PALVELINVARMENTEEN TILAAMINEN - PALVELINKOHTAISET OHJEET

MICROSOFT IIS JA AZURE


IIS 7

VAIHE 1. VARMENNEPYYNNÖN LUONTI IIS 7

  1. Avaa Start-painikkeen takaa löytyvä valikko Administrative Tools, josta valitse Internet Information Services
  2. Klikkaa palvelimen nimeä
  3. Tuplaklikkaa keskivalikossa Security-osiossa olevaa kuvaketta Server Certificates
  4. Valitse oikealta Actions-menusta CreateCertificate Request
  5. Syötä seuraavat tiedot Distinguished Name Properties-ikkunaan:
    1. Common Name: palvelimen täysi DNS-nimi
    2. Organization: yhteisönne nimi siten, että se vastaa täsmälleen Y-tunnuksellenne rekisteröityä nimeä
    3. Organizational Unit: voidaan jättää tyhjäksi
    4. City/locality: pakollinen kenttä
    5. State/province: pakollinen kenttä
    6. Country/region: esimerkiksi FI
  6. Käytä oletusarvoja Microsoft RSA SChannel ja 2048 sivulla Cryptographic Service Provider Properties.
  7. Syötä File name-sivulle nimi CSR-tiedostolle
  8. Avaa tekemäsi varmennepyyntö (MyCertReq.txt) Notepad ohjelmalla ja kopioi sisältö tilaussivulle. Älä kopioi välilyöntejä tai tyhjiä rivejä!

VAIHE 2. VARMENTEEN ASENTAMINEN JA KÄYTTÖÖNOTTO IIS 7

  1. Telia CA lähettää asiakkaalle linkin, josta asiakas voi hakea varmenteen.
  2. Seuraa sivulta löytyviä ohjeita varmenteen tallentamiseksi koneellesi esim. nimelle MyCert.cer
  3. Tallenna Telia CA p7b-tiedoston, tallenna se tästä koneelleellesi esim. nimelle TS_intermediate.p7br
  4. Avaa Microsoft Management Console (MMC) Start -> Run -> kirjoita "mmc" ja klikkaa "ok" tai paina enter
  5. Avaa Add/remove snap-in ikkuna File -> Add/Remove Snap-in
  6. Avaa Certificates Snap-in Klikkaa 'Add' ja klikkaa 'Certificates'
  7. Valitse 'Computer Account' ja klikkaa 'Next'
  8. Valitse 'Local Computer' ja klikkaa 'Finish'
  9. Sulje 'Add Standalone Snap-in' ikkuna ja klikkaa 'OK'
  10. Laajenna Certificate näkymä klikkaamalla plus (+) merkkiä
  11. Klikkaa hiiren oikeanpuoleisella näppäimellä 'Intermediate Certification Authorities' päällä, valitse 'All Tasks' ja valitse 'Import'
  12. Etsi Intermediate varmenne (TS_intermediate.p7b) ja klikkaa 'next' ja 'Finnish'.
  13. Mene Administration Utilities valikkoon ja valitse sieltä IIS
  14. Valitse oikealla puolella olevasta Action valikosta Complete Certificate Request
  15. Hae tallentamasi varmenne (MyCert.cer)
  16. Klikkaa varmenne auki ja mene Certificate Path välilehdelle
  17. Varmista että varmenteen luottamus ketju on kunnossa.

  18. IIS sivulla valitse 'Sites' alta web sivusi. Vasemmalla olevassa 'Actions' valikosta valitse 'Bindings'
  19. valitse 'Add' Bindings' ikkunasta. Mikäli https sivu on jo olemassa, valitse se ja paina "Edit". Lisää HTTPS sivu painamalla "Add". Valitse "Type" valinnasta HTTPS ja valitse "SSL Certificate" valikosta varmenne ja paina OK
  20. Sulje 'Site Bindings' ikkuna
  21. Restarttaa IIS7 vasemmalla olevassa 'Actions' valikon kautta
  22. Jos käytät Microsoftin ISA/TMG/UAG palvelinta, käynnistä palvelin uudelleen
  23. Testaa suojattujen sivujen toimimuus käyttäen SSL portti (oletus 443)

VARMUUSKOPIOINTI IIS 7

  1. Avaa Start-painikkeen takaa löytyvä valikko Administrative Tools, josta valitse Internet Information Services
  2. Klikkaa palvelimen nimeä
  3. Tuplaklikkaa keskivalikossa Security-osiossa olevaa kuvaketta Server Certificates
  4. Valitse oikealta Actions-menusta Export
  5. Exoprt Certificate ikkunassa valitse paikka jonne varmenne varmuuskopioidaan ja määrittele salasana varmuuskopiolle, klikkaa OK
  6. Säilytä IIS 7 varmenne varmuuskopio turvallisesti

PALAUTUS VARMUUSKOPIOSTA IIS 7

  1. Avaa Start-painikkeen takaa löytyvä valikko Administrative Tools, josta valitse Internet Information Services
  2. Klikkaa palvelimen nimeä
  3. Tuplaklikkaa keskivalikossa Security-osiossa olevaa kuvaketta Server Certificates
  4. Valitse oikealta Actions-menusta Import
  5. Import Certificate ikkunassa hae varmuuskopioitu varmenne ja anna salasana jolla varmuuskopioitu varmenne on suojattu, klikkaa OK
  6. Varmenne on palautettu varmuuskopiosta

