Wesentra Oy
Alkuun

Ohjeita erilaisiin SSL/TLS-Tilanteisiin

Varmennepyynnön luonti

SSL/TLS Certificates eli varmenteet suojaavat verkkoliikennettä. Entrust certificates, Entrust certifikater, Telia certifikater

CSR Luonti MMC-konsolilla

CSR Luontiohjeita

IIS CSR luonti, eli how to create a csr for IIS. CSR IIS Certifikater

Microsoft IIS 8

CSR:n luonti (Windows 2012 Server/IIS 8.x)

(englanninkielinen palvelinversio)

 

    Käynnistä IIS Manager
  • 1. Etsi "Connections panelista", palvelin jolle varmennepyyntö halutaan tehdä..
  • 2. Palvelimen kotisivulta, "Home page" (keskimmäinen paneli) IIS osion alta valitse tuplanapsauttamalla "Server Certificates."
  • 3. "Actions menu" (oikean puoleinen paneli), valitse: "Create Certificate Request".
  • 4. "Request Certificate wizard" käynnistyy ja pyytää sinua antamaan seuraavat tiedot:
  • Common name: Palvelimen FQDN (fully-qualified domain name) (esim., www.domain.com, mail.domain.com, tai *.domain.com)
  • Organization:Yrityksen tai organisaation virallinen, rekisteröity nimi (YTJ:n mukainen nimi on yleisesti ottaen paras)
  • Organizational unit: Osasto, esim. ICT.
  • City/locality: Kunta/Kaupunki
  • State/province: Kunta/Kaupunki
  • Country/region: Maakoodi on esim. FI
  • 5. " Cryptographic Service Provider Properties" sivulla, anna seuraavat tiedot ja paina sitten "Next"
  • Cryptographic service provider: Valitse listalta "Microsoft RSA SChannel Cryptographic Provider" (ellet jostain syystä halua käyttä jotain muuta kryptausmenetelmää).
  • Bit length: Valitse listalta 2048, ellet jostain syystä halua käyttää jotain muuta avaimen pituutta. Tämä on pienin tänä päivänä hyväksyttävä RSA arvo, vaikka saatatkin vielä joissain palveluissa nähdä esim. 1024 avaimen pituuksia. Varmennetta ei pienemmälle RSA avaimen pituudelle enää voida myöntää.
  • Tiedoston nimeä annettaessa huomio, että ellet valitse polkua (painike jossa on kolme pistettä ...) tallentuu CSR tiedosto oletusarvoisesti "C:\Windows\System32" kansioon.

6. Lopuksi klikkaa "Finish"

Tämän tuloksena sinulla pitäisi olla käytettävissäsi CSR tiedosto, eli varmennepyyntö, jolla voit tehdä varmennehakemuksen varmennetoimittajallesi. Tämä tiedosto on normaali tekstitiedosto, voit kopioida sen sisällön vaikka sähköpostiin tai suoraan varmennetoimittajasi järjestelmään sille varattuun kenttään. Kun varmenteesi on toimitettu, voit asentaa sen paikoilleen. Huomioi, että varmennepyyntöä tehdessä, laitteelle jossa em. komento ajetaan muodostuu varmennetta vastaava Private Key jota ilman varmenne ei toimi. Varmenteen voi siis asentaa nimenomaan sille laitteelle, jossa varmennepyyntö on tehty. Joissain tapauksissa on mahdollista viedä sekä varmenne, että sen Private Key pakettina ulos ja kopioida se toiseen laitteeseen. Windows ympäristössä tämä voi tapahtua esim. PFX pakettina.


  • Takaisin sisällysluetteloon
  • CSR, mikä se on?

    Mikä on CSR, eli certificate signing request. Vad är CSR? Certifikater, SSL certificates

    Varmennepyyntö, eli Certificate Signing Request

    CSR Muodostetaan yleisesti sillä palvelimella, johon myös varmenne on tarkoitus asentaa. Ei kuitenkaan aina. Varmennepyyntö voidaan tehdä periaatteessa millä tahansa laitteella, jossa on sen tekemiseen tarvittavat välineet. Varmennepyyntöä tehdessä laitteelle muodostuu Private Key, yksityinen avain. Jos itse varmenne, jota varten pyyntö on tehty, viedään toiselle laitteelle, on myös tämä yksityinen avain toimitettava sille. Ja tässä piilee riski. Vaikkakin tämä yksityinen avain suojataan salasanalla, on sen kuljettaminen useampien välineiden ja välikäsien kautta mahdollinen tietoturvariski. PIDÄ HUOLTA TÄSTÄ AVAIMESTA, käsittele sitä, kuin se olisi avain kotiisi. Ethän halua sinnekään kutsumattomia vieraita, varsinkaan avaimella varustettuna.

    Lue lisää..

    PRIVATE KEY, mikä se on?

    PRIVATE KEY

    Symmetrisen salauksen aikaansaamiseen käytetään PKI-menetelmää (Public Key Infrastructure). PKI:n lähtökohtana on kaksi salausavainta, jotka ovat erittäin pitkiä alkulukuja.
    Toinen on salainen avain (Private Key) ja toinen julkinen avain (Public Key). Jos salaisella avaimella salataan viesti, sen voi avata vain julkisella avaimella. Ja päinvastoin: jos julkisella avaimella salataan viesti, sen voi avata vain salaisella avaimella.

    Lue lisää..

    varmenneketju, mikä se on?

    VARMENNEKETJU

    Varmenneketju muodostuu myöntävistä varmenteista (ROOT ja Intermediate varmenteet) sekä varsinaisesta palvelin varmenteesta. ROOT varmenne on koko ketjun kuningas. Sen luotettavuuteen perustuu koko ketjun luotto. Yksinkertaisimmillaan palvelimen varmenne voi olla myönnetty suoraan ROOT varmenteella. Näin ei kuitenkaan ole,vaan palvelin varmenne on myönnetty jostain intermediate varmenteesta. Intermediate varmennekin voi olla ketjun terminoiva varmenne. Esimerkiksi siirryttäessä SHA1 varmenteista SHA2 varmenteisiin, useat varmennetoimittaja loivat uuden Intermediate varmenteen siirtymäkautta varten. Esimerksi Entrustin SHA2 varmenneketjusta tuli neliportainen: ServerCertificate Intermediate1 Intermediate2 (G2) Entrust ROOT.
    Näistä "välivarmenteista" Entrust Intermediate G2 toimii useilla laitteilla jo terminoivana ROOT varmenteena. Varmennusketju on monisyinen asia, siitä kannattaa muistaa, että intermediate varmenteita EI TULE asentaa laitteen "trusted root" säilöön, vaan "intermediate säilöön". Suuri osa asennuksen jälkeisistä varmenneongelmista johtuu siitä, että varmenneketju on puutteellinen.

    Lue lisää..