Certificate Signing Request (CSR) eli varmennepyyntö
Mikä CSR on ja mihin sitä tarvitaan?
Jos tiedät jo peruspasiat varmennepyyntöön liittyen ja tarvitset palvelinkohtaisia ohjeita, pääset alla olevalla painikkeella suoraan Entrust:in ohjesivulle.
CSR:n Luominen
Listauksessa palvelinkohtaiset ohjeet valikoituihin ympäristöihin.
Avaa listaksesta oikea palvelinympäristö päästäksesi oikeaan ohjeeseen. Lisää palvelinkohtaisia ohjeita varmennepyyntöön muodostamiseen löytyy Entrustin sivuilta, jonne pääset alla olevasta linkistä.
1. Käynnistä F5 BIG-IP web käyttöliittymä.
2. Klikkaa Main-välilehdellä System, valitse File Management ja valitse sitten SSL Certificate List
3. Näkyviin tulee luettelo olemassa olevista varmenteista.
4. Napsauta näytön oikeassa yläkulmassa Create.
5. "General Properties" kohtaan anna varmenteelle nimi. Tätä käytetään jatkossa varmenteen tunnistamiseen järjestelmässä.
6. Valinnan "Certificate Properties" alla, anna seuraavat tiedot:
- Issuer: Certificate Authority (oma CA:si, esim.Entrust)
- Common name: Palvelimen FQDN (fully-qualified domain name) (esim., www.domain.com, mail.domain.com, tai *.domain.com)
- Division: Osasto, esim. ICT
- Organization: Yrityksen tai organisaation virallinen, rekisteröity nimi (YTJ:n mukainen nimi on yleisesti ottaen paras)
- Locality, State or Province, Country: Kunta/Kaupunki sekä maa, jossa organisaatiosi sijaitsee. Maakoodi on esim. FI
- E-mail Address: Sähköpostiosoitteesi. Tässä voi olla hyvä käyttää esim. geneerisiä sähköposteja, kuten admin@domain.com, postmaster@domain.com, hostmaster@domain.com tai webmaster@domain.com ("domain.com" tulee korvata haettavan domainin tiedoilla ja sähköpostiosoitteen tulee olla voimassa oleva sähköpostiosoite).
- Challenge Password, Confirm Password: Salasana varmennehakemusta varten.
8. Klikkaa näytön alareunasta Finished.
9. Varmennepyynnön teksti tulee näkyviin. Kopioi koko teksti tiedostoon tai lataa pyyntötiedosto tallentaaksesi CSR:n.
10. Klikkaa näytön alareunassa Finished.
Tämän tuloksena sinulla pitäisi olla käytettävissäsi CSR tiedosto, eli varmennepyyntö, jolla voit tehdä varmennehakemuksen varmennetoimittajallesi. Tämä on normaali tekstitiedosto, voit kopioida sen sisällön vaikka sähköpostiin tai suoraan varmennetoimittajasi järjestelmään sille varattuun kenttään. Kun varmenteesi on toimitettu, voit asentaa sen paikoilleen.
Huomioi, että varmennepyyntöä tehdessä, laitteelle jossa em. komento ajetaan muodostuu varmennetta vastaava Private Key jota ilman varmenne ei toimi. Varmenteen voi siis asentaa nimenomaan sille laitteelle, jossa varmennepyyntö on tehty. Joissain tapauksissa on mahdollista viedä sekä varmenne, että sen Private Key pakettina ulos ja kopioida se toiseen laitteeseen.
1. Käynnistä Exchange-hallintakonsoli (järjestelmänvalvoja-roolissa).
2. Valitse Palvelimen määritykset ja valitse sitten Uusi Exchange-varmenne.
3. Kirjoita varmenteen kutsumanimi esim. "exchange" ja valitse Seuraava.
4. Toimialuevaikutusalue:
- Jos varmennehakemus on yleisvarmennetta varten, valitse Ota käyttöön yleisvarmenne, kirjoita yleisvarmennetta varten päätoimialueen nimi ja valitse Seuraava.
- Jos varmennehakemus ei ole yleisvarmennetta varten, napsauta Seuraava jättämällä valintaruutu tyhjäksi.
6. Valitse Exchange-asetukset-osassa palvelut, jotka haluat varmenteella suojata, ja valitse Seuraava.
Ajettavien palvelujen valinta edellyttää, että tiedät palvelimen tarkat kokoonpanomääritykset.
- Jakaminen - Valitse tämä, jos haluat käyttää varmennetta organisaatioiden väliseen federointiin.
- Client Access -palvelin (Outlook Web App) – Varmennetta käytetään myös Outlook Web App:ssa (OWA)
- Client Access -palvelin (Exchange ActiveSync) – Jos ActiveSync on otettu käyttöön, kirjoita se verkkotunnus, jota käytät ActiveSyncille.
