PALVELINVARMENTEIDEN VERKKOTUNNUSTEN CA-VALIDOINTI

Palvelinvarmenteiden CA-validointi on muuttunut. Nykyiset menettelytavat on kuvattu alla. Asiakkaat itse valitsevat Telian varmenneportaalissa ”Ano verkkotunnuksia”-sivulla tai yksittäistä varmennetilausta tehdessään mitä menettelytapaa he haluavat käyttää. Valtuutuksen hyväksynnän jälkeen voi esiintyä noin tunnin viive ennen kuin verkkotunnus näkyy varmenneportaalissa.

DNS-menettely
Asiakkaan tai verkkotunnusoperaattorin tulee lisätä satunnaismerkkijono tilatun verkkotunnuksen hallintapalvelun kautta TXT-tietueeksi mainitulle verkkotunnukselle. Portaalia käytettäessä merkkijono voidaan joko kopioida pääkäyttäjän toimesta suoraan varmenneportaalista tai lähettää DNS-palvelun ylläpitäjälle sähköpostilla. Kertatilauksessa merkkijono lähetetään aina sähköpostilla DNS:ää ylläpitävälle taholle. Telian varmennepalvelu tarkkailee määrävälein TXT-tietuetta. Kun nimipalvelussa on havaittu oikea TXT-tietue, verkkotunnus on validoitu ja se on käytettävissä varmenteiden luontiin portaalissa tai kertatilauksen tapauksessa tilauksen toimitus etenee seuraavaan vaiheeseen. Huomioi seuraavat asiat tätä menetelmää käytettäessä:

  • nimipalvelun päivitys voi kestää useita tunteja
  • älä aseta tekstiä web-palvelimelle
  • valitse tämä menetelmä jos laitteellesi ei ole pääsyä julkisesta Internetistä
  • IP-osoitteita ei voi validoida tällä menetelmällä
Tiedostomenettely
Palvelimen ylläpitäjän tulee asettaa satunnaismerkkijonon sisältävä tiedosto tilatun verkkotunnuksen web-palvelimelle vakioituun allaolevaan hakemistopolkuun validointia varten. Portaalia käytettäessä merkkijono voidaan joko kopioida suoraan varmenneportaalista tai lähettää palvelimen ylläpidolle sähköpostilla. Tiedoston voi asettaa saataville .txt-päätteellä tai ilman tiedostopäätettä. Telian varmennepalvelu etsii molempia muotoja määrävälein sekä portin 80 (http) että 443 (https) kautta. Kun palvelu havaitsee tiedoston ilmaantuneeksi, validointi tapahtuu ja verkkotunnus on käytettävissä varmenteiden luontiin portaalissa tai kertatilauksen tapauksessa tilauksen toimitus etenee seuraavaan vaiheeseen.

Huomioi, että tässä menetelmässä palvelimesi tulee olla käynnissä ja sille on oltava pääsy julkisesta Internetistä.

Alla ovat esimerkit Telian toimittaman tiedoston asettamisesta vakioituun paikkaan web-palvelimella, jotta sen tarkastus voidaan suorittaa. Esimerkkitiedosto: telia_validation_data_file_20180308.

TarkastusosoiteEsimerkki koko polusta tiedostojärjestelmässä
Linuxwww.yritys.fi/.well-known/pki-validation/telia_validation_data_file_20180308/var/www/html/.well-known/pki-validation/telia_validation_data_file_20180308
Windowswww.yritys.fi/.well-known/pki-validation/telia_validation_data_file_20180308C:\well-known\pki-validation\telia_validation_data_file_20180308
Windowsissa ei ole mahdollista asettaa polkuun pistettä. Siksi IIS:ssä tulee luoda virtuaalinen hakemisto avaamalla valikko oikean napin klikkaamisella palvelimesi nimen päällä ja valitsemalla Add virtual directory. Laita aliakseksi .well-known ja lisää Physical path-kenttään polku C:\well-known\pki-validation

Sähköpostimenettely
Tässä menetelmässä Telian varmennepalvelu lähettää verkkotunnuksen rekisteritiedoista löytyvään sähköpostiosoitteeseen ja/tai verkkotunnuksen administrator@, admin@, postmaster@, hostmaster@, ja webmaster@ -sähköpostiosoitteisiin viestin. Viestin vastaanottajan tulee klikata viestissä olevaa verkkotunnuksen hallinnan vahvistuslinkkiä. Klikkauksen jälkeen verkkotunnus on käytettävissä varmenteiden luomiseen portaalissa tai kertatilauksen tapauksessa tilauksen toimitus etenee seuraavaan vaiheeseen. Tarkista ennen tämän menetelmän käyttöä, että mainitut sähköpostitilit ovat olemassa tilatulle verkkotunnukselle ja luettavissa.

Soittomenettely
Tässä menetelmässä varmenneportaalin pääkäyttäjä tai kertatilauksen tekijä pyytää Teliaa tarkistamaan verkkotunnuksen valtuutuksen puhelimitse. Tarkistuksessa Telia voi käyttää ainoastaan verkkotunnusrekisteriin (whois-palveluun) kirjattua julkista verkkotunnuksen kontaktipuhelinnumeroa. Tarkista WHOIS-palvelusta (esimerkiksi whois.net), että verkkotunnuksellanne on oikea puhelinnumero, johon vastaavalla henkilöllä on valtuudet myöntää oikeus verkkotunnuksen käyttöön varmenteessa. Soiton jälkeen verkkotunnus on käytettävissä portaalissa tai kertatilauksen käsittely etenee seuraavaan vaiheeseen. Huomaa, että GDPR:n takia .com, .net ja .org-verkkotunnusrekisterit ovat poistaneet verkkotunnusten yhteystiedot, joten tämä menettely ei ole tavallisesti käytettävissä näille verkkotunnuksille.




Menetelmien soveltuvuus
Eräät menetelmät soveltuvat paremmin yksittäisen verkkonimen (esimerkiksi kauppa.yritys.fi) ja toiset koko verkkotunnuksen (esimerkiksi .yritys.fi) validointiin.

Koko verkkotunnuksen validoinnin jälkeen samaa validointia voidaan käyttää kahden vuoden ajan uusien tilausten tekoon kaikille kyseisen verkkotunnuksen nimille ilman tarvetta uusiin validointeihin. Koko verkkotunnuksen validointi Telian varmenteiden tekoa varten on suositeltavaa, mutta se ei ole aina mahdollista puutteellisten WHOIS-tietojen tai verkkotunnusrekisterin käyttämien yksityisyysasetusten johdosta. Tällöin on syytä käyttää verkkotunnusrekisterien tiedoista riippumattomia tiedosto- ja DNS-menetelmiä.

Taulukossa listataan suositukset menetelmien käytöstä:

ValidointimenetelmäYksittäinen verkkonimiKoko verkkotunnusIP-osoite
DNSSoveltuuSoveltuuEi käytettävissä
TiedostoSoveltuuEi sovelluSoveltuu
SähköpostiEi sovelluSoveltuuSoveltuu
SoittoEi sovelluSoveltuuSoveltuu