Pikaopas varmenteen luontiin

Open SSL-komento: openssl genrsa -out privatekey.key 2048

• Vaihda "privatekey.key" haluamaksesi tiedoston nimeksi, johon yksityinen avain kirjoitetaan.
• Varmennepalvelu tukee toistaiseksi vain 2048-bittisiä avaimia.
• Komento luo base64 -muodossa uuden yksityisen avaimen tiedostoon nimeltä ”privatekey.key”, valitsemaasi kansioon omalla työasemallasi.
  • Yksityinen avain on pidettävä salassa ja sen luominen työasemalla ei ole suositeltavaa. Esimerkiksi pilvipalveluita käytettäessä yksityinen avain kannattaa luoda suoraan suojattuun sijaintiin.

Open SSL-komento: openssl req -new -key privatekey.key -out examplecsr.csr

• Vaihda tiedoston nimi ”privatekey.key” samaksi, mitä käytit aiemmin, kun loit yksityisen avaimen.
• Vaihda ”examplecsr.csr” -teksti haluamaksesi tiedoston nimeksi, johon CSR kirjoitetaan.
• CSR muodostetaan käyttäen luomaasi yksityistä avainta.
  • OpenSSL kysyy CSR:n muodostamisessa erilaisia lisätietoja, kuten maa (C), common name (CN) ja organization (O). Syötä common name-kenttään keino-organisaation y-tunnus ja organization-kenttään keino-organisaation nimi. Tuotantovarmenteilla syötä organisaation aito y-tunnus ja nimi. Syötä maa-kenttään FI.
• Käytä tiedoston sisällä olevaa base64-muotoista CSR:ää varmenteen noudossa Varmennepalvelun käyttöliittymällä tai noutaessa varmenteen teknistä PKI-rajapintaa vasten.
  • Varmennepalvelun käyttöliittymällä noudettu varmenne on .pem-tiedostomuodossa.
  • Teknistä PKI-rajapintaa käytettäessä palautuva allekirjoitettu varmenne on paluusanoman <certificate>-lohkossa sanoman alkuosassa.
    • Tallenna lohkon arvona oleva Base64 merkkijono tekstitiedostoon .pem tiedostopäätteellä:
      -----BEGIN CERTIFICATE-----
      [base64-merkkijono certificate-lohkosta]
      -----END CERTIFICATE-----
  • Huomaa, että sanoman lopussa on <signature>-lohkon sisällä, <x509certificate>-lohkossa, paluusanoman allekirjoitusvarmenne. Tätä ei tule sekoittaa <certificate> -lohkossa olevaan CSR:n perusteella allekirjoitettuun varmenteeseen.

Open SSL-komento: openssl pkcs12 -export -out certificatepfx.pfx -inkey privateKey.key -in certificate.pem

Varmennepalvelun käyttöliittymällä noudettu varmenne on .pem-tiedostomuodossa.

• PKCS#12- tai pfx-tiedosto on binaarimuotoinen esitystapa, jota käytetään kryptografisten objektien, kuten yksityisten avainten, varmenteiden ja varmenneketjujen, tallentamiseen yhteen salattavaan tiedostoon.
• Vaihda ”certificatepfx.pfx ” -teksti haluamaksesi arvoksi. Valitsemasi arvo määrittää pfx -varmennetiedoston nimen.
• Vaihda tiedoston nimi ”privatekey.key” samaksi, millä nimellä loit yksityisen avaimen aiemmin.
• Tiedosto ”certificate.pem” on varmennepalvelusta saatu varmenne.
• Kyseinen komento luo noudetusta varmennetiedostosta ja yksityisestä avaimesta pfx/PKCS12 -tiedoston, joka asetetaan ohjelmistoon rajapintakutsuja varten.
• OpenSSL ehdottaa myös lisäsalasanan lisäämistä tiedostolle, jonka voit asettaa halutessasi.
• Luotu pfx/PKCS12 -tiedosto sisältää yksityisen avaimen, joten myös tämä tiedosto on pidettävä salassa.

• Varmenteen uusiminen tarkoittaa käytännössä uuden varmenteen tilaamista teknisesti PKI web service-rajapinnan kautta. Uusimisen voi tehdä aikaisintaan 60 päivää ennen nykyisen varmenteen vanhenemista. Vanhenemisen jälkeen varmennetta ei voi uusia, vaan on tilattava uusi varmenne varmennepalvelun asiointipalvelusta.
• Ennen varmenteen uusimista luodaan uusi yksityinen avain, jolla muodostetaan uusi CSR. Alkuperäistä yksityistä avainta, jota käytettiin voimassa olevassa varmenteessa, ei voi enää käyttää uuden CSR:n luomisessa.
• PKI web service-rajapintaan lähetettävä uusimisen sanoma allekirjoitetaan voimassa olevan varmenteen alkuperäisellä yksityisellä avaimella. Allekirjoitus toimii varmenteen uusimisessa pyytäjän vahvana tunnistautumisvälineenä. Mikäli varmenne vanhenee, on tilattava uusi varmenne varmennepalvelun asiointipalvelusta.

Lisätietoja teknisissä ohjeissa: Tekniset ohjeet - vero.fi