- Client Access palvelin (WWW-palvelut, Outlook Anywhere ja automaattinen haku) – Exchange-WWW-palveluille ja/tai Outlook Anywhere -ohjelma, kirjoita isäntänimi. Tämä vaihtoehto on valittava jos haluat käyttää Internetissä automaattista hakupalvelua. Valitse pitkä tai lyhyt URL-osoite ja kirjoita verkkotunnus.
- Client Access -palvelin (POP/IMAP) – jos käytössä on POP/IMAP-palveluita. Kirjoita verkkotunnus, jota käytät sekä POP- että IMAP-palveluille.
- Yhdistetyn viestiliikenteen palvelin – jos varmennetta käytetään yhdistetyn viestiliikenteen ja kirjoita sitten yhdistetyn viestiliikenteen palvelinten verkkotunnus.
- Keskitinsiirto-palvelin – Valitse tämä, jos Internet-posti suojataan TLS:llä tai käytetään POP/IMAP-palvelinta postien lähetykseen. Tähän on kirjoitettava palvelimen täydellinen verkkotunnus (FQDN). Vanha Exchange-palvelin – jos haluat käytetään vanhoja verkkotunnuksia. Syötä myös vanhoihin palvelimiin liittyvä verkkotunnus.
Täytä seuraavat tiedot:
- Organisaatio (O=): Yrityksen nimi, siinä muodossa kuin se on rekisteröity esim. kaupparekisteriin ja varmennettu.
- Organisaatioyksikkö (OU=): Yrityksen sisäinen, ei varmennettu, organisaatioyksikkö.
- Maa/alue (COUNTRY=): Valitse maa, jossa organisaatio on juridisesti rekisteröity. Kaupunki/paikka/kunta (L=)
- Osavaltio/provinssi: Suomessa näitä ei ole, voit käyttää tässä Kaupunkia/Kuntaa.
8. Valitse vielä Uusi "Exchange-varmenne" -osassa b>Seuraava - ≻ Uusi - ≻ Valmis.
Lähetä varmennehakemus varmenteesi toimittajalle tai kopio syntyneen tiedoston sisältö käyttämääsi palveluun sille varattuun paikkaan.
CSR:n luonti OpenSSL-työkalulla
Entrustin aputyökalu OpenSSL-komennon luomiseen
1. Kirjaudu palvelimelle, terminaaliin (Unix/Linux) tai Komentokehotteeseen (Windows).
2. Kirjoita seuraava komento: openssl req -new -newkey rsa:2048 -nodes -keyout yourdomain.key -out yourdomain.csr
3. OpenSSL kysyy varmenteelle tarvittavat tiedot. Pakollisina tietoina katsotaan olevan MAA (kaksi merkkinen lyhenne) missä varmennetta tullaan käyttämään, Organisaation nimi sellaisena kuin se kaupparekisteriin on merkitty, COMMON NAME (CN) eli palvelun nimi, joka halutaan varmentaa, esimerkiksi: www.omadomain.fi.
Maakoodit löytyvät täältä.
(Windows 2012 Server/IIS 8.x, englanninkielinen palvelinversio)
1. Käynnistä IIS Manager ja etsi "Connections panelista", palvelin jolle varmennepyyntö halutaan tehdä..
2. Palvelimen kotisivulta, "Home page" (keskimmäinen paneli) IIS osion alta valitse tuplanapsauttamalla "Server Certificates".
3. "Actions menu" (oikean puoleinen paneli), valitse: "Create Certificate Request".
4. "Request Certificate wizard" käynnistyy ja pyytää sinua antamaan seuraavat tiedot:
- Common name: Palvelimen FQDN (fully-qualified domain name) (esim., www.domain.com, mail.domain.com, tai *.domain.com)
- Organization: Yrityksen tai organisaation virallinen, rekisteröity nimi (YTJ:n mukainen nimi on yleisesti ottaen paras)
- Organizational unit: Osasto, esim. ICT.
- City/locality: Kunta/Kaupunki
- State/province: Kunta/Kaupunki
- Country/region: Maakoodi on esim. FI
- Cryptographic service provider: Valitse listalta "Microsoft RSA SChannel Cryptographic Provider" (ellet jostain syystä halua käyttä jotain muuta kryptausmenetelmää).
- Bit length: Valitse listalta 2048, ellet jostain syystä halua käyttää jotain muuta avaimen pituutta. Tämä on pienin tänä päivänä hyväksyttävä RSA arvo, vaikka saatatkin vielä joissain palveluissa nähdä esim. 1024 avaimen pituuksia. Varmennetta ei pienemmälle RSA avaimen pituudelle enää voida myöntää.
