Falska meddelanden har skickats ut i Skatteförvaltningens namn. Läs mer om falska meddelanden.

Snabbguide till att skapa certifikat

Att skapa ett certifikat kräver kunskap om PKI-teknologi.

I den här anvisningen beskrivs exempelfall som du kan ta hjälp av när du skapar ett certifikat. Exemplen har förvekligats med programmet Open SSL för vilket kommandona i fråga är avsedda.

Närmare tekniska anvisningar om att skapa, hämta och förnya ett certifikat beskrivs i den tekniska anvisningen till certifikattjänsten. Läs anvisningen på vero.fi på sidan: Tekniska anvisningar

Skapa en privat certifikatnyckel

Open SSL-kommando: openssl genrsa -out privatekey.key 2048

  • Byt ut "privatekey.key" mot det filnamn du vill att den privata nyckeln ska skrivas till.
  • Certifikattjänsten stödjer tills vidare bara nycklar med 2048 bitar.
  • Kommandot skapar en ny privat nyckel i formatet base64 i en fil med namnet ”private.key” i önskad mapp på din arbetsstation.
    • Den privata nyckeln ska hemlighållas och det rekommenderas inte att skapa den på arbetsstationen. Till exempel vid användningen av molnbaserade datortjänster lönar det sig att skapa den privata nyckeln direkt till en säker plats.

Skapa signaturbegäran för certifikatet, alltså Certificate Signing Request (CSR)

Open SSL-kommando: Openssl req -new -key newprivate.key -out certificaterequest.csr

  • Byt filnamnet ”privatekey.key” till samma namn som du använde tidigare när du skapade den privata nyckeln.
  • Byt ut texten "examplecsr.csr" mot det filnamn du vill att CSR ska skrivas till.
  • CSR bildas genom att använda den privata nyckel som du har skapat.
    • OpenSSL kommer att be om olika ytterligare uppgifter vid skapandet av CSR, såsom land (C), common name (CN) och organisation (O). Ange artificiell-organisations FO-nummer i fältet common name och artificiell-organisations namn i fältet organisation. För produktionscertifikat, ange organisationens verkliga FO-nummer och namn. Ange FI i fältet land.
  • Använd den CSR i formatet base64 som finns i filen när du hämtar certifikatet med gränssnittet för certifikattjänsten eller via det tekniska PKI-gränssnittet.
    • Ett certifikat som har hämtats med gränssnittet för certifikattjänsten har filformatet .pem. 
    • Om du använder tekniska PKI-gränssnittet är det returnerade och signerade certifikatet i svarsmeddelandet i början av meddelandet i blocket <certificate>.
      • Spara Base64-strängen som blockvärde i en textfil med filnamnstillägget .pem:
        -----BEGIN CERTIFICATE-----
        [base64-sträng från certifikatblock]
        -----END CERTIFICATE-----
    • Observera att signaturcertifikatet är i slutet av meddelandet inne i blocket <signature> i blocket <x509certificate>. Detta ska inte blandas med det utifrån CSR signerade certifikatet som finns i blocket <certificate>.

Skapa en pfx/PKCS12-fil för det hämtade certifikatet och den privata nyckeln

Open SSL-kommando: openssl pkcs12 -export -out certificatepfx.pfx -inkey privateKey.key -in certificate.pem

Ett certifikat som har hämtats med gränssnittet för certifikattjänsten har filformatet .pem. 

  • PKCS#12- eller pfx-filen är ett framställningssätt i binärformat som används för att i en krypterad fil spara kryptografiska objekt, såsom privata nycklar, certifikat och certifikatkedjor.
  • Byt texten ”certificatepfx.pfx ” till önskat värde. Det värde som du har valt fastställer namnet på pfx-certifikatfilen.
  • Byt filnamnet ”privatekey.key” till samma namn med vilket du skapade den privata nyckeln tidigare.
  • Filen "certificate.pem" är ett certifikat som erhållits från en certifikattjänst.
  • Kommandot i fråga skapar en sådan pfx/PKCS12-fil av den hämtade certifikatfilen och den privata nyckeln som ställs i programmet för gränssnittsanrop.
  • OpenSSL föreslår också att du lägger till ett ytterligare lösenord för filen. Det kan du göra om du vill.
  • Den skapade pfx/PKCS12-filen innehåller den privata nyckeln och därför ska också denna fil hemlighållas.

Förnyande av ett certifikat

  • Förnyandet av ett certifikat innebär i praktiken att du beställer ett nytt certifikat tekniskt via gränssnittet PKI web service. Certifikat kan förnyas tidigast 60 dagar innan det nuvarande certifikatet går ut. Efter att certifikatet har gått ut går det inte att förnya det utan då ska du beställa ett nytt certifikat från certifikattjänsten.
  • Innan certifikatet förnyas skapas en ny privat nyckel med vilken en ny CSR bildas. Den ursprungliga privata nyckeln som användes för det gällande certifikatet kan inte längre användas när den nya CSR bildas.
  • Meddelandet om förnyandet som skickas till gränssnittet PKI web service signeras med den ursprungliga privata nyckeln för det gällande certifikatet. Signaturer fungerar som stark autentisering av den som lämnar begäran när certifikatet förnyas. Om giltighetstiden för certifikatet har gått ut ska du beställa ett nytt certifikat från certifikattjänsten.

Mer information i den tekniska anvisningen: Tekniska anvisningar – vero.fi


Olet jo vastannut kyselyyn "Palautekysely verkkosivuilla", kiitos vastauksestasi!
Vänligen svara på obligatoriska frågorna märkade med en asterisk
Vänligen kontrollera textinmatning
Sidan har senast uppdaterats 18.2.2025