Wesentra Oy
Alkuun

Ohjeita erilaisiin SSL/TLS-Tilanteisiin

Varmennepyynnön luonti

SSL/TLS Certificates eli varmenteet suojaavat verkkoliikennettä. Entrust certificates, Entrust certifikater, Telia certifikater

CSR Luonti MMC-konsolilla

CSR Luontiohjeita

How to create a csr for F5. Varmennepyynnön teko F5:lle. Certifikater F5

F5 BIG IP

CSR:n luonti (Big-IP aiemmat versiot)

     

  1. 1. Kirjaudu laitteeseen ROOT käyttäjänä ja aja seuraava komento:
  2. # /usr/local/bin/genconf

     

    Komento kysyy sinulta yrityksen tiedot (käytä yrityksen virallisia tietoja, kuten esimerkiksi YTJ-palvelusta löytyviä tietoja)

    Seuraavaksi voit luoda varmennepyynnön käyttämällä komentoa:

  3. # /usr/local/bin/genkey www.yoursite.com

     

  4. Huomaa, että "www.yoursite.com" tulee korvata FQDN (Fully Qualified Domain Name) nimellä. Sinulta tullaan kysymään uudelleen yrityksen tiedot, syötä ne kuten edellisellekin komennolle. Komento muodostaa tiedoston ssl.csr kansion /config/bigconfig/ alle. Tämä on varmennepyyntösi, kopio se työasemaasi, jolla teet varmennehakemuksen varmennetoimittajallesi. Tämä tiedosto on normaali tekstitiedosto, voit kopioida sen sisällön vaikka sähköpostiin tai suoraan varmennetoimittajasi järjestelmään sille varattuun kenttään. Kun varmenteesi on toimitettu, voit asentaa sen paikoilleen. Huomioi, että varmennepyyntöä tehdessä, laitteelle jossa em. komento ajetaan muodostuu varmennetta vastaava Private Key jota ilman varmenne ei toimi. Varmenteen voi siis asentaa nimenomaan sille laitteelle, jossa varmennepyyntö on tehty. Joissain tapauksissa on mahdollista viedä sekä varmenne, että sen Private Key pakettina ulos ja kopioida se toiseen laitteeseen.

  5.  

    CSR luonti F5 BIG-IP Loadbalancer (versio 9)

    • 1. Käynnistä F5 BIGIP web käyttöliittymä.
    • 2. "Local Traffic" valinnan alta, valitse "SSL Certificates" ja "Create."
    • 3. "General Properties" kohtaan anna varmenteelle nimi. Tätä käytetään jatkossa varmenteen tunnistamiseen järjestelmässä. certificate).
    • 4. Valinnan "Certificate Properties" alla, anna seuraavat tiedot:
    • Issuer: Certificate Authority (oma CA:si, esim. Entrust/Telia)
    • Common name: Palvelimen FQDN (fully-qualified domain name) (esim., www.domain.com, mail.domain.com, tai *.domain.com)
    • Division: Osasto, esim. ICT
    • Organization: Yrityksen tai organisaation virallinen, rekisteröity nimi (YTJ:n mukainen nimi on yleisesti ottaen paras)
    • Locality, State or Province, Country: Kunta/Kaupunki sekä maa, jossa organisaatiosi sijaitsee. Maakoodi on esim. FI
    • E-mail Address: Sähköpostiosoitteesi. Tässä voi olla hyvä käyttää esim. geneerisiä sähköposteja, kuten admin@domain.com, postmaster@domain.com, hostmaster@domain.com tai webmaster@domain.com. Domain.com edellämainituissa tulee korvata haettavan domainin tiedoilla ja sähköpostiosoitteen tulee olla voimassa olevan sähköpostiosoite.
    • Challenge Password, Confirm Password: Salasana varmennehakemusta varten.
    • 5. "Key Properties", valitse 2048. Käytettävien avainten koko on tänä päivänä minimissään 2048, pienempiä arvoja ei enää hyväksytä.
    • 6. Lopuksi paina "Finished".
    • Tämän tuloksena sinulla pitäisi olla käytettävissäsi CSR tiedosto, eli varmennepyyntö, jolla voit tehdä varmennehakemuksen varmennetoimittajallesi. Tämä tiedosto on normaali tekstitiedosto, voit kopioida sen sisällön vaikka sähköpostiin tai suoraan varmennetoimittajasi järjestelmään sille varattuun kenttään. Kun varmenteesi on toimitettu, voit asentaa sen paikoilleen. Huomioi, että varmennepyyntöä tehdessä, laitteelle jossa em. komento ajetaan muodostuu varmennetta vastaava Private Key jota ilman varmenne ei toimi. Varmenteen voi siis asentaa nimenomaan sille laitteelle, jossa varmennepyyntö on tehty. Joissain tapauksissa on mahdollista viedä sekä varmenne, että sen Private Key pakettina ulos ja kopioida se toiseen laitteeseen.


