Varmenteen asennus
Pelkkä varmenteen asentaminen palvelimelle ei aina riitä, vaan koko varmenneketju tulee asentaa oikein. Jos ketju on puutteellinen, varmenne ei toimi oikein ja selaimet/client-päät eivät luota siihen.
Varmenteissa aiemmin yleisesti käytetty kryptausmenetelmä SHA-1 tuli tiensä päähän ja korvattiin SHA-2 menetelmällä. Tämä johti siihen, että useiden varmentajien piti luoda uusi välivarmenne, intermediate certificate, jotta koko varmenneketjusta saatiin SHA-2 ketju.
Poikkeuksen tähän SHA-2 ketjuun tekee ROOT-varmenteet, jotka tyypillisesti edelleen ovat SHA-1 tyyppisiä, mutta tämä on hyväksyttävää johtuen ROOT-varmenteiden erilaisesta käsittelystä ja säilyttämisestä.
Varmenneketju
Varmenneketju (Certificate Chain) muodostuu myöntävistä varmenteista sekä varsinaisesta palvelin-varmenteesta.
Varmenneketjun luotto perustuu ROOT-varmenteeseen. Yksinkertaisimmillaan palvelimen varmenne voi olla myönnetty suoraan ROOT-varmenteella. Näin ei kuitenkaan ole, vaan palvelinvarmenne on myönnetty jostain intermediate-varmenteesta. Intermediate-varmennekin voi olla ketjun terminoiva varmenne. Siirryttäessä SHA1 varmenteista SHA2 varmenteisiin, useat varmennetoimittaja loivat uuden Intermediate varmenteen siirtymäkautta varten. Tulloin Entrustin SHA2 varmenneketju oli neliportainen: ServerCertificate > Intermediate1 > Intermediate2 (G2) > Entrust ROOT. Näistä "välivarmenteista" Entrust Intermediate G2 toimii useilla laitteilla jo terminoivana ROOT-varmenteena. Varmenneketju Entrustin portaalista onkin tänä päivänä oletuksena kolmiportainen: ServerCertificate > Intermediate > Entrust Root Certification Authority - G2 .
Ohjevideoita & vinkkejä
Kuinka lisätä inventaariota Entrustin ECS Partner portaalissa
Video opastaa tekemään inventaarion lisäämisen, ja välttämään virheellisen toiminnan inventaarion lisäyksissä.
Varmenteen asentaminen MMC-konsolilla
Yksi tavoista asentaa varmenne Windows-palvelimelle, on käyttää MMC-konsolia. Video näyttää miten palvelinvarmenne viedään sille tarkoitettuun säilöön Windows-palvelimella.
IIS7
F5 Big IP
Cisco ASA
Varmenteen asentamista helpottavia vinkkejä
Varmenteen tiedostomuoto
Entrust on määrittänyt palvelunsa niin, että varmennetta ladattaessa voidaan tarvittaessa valita tietyn tyyppinen palvelin ja vaikuttaa näin siihen, missä muodossa varmenne latautuu. Esimerkiksi jos halutaan varmennetiedostojen latautuvan Apachelle valmiiksi sopivassa muodossa, valittaessa kyseinen palvelintyyppi latautuvat varmenteet zip-tiedostossa, jossa Root- ja Intermediate-varmenne ovat bundlattuna ja palvelinvarmenne omana tiedostonaan seuraavasti:- ChainBundle1.crt
- ServerCertificate.crt
Ongemia asennuksessa?
Asennuksesessa tai sen jälkeen ilmaantuvat ongelmat varmenteen toimintaan liittyen johtuvat usein joko Private Key:n puuttumisesta tai puutteellisesta varmenneketjusta. Mikäli törmäät ongelmiin, tarkista ainakin seuraavat:- Mikäli olet asentamassa samanaikaisesti useita eri varmenteita, varmista että käsittelemäsi varmennetiedosto on oikea. Varmenne tulee asentaa sitä vastaavan Private Key:n omaavalle palvelimelle.
-
Tarkista varmenteen ketjuttuminen, pääset näkemään tämän esimerkiksi Certificate > Certification Chain-kohdasta. Alla esimerkki oikein ketjuttuvasta varmenteesta Wesentra Oy:n verkkosivulla:
Saatko seuraavan virheen?: "NET:ERR_CERTIFICATE_TRANSPARENCY_REQUIRED"
Virheilmoitus viittaa siihen, että varmennetta muodostettaessa ei sen tietoja ole määritetty vietäviksi CT (Certificate Transparency) -rekisteriin ja näin ollen osa selaimista tulkitsee, ettei varmenne olisi luotettu. Tämä virhe on korjattavissa varmenteen uudelleenmuodostamisella, jonka yhteydessä CT-logitus tulee määrittää aktiiviseksi. Entrustin portaalissa kyseinen toiminto löytyy valikosta nimellä "Reissue".Ohjelinkit asennukseen
Palvelinkohtaiset ohjeet valikoituihin ympäristöihin
Alta löydät linkit palvelinkohtaiseen varmenteen asennusohjeeseen Entrustin sivuille.
Linkkien takaa löytyvät ohjeet ovat englanninkielisiä.