NB! Alates 1.7.2015 kehtiv kirjeldus
Juhised serverisertifikaadi taotlemiseks kuni 30.06.2015
Serverisertifikaadi taotlemiseks tuleb läbida järgmised sammud
- Sertikaaditaotluse esitamine,
- taotluse heakskiitmine,
- domeeni (ja vajadusel asutuse) valideerimine,
- sertifikaadi kasutuselevõtt.
Alates 1. veebruarist 2013 on kasutusel järgmised sertifikaatide tüübid ja nende väljastamise tingimused.
- OV - Organization Validated Server Sertificate
-
Enne sertifikaadi väljastamist kontrollitakse asutuse õigust (äri)nime kasutada - asutuse nimi peab olema kontrollitav avalikest ja piisavalt autoriteetsetest allikatest. Taotleva asutuse nimi sertifikaaditaotluses peab olema asutuse ametlik nimi, selle ingliskeelne tõlge või nime transkriptsioon 7-bit ASCII kodeeringus.
Kontrollitakse ka õigust domeeninime kasutada (vt. altpoolt).
- DV - Domain Validated Server Sertificate
-
NB! DV sertifikaat ei sisalda asutuse nime.
Kontrollitakse taotluses oleva(te) domeeninime(de) kasutamisõigust. Domeeni valideerimine (DCV - Domain Control Verification) toimub ühel järgnevatest meetoditest:
- E-kiri Comodo serfitiseerimiskeskuse poolt aktsepteeritud aadressidele
- HTTP CSR räsi meetod (CSR kirje lisamine veebi räsisse)
- DNS CNAME räsi meetod (CNAME kirje lisamine nimeserverisse)
OV sertifikaadid on vajalikud kui asutuse nimi sertifikaadis on oluline (rahalised toimingud, teenuse kõrgem turvalisustase, vmt). Muudel juhtudel soovitame kasutada DV sertifikaate.
Sertikaaditaotluse esitamine
Asutuse kontaktisikule saadetakse peale teenusega liitumist viide taotlusvormile.
Enne vormi täitmist tuleb oma arvutis genereerida avaliku/salajase võtme paar ja taotlus. OpenSSL-i abil näiteks:
openssl genrsa -out XYZ.key 2048 openssl req -new -sha256 -key XYZ.key -out XYZ.csr
NB! Võtme pikkus peab olema vähemalt 2048 bitti.
Taotlusvormi lehele tuleb laadida sertifikaadi taotlus (.csr faili sisu).
Esimesel lehel täita kindlasti taotleja e-posti aadress, teisel lehel saab sisestada sertifikaadile täiendavaid domeeninimesid (Subject Alternative Names).
Taotluse heakskiitmine
- Asutuse kontaktisiku e-posti aadressile saadetakse teade sertifikaaditaotluse laekumise kohta.
- Taotluse kinnitamiseks tuleb kontaktisikul lehele https://tera.eenet.ee sisse logida.
- Enne heakskiitmist peab taotlusele valima domeeni valideerimise e-postiaadressi (DCV address) -- s.o. reaalselt töötav aadress, kuhu saadetakse kontrollkood domeeni kasutusõiguse tuvastamiseks.
- Pärast DCV aadressi valimist võib kinnitada sertifikaaditaotluse (Approve).
Domeeni valideerimine
DCV aadressile saadetakse kiri domeeni kasutusõiguse valideerimise juhtnööridega.
Sertifikaadi kasutuselevõtt
Kui domeeni kasutusõiguse kontroll õnnestus, saadetakse sertifikaadi taotlejale e-postiga sertifikaat ja juhtnöörid selle kasutamiseks. Sertifikaati saab asutuse kontaktisik laadida alla ka portaalist https://tera.eenet.ee
NB! Sertifikaadi kasutaja kohustub kinni pidama kõigist TCS teenuse tingimustest, vt. http://www.terena.org/activities/tcs/repositoryNB! Sertifikaadi privaatne võti tuleb hoida salajas!
Sertifikaadi paigaldamine veebiserverile
Infot TLS protokollide, teadaolevate probleemide ja haavatavuste, konfiguratsiooni näidete ja testimise tööriistade kohta leiab Mozilla Wikist
Sertifikaadi paigaldamise korrektsust saate kontrollida SSLLabs'i veebist https://www.ssllabs.com/ssltest
Juhul kui asutus soovib, et samas masinas saaks kasutada mitut erinevat sertifikaati, võib kasutada SNI tehnoloogiat (vt. http://en.wikipedia.org/wiki/Server_Name_Indication) või tuleks kasutada ühe masina puhul mitut erinevat IP-d või mitut eri serverit. SNI tehnoloogia puhul on teada, et sellega võib probleeme olla Windows XP või Internet Explorer 6 kasutajatel.
Viimati uuendatud 2013-03-21
