Pikaopas varmenteen luontiin

Open SSL-komento: openssl genrsa -out privatekey.key 2048

• Vaihda ”privatekey.key” -teksti haluamaksesi arvoksi.
• Valitsemasi arvo määrittää tiedoston nimen, mihin yksityinen avain kirjoitetaan.
• Varmennepalvelu tukee toistaiseksi vain 2048-bittisiä avaimia.
• Komento luo base64 -muodossa uuden yksityisen avaimen tiedostoon nimeltä ”privatekey.key”, valitsemaasi kansioon omalla työasemallasi.
  • Yksityinen avain on pidettävä salassa ja sen luominen työasemalla ei ole suositeltavaa. Esimerkiksi pilvipalveluita käytettäessä yksityinen avain kannattaa luoda suoraan suojattuun sijaintiin.

Open SSL-komento: openssl req -new -key privatekey.key -out examplecsr.csr

• Vaihda tiedoston nimi ”privatekey.key” samaksi, mitä käytit aiemmin, kun loit yksityisen avaimen.
• Vaihda ”examplecsr.csr” -teksti haluamaksesi arvoksi. Valitsemasi arvo määrittää tiedoston nimen, mihin CSR kirjoitetaan.
• CSR muodostetaan käyttäen luomaasi yksityistä avainta.
• Komento luo base64 -muodossa uuden CSR:n nimeltä ”examplecsr.csr” valitsemaasi kansioon omalla tietokoneellasi.
• Käytä tiedoston sisällä olevaa base64-muotoista CSR:ää varmenteen noudossa Varmennepalvelun käyttöliittymällä tai noutaessa varmenteen teknistä PKI-rajapintaa vasten.
  • Varmennepalvelun käyttöliittymällä noudettu varmenne on .pem-tiedostomuodossa. Varmennetiedoston voi myös halutessaan tallentaa .crt -tiedostomuotoon. Kumpaa tahansa tiedostomuotoa voi käyttää, kun luot .pfx-tiedoston Open SSL-komennolla.
  • PKI web serviceä käytettäessä palautuva allekirjoitettu varmenne on paluusanoman <certificate>-lohkossa sanoman alkuosassa.
  • Huomaa, että sanoman lopussa on <signature>-lohkon sisällä, <x509certificate>-lohkossa, paluusanoman allekirjoitusvarmenne. Tätä ei tule sekoittaa <certificate> -lohkossa olevaan CSR:n perusteella allekirjoitettuun varmenteeseen.

Open SSL-komento: openssl pkcs12 -export -out certificatepfx.pfx -inkey privateKey.key -in certificate.crt

• PKCS#12- tai pfx-tiedosto on binaarimuotoinen esitystapa, jota käytetään kryptografisten objektien, kuten yksityisten avainten, varmenteiden ja varmenneketjujen, tallentamiseen yhteen salattavaan tiedostoon.
• Vaihda ”certificatepfx.pfx ” -teksti haluamaksesi arvoksi. Valitsemasi arvo määrittää pfx -varmennetiedoston nimen.
• Vaihda tiedoston nimi ”privatekey.key” samaksi, millä nimellä loit yksityisen avaimen aiemmin.
• Vaihda tiedoston nimi ”certificate.crt” samaksi, mihin olet tallentanut varmennepalvelusta noudetun varmenteen.
• Kyseinen komento luo noudetusta varmennetiedostosta ja yksityisestä avaimesta pfx/PKCS12 -tiedoston, joka asetetaan ohjelmistoon rajapintakutsuja varten.
• OpenSSL ehdottaa myös lisäsalasanan lisäämistä tiedostolle, jonka voit asettaa halutessasi.
• Luotu pfx/PKCS12 -tiedosto sisältää yksityisen avaimen, joten myös tämä tiedosto on pidettävä salassa.

• Varmenteen uusiminen tarkoittaa käytännössä uuden varmenteen tilaamista teknisesti PKI web service-rajapinnan kautta. Uusimisen voi tehdä aikaisintaan 60 päivää ennen nykyisen varmenteen vanhenemista. Vanhenemisen jälkeen varmennetta ei voi uusia, vaan on tilattava uusi varmenne varmennepalvelun asiointipalvelusta.
• Ennen varmenteen uusimista luodaan uusi yksityinen avain, jolla muodostetaan uusi CSR. Alkuperäistä yksityistä avainta, jota käytettiin voimassa olevassa varmenteessa, ei voi enää käyttää uuden CSR:n luomisessa.
• PKI web service-rajapintaan lähetettävä uusimisen sanoma allekirjoitetaan voimassa olevan varmenteen alkuperäisellä yksityisellä avaimella. Allekirjoitus toimii varmenteen uusimisessa pyytäjän vahvana tunnistautumisvälineenä. Mikäli varmenne vanhenee, on tilattava uusi varmenne varmennepalvelun asiointipalvelusta.

Lisätietoja teknisissä ohjeissa: Tekniset ohjeet - vero.fi