voi olla päätynyt ulkopuolisten käsiin.
Saatko seuraavan virheen?: "NET:ERR_CERTIFICATE_TRANSPARENCY_REQUIRED"
Virheilmoitus viittaa siihen, että varmennetta muodostettaessa ei sen tietoja ole määritetty vietäviksi CT (Certificate Transparency) -rekisteriin ja näin ollen osa selaimista tulkitsee, ettei varmenne olisi luotettu. Tämä virhe on korjattavissa varmenteen uudelleenmuodostamisella, jonka yhteydessä CT-logitus tulee määrittää aktiiviseksi. Entrustin portaalissa kyseinen toiminto löytyy valikosta nimellä "Reissue".
parallax background

Ohjelinkit asennukseen

Palvelinkohtaiset ohjeet valikoituihin ympäristöihin

Alta löydät linkit palvelinkohtaiseen varmenteen asennusohjeeseen Entrustin sivuille.
Linkkien takaa löytyvät ohjeet ovat englanninkielisiä.

NGINX