6. Lopuksi klikkaa "Finish"
MMC (Microsoft Management Console)/ Windows 8
Entrustin ohjevideo
Tällä esimerkillä voit testata työkalun toimivuutta. Kopioi alla oleva kokonaisuudessaan:
-----BEGIN NEW CERTIFICATE REQUEST----- MIIDizCCAnMCAQAwSTELMAkGA1UEBhMCRkkxITAfBgNVBAoMGEV4YW1wbGUgT3Jn YW5pemF0aW9uIEx0ZDEXMBUGA1UEAwwOZXhhbXBsZS5jc3IuZmkwggEiMA0GCSqG SIb3DQEBAQUAA4IBDwAwggEKAoIBAQDvnHB41qHPntBiAHxA2em+uzZf3MZW+xq7 6rXMDDjosXHDfc/SEr+ZzKKUaswbP//n372uertj/Gin/nia0Z61MDuILGebN1pC gly/bkYZuUX7+3CwjR587ejUK8F5JWoOpTyTE8thbPlpf+rS7PXw49RBLbWQBhon ufJZKtAcMyVwLvZM47Z3hCh8RXRaq4je+n4gB2VCUL7pvStQAvrFLQIUWdvFl0HY tj2S1JuI9N8ZtMxxMC1frHVCvHvEeCbIcMPmvDpk4Ss3KXGh3/4HVvpfYmmI0ik8 IaeBal6awQPlD5F5zt1wkVoDnezEfCjxnP9fdstZnn03+YlZxRZRAgMBAAGggfww HAYKKwYBBAGCNw0CAzEOFgwxMC4wLjE5MDQxLjIwLgYJKoZIhvcNAQkOMSEwHzAd BgNVHQ4EFgQUEvc6rlZPpATlueIvaYvRRTwToeYwRAYJKwYBBAGCNxUUMTcwNQIB BQwPREVTS1RPUC1TMENIQzlDDBZERVNLVE9QLVMwQ0hDOUNcSGVsZW5hDAdNTUMu RVhFMGYGCisGAQQBgjcNAgIxWDBWAgEAHk4ATQBpAGMAcgBvAHMAbwBmAHQAIABT AG8AZgB0AHcAYQByAGUAIABLAGUAeQAgAFMAdABvAHIAYQBnAGUAIABQAHIAbwB2 AGkAZABlAHIDAQAwDQYJKoZIhvcNAQELBQADggEBAGJOZAvs1+b8/rbvaMDHMIIg 9Fd/HEhMJ9WB3mxxMKpAiAhv5fmQ9FCBFgudYpHZ2OAPvgjP1trbpjyvAE8AXMpy eDEjI37R9JC3Gz44aAOE6Kl7VrBPjib5x5ms2kUs90DPhSXLGP0PhHf1oX9PRZG7 ed28VIvNbIbbcPVO9MEkToK8nfmqgJR+e0cPpk9da4DDeeds3fAPi9ErunIgX8xh 2SrVjKfx/pvJTKculIqF6f9sIgZc6xYPPq2HXKPjdrIh1NQparQh0Qt0WMIbVCGa t7xNUGrU8XejlTrEseO4WyXbO2gWb/n6An/KbG3Y31AGRUuAcXnyJMtN5TOgKOQ=
-----END NEW CERTIFICATE REQUEST-----
Varmenteen anominen
Varmenteeseen sisältyvä organisaatioidentiteetti edellyttää tarkkaan auditoitua verifiointiprosessia, johon saat tarkemmat ohjeet varmennetoimittajaltasi. Verifiointien ollessa ajantasalla, varmenteen hakuprosessi on yksinkertaisettuna seuraava:
Varmennehakemus (CSR) tehdään palvelimella, ja tämän yhteydessä muodostuu salainen sekä julkinen avain. Julkinen kulkee varmennepyynnön mukana varmentajalle (Entrust), joka tarkastaa pyynnön oikeutuksen. Varmentaja lähettää takaisin SSL/TLS-varmenteen, joka sisältää mm. julkisen avaimen. SSL/TLS-varmenne asennetaan web-palvelimelle ja se lukittuu salaiseen avaimeen.
Huom. CSR:n luomisen aikana muodostunut Private Key on säilytettävä suojatussa ympäristössä, eikä sitä saa jakaa muille, edes varmennetoimittajalle.
Ohjeita CSR:n luomiseen
Palvelinkohtaiset ohjeet valikoituihin ympäristöihin
Alta löydät linkit palvelinkohtaiseen CSR:n luomisohjeeseen Entrustin sivuille.
Linkkien takaa löytyvät ohjeet ovat englanninkielisiä.