INTERMEDIATE-VARMENTEEN ASENTAMINEN

  1. Avaa Microsoft Management Console (MMC) Start -> Run -> kirjoita "mmc" ja klikkaa "ok" tai paina enter
  2. Avaa Add/remove snap-in ikkuna File -> Add/Remove Snap-in
  3. Avaa Certificates Snap-in Klikkaa 'Add' ja klikkaa 'Certificates'
  4. Valitse 'Computer Account' ja klikkaa 'Next'
  5. Valitse 'Local Computer' ja klikkaa 'Finish'
  6. Sulje 'Add Standalone Snap-in' ikkuna ja klikkaa 'OK'
  7. Laajenna Certificate näkymä klikkaamalla plus (+) merkkiä
  8. Klikkaa hiiren oikeanpuoleisella näppäimellä 'Intermediate Certification Authorities' päällä, valitse 'All Tasks' ja valitse 'Import'
  9. Etsi Intermediate varmenne (TS_intermediate.p7b) ja klikkaa 'next' ja 'Finish'.


VARMENTEEN ASENNUS WINDOWS SERVER 2012:EEN


  1. Tallenna Telia CA:lta saamasi varmennetiedosto .crt-tiedostoksi. Varo, ettei kopiointiprosessissa tiedostoon tule ylimääräisiä välilyöntejä tai rivinvaihtoja. Lataa tiedosto palvelimellesi.
  2. Valitse Server Managerista Internet Information (IIS) Manager valikosta Tools.
  3. Valitse IIS Managerissa palvelimesi nimi.
  4. Klikkaa Server Certificates-ikonia.
  5. Valitse oikealla olevasta Actions-panelista Complete Certificate Request.
  6. Syötä avautuvassa ikkunassa varmennetiedoston polku, aseta Friendly name varmenteelle ja valitse varmenteelle varmennevarasto. Lopuksi klikkaa OK.
  7. Jätä IIS auki ja valitse vasemmanpuoleisesta sukupuuvalikosta oikeaa hiiren nappia käyttäen sivusto, jolle varmenne asetetaan käyttöön.
  8. Valitse Edit Bindings.
  9. Edit Site Bindigs-ikkunassa aseta binding typeksi https, valitse ip-osoite suojatun sivuston käyttöön ja valitse SSL certificate-kohtaan varmenteesi käyttäen Friendly namea. Klikkaa lopuksi OK.


AZURE


Tarvitset Microsoft Azure-pilvipalvelutilauksen lisäksi tietokoneen, jossa on asennettuna OpenSSL tai Microsoft IIS, jotta saat vietyä Telia-varmenteen Azureen.

VAIHE 1. VARMENNEPYYNNÖN LUONTI OPENSSL:LLÄ TAI IIS:LLÄ

  1. Luo varmennepyyntö käyttäen OpenSSL:n komentoa openssl req -new -newkey rsa:2048 -nodes tai ylläkuvattua IIS:n CSR-luontia. Pidä huolta yksityisestä avaimesta; OpenSSL:ää käytettäessä tarvitset yksityistä avainta myöhemmin pfx-tiedostoa luotaessa.
  2. Tilaa varmenne käyttättäen Telian tilauspalvelua.

VAIHE 2a. LUO PFX-TIEDOSTO OPENSSL:LLÄ

  1. OpenSSL:n tapauksessa luo kaksi tiedostoa saamastasi varmennetoimitusviestistä: a) palvelinvarmennetiedosto esimerkiksi nimellä palvelin.cer viestin yläosan varmenneblokista ja b) juurivarmennenipputiedosto varmenneviestin alaosan juurivarmenneblokeista (3 kpl blokkeja).
  2. Luo varmennetiedostosta, yksityisestä avaimesta ja juurivarmennenipusta pfx-tiedosto komennolla: openssl pkcs12 -export -out pfxtiedosto.pfx -inkey privkey.pem -in palvelin.cer -certfile teliarootnippu.cer.

VAIHE 2b. LUO PFX-TIEDOSTO IIS:LLÄ

  1. IIS:n tapauksessa luo samat varmennetiedosto ja juurivarmennenipputiedosto varmenneviestistä kuin OpenSSL:llä. Vie varmenne ja juurivarmenteet IIS:iin ylempänä kuvatulla tavalla. Luo pfx-tiedosto valitsemalla Certificates snap-in, valitsemalla äsken syöttämäsi varmenne ja ottamalla Action -menusta All Tasks ja Export.
  2. Valitse seuraavat valinnat Certificate Export Wizardissa: Yes, export the private key / Include all certificates in the certification path if possible / Export all extended properties. Syötä pfx-tiedostolle salasana ja tiedostonimi.

VAIHE 3. PFX:N SISÄLLÖN TARKASTELU

  1. Voit halutessasi tarkastaa pfx-tiedoston sisällön komennolla certutil.exe -dump tiedosto.pfx. Tiedostossa tulisi olla palvelinvarmenteesi tilassa "Encryption test passed" ja muut ketjun varmenteet TeliaSonera Server CA v2, TeliaSonera Root CA v1 ja Sonera Class 2 CA. Näille varmenteille ei luonnollisesti ole yksityistä avainta.

VAIHE 3. VIE PFX-TIEDOSTO AZUREEN

  1. Vie pfx-tiedosto Azureen valitsemalla vasemalla olevasta valikosta SSL Certificates ja klikkaa Upload Certificatea. Valitse tiedostovalintakuvakkeella luomasi pfx ja syötä sen salasana.
  2. Varmenne näkyy nyt varmennelistassa. Sido varmenteesi web-palveluusi Add binding-toiminnolla.

MICROSOFTIN SIVUT