  • Takaisin sisällysluetteloon
  • CSR, mikä se on?

    Mikä on CSR, eli certificate signing request. Vad är CSR? Certifikater, SSL certificates

    Varmennepyyntö, eli Certificate Signing Request

    CSR Muodostetaan yleisesti sillä palvelimella, johon myös varmenne on tarkoitus asentaa. Ei kuitenkaan aina. Varmennepyyntö voidaan tehdä periaatteessa millä tahansa laitteella, jossa on sen tekemiseen tarvittavat välineet. Varmennepyyntöä tehdessä laitteelle muodostuu Private Key, yksityinen avain. Jos itse varmenne, jota varten pyyntö on tehty, viedään toiselle laitteelle, on myös tämä yksityinen avain toimitettava sille. Ja tässä piilee riski. Vaikkakin tämä yksityinen avain suojataan salasanalla, on sen kuljettaminen useampien välineiden ja välikäsien kautta mahdollinen tietoturvariski. PIDÄ HUOLTA TÄSTÄ AVAIMESTA, käsittele sitä, kuin se olisi avain kotiisi. Ethän halua sinnekään kutsumattomia vieraita, varsinkaan avaimella varustettuna.

    Lue lisää..

    PRIVATE KEY, mikä se on?

    PRIVATE KEY

    Symmetrisen salauksen aikaansaamiseen käytetään PKI-menetelmää (Public Key Infrastructure). PKI:n lähtökohtana on kaksi salausavainta, jotka ovat erittäin pitkiä alkulukuja.
    Toinen on salainen avain (Private Key) ja toinen julkinen avain (Public Key). Jos salaisella avaimella salataan viesti, sen voi avata vain julkisella avaimella. Ja päinvastoin: jos julkisella avaimella salataan viesti, sen voi avata vain salaisella avaimella.

    Lue lisää..

    varmenneketju, mikä se on?

    VARMENNEKETJU

    Varmenneketju muodostuu myöntävistä varmenteista (ROOT ja Intermediate varmenteet) sekä varsinaisesta palvelin varmenteesta. ROOT varmenne on koko ketjun kuningas. Sen luotettavuuteen perustuu koko ketjun luotto. Yksinkertaisimmillaan palvelimen varmenne voi olla myönnetty suoraan ROOT varmenteella. Näin ei kuitenkaan ole,vaan palvelin varmenne on myönnetty jostain intermediate varmenteesta. Intermediate varmennekin voi olla ketjun terminoiva varmenne. Esimerkiksi siirryttäessä SHA1 varmenteista SHA2 varmenteisiin, useat varmennetoimittaja loivat uuden Intermediate varmenteen siirtymäkautta varten. Esimerksi Entrustin SHA2 varmenneketjusta tuli neliportainen: ServerCertificate Intermediate1 Intermediate2 (G2) Entrust ROOT.
    Näistä "välivarmenteista" Entrust Intermediate G2 toimii useilla laitteilla jo terminoivana ROOT varmenteena. Varmennusketju on monisyinen asia, siitä kannattaa muistaa, että intermediate varmenteita EI TULE asentaa laitteen "trusted root" säilöön, vaan "intermediate säilöön". Suuri osa asennuksen jälkeisistä varmenneongelmista johtuu siitä, että varmenneketju on puutteellinen.

    Lue lisää..