Wesentra Oy
Alkuun

Ohjeita erilaisiin SSL/TLS-Tilanteisiin

Varmennepyynnön luonti

SSL/TLS Certificates eli varmenteet suojaavat verkkoliikennettä. Entrust certificates, Entrust certifikater, Telia certifikater

CSR Luonti MMC-konsolilla

CSR Luontiohjeita

NGINX OpenSSL CSR Luonti, certifikat CSR NGINX

CSR Luonti käyttäen OpenSSL-työkalua

Englanninkielinen velho komennon luontiin löytyy täältä (avautuu uuteen ikkunaan)

  • 1. Kirjaudu palvelimelle, terminaaliin (Unix/Linux).
  • 2. Kirjoita seuraava komento:
  • openssl req -new -newkey rsa:2048 -nodes -keyout yourdomain.key -out yourdomain.csr
    3. OpenSSL kysyy varmenteelle tarvittavat tiedot. Pakollisina tietoina katsotaan olevan MAA (kaksi merkkinen lyhenne) missä varmennetta tullaan käyttämään, Organisaation nimi sellaisena kuin se kaupparekisteriin on merkitty, COMMON NAME (CN) eli palvelun nimi joka halutaan varmentaa, esimerkiksi: www.omadomain.fi.
    Maakoodit löytyvät täältä.

     

    Varmennepyynnön luonti OpenSSL:n avulla:


  • Takaisin sisällysluetteloon
  • CSR, mikä se on?

    Mikä on CSR, eli certificate signing request. Vad är CSR? Certifikater, SSL certificates

    Varmennepyyntö, eli Certificate Signing Request

    CSR Muodostetaan yleisesti sillä palvelimella, johon myös varmenne on tarkoitus asentaa. Ei kuitenkaan aina. Varmennepyyntö voidaan tehdä periaatteessa millä tahansa laitteella, jossa on sen tekemiseen tarvittavat välineet. Varmennepyyntöä tehdessä laitteelle muodostuu Private Key, yksityinen avain. Jos itse varmenne, jota varten pyyntö on tehty, viedään toiselle laitteelle, on myös tämä yksityinen avain toimitettava sille. Ja tässä piilee riski. Vaikkakin tämä yksityinen avain suojataan salasanalla, on sen kuljettaminen useampien välineiden ja välikäsien kautta mahdollinen tietoturvariski. PIDÄ HUOLTA TÄSTÄ AVAIMESTA, käsittele sitä, kuin se olisi avain kotiisi. Ethän halua sinnekään kutsumattomia vieraita, varsinkaan avaimella varustettuna.

    Lue lisää..

    PRIVATE KEY, mikä se on?

    PRIVATE KEY

    Symmetrisen salauksen aikaansaamiseen käytetään PKI-menetelmää (Public Key Infrastructure). PKI:n lähtökohtana on kaksi salausavainta, jotka ovat erittäin pitkiä alkulukuja.
    Toinen on salainen avain (Private Key) ja toinen julkinen avain (Public Key). Jos salaisella avaimella salataan viesti, sen voi avata vain julkisella avaimella. Ja päinvastoin: jos julkisella avaimella salataan viesti, sen voi avata vain salaisella avaimella.

    Lue lisää..

    varmenneketju, mikä se on?

    VARMENNEKETJU

    Varmenneketju muodostuu myöntävistä varmenteista (ROOT ja Intermediate varmenteet) sekä varsinaisesta palvelin varmenteesta. ROOT varmenne on koko ketjun kuningas. Sen luotettavuuteen perustuu koko ketjun luotto. Yksinkertaisimmillaan palvelimen varmenne voi olla myönnetty suoraan ROOT varmenteella. Näin ei kuitenkaan ole,vaan palvelin varmenne on myönnetty jostain intermediate varmenteesta. Intermediate varmennekin voi olla ketjun terminoiva varmenne. Esimerkiksi siirryttäessä SHA1 varmenteista SHA2 varmenteisiin, useat varmennetoimittaja loivat uuden Intermediate varmenteen siirtymäkautta varten. Esimerksi Entrustin SHA2 varmenneketjusta tuli neliportainen: ServerCertificate Intermediate1 Intermediate2 (G2) Entrust ROOT.
    Näistä "välivarmenteista" Entrust Intermediate G2 toimii useilla laitteilla jo terminoivana ROOT varmenteena. Varmennusketju on monisyinen asia, siitä kannattaa muistaa, että intermediate varmenteita EI TULE asentaa laitteen "trusted root" säilöön, vaan "intermediate säilöön". Suuri osa asennuksen jälkeisistä varmenneongelmista johtuu siitä, että varmenneketju on puutteellinen.

    Lue lisää..