Verohallinnon nimissä on lähetetty huijausviestejä. Lue lisää huijauksista.

Pikaopas varmenteen luontiin

Tässä ohjeessa on kuvattu esimerkkitapoja, joita voi käyttää avuksi varmenteen luomisessa. Esimerkit on toteutettu Open SSL -ohjelmalla, johon kyseiset komennot on tarkoitettu.

Tarkemmat tekniset ohjeet varmenteen muodostamisesta, noutamisesta ja uusimisesta kuvattu Varmennepalvelun teknisessä ohjeessa. Lue ohje vero.fi-sivulta: Tekniset ohjeet

Varmenteen yksityisen avaimen muodostaminen

Open SSL-komento: openssl genrsa -out privatekey.key 2048

  • Vaihda ”privatekey.key” -teksti haluamaksesi arvoksi.
  • Valitsemasi arvo määrittää tiedoston nimen, mihin yksityinen avain kirjoitetaan.
  • Varmennepalvelu tukee toistaiseksi vain 2048-bittisiä avaimia.
  • Komento luo base64 -muodossa uuden yksityisen avaimen tiedostoon nimeltä ”privatekey.key”, valitsemaasi kansioon omalla työasemallasi.
    • Yksityinen avain on pidettävä salassa ja sen luominen työasemalla ei ole suositeltavaa. Esimerkiksi pilvipalveluita käytettäessä yksityinen avain kannattaa luoda suoraan suojattuun sijaintiin.

Luo varmenteen allekirjoituspyyntö, eli Certificate Signing Request (CSR)

Open SSL-komento: openssl req -new -key privatekey.key -out examplecsr.csr

  • Vaihda tiedoston nimi ”privatekey.key” samaksi, mitä käytit aiemmin, kun loit yksityisen avaimen.
  • Vaihda ”examplecsr.csr” -teksti haluamaksesi arvoksi. Valitsemasi arvo määrittää tiedoston nimen, mihin CSR kirjoitetaan.
  • CSR muodostetaan käyttäen luomaasi yksityistä avainta.
  • Komento luo base64 -muodossa uuden CSR:n nimeltä ”examplecsr.csr” valitsemaasi kansioon omalla tietokoneellasi.
  • Käytä tiedoston sisällä olevaa base64-muotoista CSR:ää varmenteen noudossa Varmennepalvelun käyttöliittymällä tai noutaessa varmenteen teknistä PKI-rajapintaa vasten.
    • Varmennepalvelun käyttöliittymällä noudettu varmenne on .pem-tiedostomuodossa. Varmennetiedoston voi myös halutessaan tallentaa .crt -tiedostomuotoon. Kumpaa tahansa tiedostomuotoa voi käyttää, kun luot .pfx-tiedoston Open SSL-komennolla.
    • PKI web serviceä käytettäessä palautuva allekirjoitettu varmenne on paluusanoman <certificate>-lohkossa sanoman alkuosassa.
    • Huomaa, että sanoman lopussa on <signature>-lohkon sisällä, <x509certificate>-lohkossa, paluusanoman allekirjoitusvarmenne. Tätä ei tule sekoittaa <certificate> -lohkossa olevaan CSR:n perusteella allekirjoitettuun varmenteeseen.

Luo pfx/PKCS12 -tiedosto noudetusta varmenteesta ja yksityisestä avaimesta

Open SSL-komento: openssl pkcs12 -export -out certificatepfx.pfx -inkey privateKey.key -in certificate.crt

  • PKCS#12- tai pfx-tiedosto on binaarimuotoinen esitystapa, jota käytetään kryptografisten objektien, kuten yksityisten avainten, varmenteiden ja varmenneketjujen, tallentamiseen yhteen salattavaan tiedostoon.
  • Vaihda ”certificatepfx.pfx ” -teksti haluamaksesi arvoksi. Valitsemasi arvo määrittää pfx -varmennetiedoston nimen.
  • Vaihda tiedoston nimi ”privatekey.key” samaksi, millä nimellä loit yksityisen avaimen aiemmin.
  • Vaihda tiedoston nimi ”certificate.crt” samaksi, mihin olet tallentanut varmennepalvelusta noudetun varmenteen.
  • Kyseinen komento luo noudetusta varmennetiedostosta ja yksityisestä avaimesta pfx/PKCS12 -tiedoston, joka asetetaan ohjelmistoon rajapintakutsuja varten.
  • OpenSSL ehdottaa myös lisäsalasanan lisäämistä tiedostolle, jonka voit asettaa halutessasi.
  • Luotu pfx/PKCS12 -tiedosto sisältää yksityisen avaimen, joten myös tämä tiedosto on pidettävä salassa.

Varmenteen uusiminen

  • Varmenteen uusiminen tarkoittaa käytännössä uuden varmenteen tilaamista teknisesti PKI web service-rajapinnan kautta. Uusimisen voi tehdä aikaisintaan 60 päivää ennen nykyisen varmenteen vanhenemista. Vanhenemisen jälkeen varmennetta ei voi uusia, vaan on tilattava uusi varmenne varmennepalvelun asiointipalvelusta.
  • Ennen varmenteen uusimista luodaan uusi yksityinen avain, jolla muodostetaan uusi CSR. Alkuperäistä yksityistä avainta, jota käytettiin voimassa olevassa varmenteessa, ei voi enää käyttää uuden CSR:n luomisessa.
  • PKI web service-rajapintaan lähetettävä uusimisen sanoma allekirjoitetaan voimassa olevan varmenteen alkuperäisellä yksityisellä avaimella. Allekirjoitus toimii varmenteen uusimisessa pyytäjän vahvana tunnistautumisvälineenä. Mikäli varmenne vanhenee, on tilattava uusi varmenne varmennepalvelun asiointipalvelusta.

Lisätietoja teknisissä ohjeissa: Tekniset ohjeet - vero.fi

Olet jo vastannut kyselyyn "Palautekysely verkkosivuilla", kiitos vastauksestasi!
Vastaathan tähdellä merkittyihin pakollisiin kysymyksiin
Tarkistathan tekstikenttien arvot
Sivu on viimeksi päivitetty 4.2.2025