PALVELINVARMENTEIDEN VERKKOTUNNUSTEN CA-VALIDOINTI

Palvelinvarmenteissa käytettävän verkkotunnuksen hallinta on vahvistettava ennen varmenteen luontia. Käytössä olevat menettelytavat on kuvattu alla. Asiakkaat itse valitsevat Telian varmenneportaalissa ”Ano verkkotunnuksia”-sivulla tai yksittäistä varmennetilausta tehdessään mitä menettelytapaa he haluavat käyttää. Valtuutuksen hyväksynnän jälkeen voi esiintyä noin tunnin viive ennen kuin verkkotunnus näkyy varmenneportaalissa.

DNS-menettely
Asiakkaan tai verkkotunnusoperaattorin tulee lisätä satunnaismerkkijono tilatun verkkotunnuksen hallintapalvelun kautta TXT-tietueeksi mainitulle verkkotunnukselle. Portaalia käytettäessä merkkijono voidaan joko kopioida pääkäyttäjän toimesta suoraan varmenneportaalista tai lähettää DNS-palvelun ylläpitäjälle sähköpostilla. Kertatilauksessa merkkijono lähetetään aina sähköpostilla DNS:ää ylläpitävälle taholle. Löydät verkkotunnustasi ylläpitävän nimipalvelun tarjoajan seuraavasti:

TLD-pääteTarkastussivustoOhje
.fidomain.fiKohdat "Välittäjä" tai "Jälleenmyyjä"
.com / .net / .orgICANNKohta "Nameservers", josta tulee tulkita nimipalvelimien osoitteista verkkotunnusta ylläpitävä taho
.seInternetstiftelsenKohta "Registrar"

Telian varmennepalvelu tarkkailee määrävälein TXT-tietuetta. Kun nimipalvelussa on havaittu oikea TXT-tietue, verkkotunnus on validoitu ja se on käytettävissä varmenteiden luontiin portaalissa tai kertatilauksen tapauksessa tilauksen toimitus etenee seuraavaan vaiheeseen. Huomioi seuraavat asiat tätä menetelmää käytettäessä:

  • nimipalvelun päivitys voi kestää useita tunteja. Telia suosittelee TTL-arvon asettamista 300 sekuntiin validoinnin ajaksi
  • älä aseta tekstiä web-palvelimelle
  • valitse tämä menetelmä jos laitteellesi ei ole pääsyä julkisesta Internetistä
  • IP-osoitteita ei voi validoida tällä menetelmällä
Tiedostomenettely

Palvelimen ylläpitäjän tulee asettaa satunnaismerkkijonon sisältävä tiedosto tilatun verkkotunnuksen web-palvelimelle vakioituun allaolevaan hakemistopolkuun validointia varten. Portaalia käytettäessä merkkijono voidaan joko kopioida suoraan varmenneportaalista tai lähettää palvelimen ylläpidolle sähköpostilla. Yksittäistilauksen tapauksessa merkkijono lähetetään aina sähköpostilla palvelimen ylläpidoksi ilmoitettuun osoitteeseen.

Telian varmennepalvelu etsii molempia muotoja määrävälein sekä portin 80 (http) että 443 (https) kautta. Kun palvelu havaitsee tiedoston ilmaantuneeksi, validointi tapahtuu ja DNS-nimi tai IP-osoite on käytettävissä varmenteiden luontiin portaalissa tai kertatilauksen tapauksessa tilauksen toimitus etenee seuraavaan vaiheeseen.

Huomioi seuraavat asiat tätä menetelmää käytettäessä:

  • tässä menetelmässä palvelimesi tulee olla käynnissä ja sille on oltava pääsy julkisesta Internetistä
  • tiedoston voi asettaa saataville .txt-päätteellä tai ilman tiedostopäätettä
  • tätä validointitapaa ei voi käyttää wildcard-tilausten (muoto: *.esimerkki.fi) validointiin marraskuusta 2021 eteenpäin
  • tätä validointitapaa ei voi käyttää koko verkkotunnusten (muoto .esimerkki.fi) validointiin marraskuusta 2021 eteenpäin

Alla ovat esimerkit Telian toimittaman tiedoston asettamisesta vakioituun paikkaan web-palvelimella, jotta sen tarkastus voidaan suorittaa. Esimerkkitiedosto: telia_validation_data_file_20180308.

TarkastusosoiteEsimerkki koko polusta tiedostojärjestelmässä
Linuxwww.yritys.fi/.well-known/pki-validation/telia_validation_data_file_20180308/var/www/html/.well-known/pki-validation/telia_validation_data_file_20180308
Windowswww.yritys.fi/.well-known/pki-validation/telia_validation_data_file_20180308C:\well-known\pki-validation\telia_validation_data_file_20180308
Windowsissa ei ole mahdollista asettaa polkuun pistettä. Siksi IIS:ssä tulee luoda virtuaalinen hakemisto avaamalla valikko oikean napin klikkaamisella palvelimesi nimen päällä ja valitsemalla Add virtual directory. Laita aliakseksi .well-known ja lisää Physical path-kenttään polku C:\well-known\pki-validation

Sähköpostimenettely
Tässä menetelmässä Telian varmennepalvelu lähettää verkkotunnuksen rekisteritiedoista löytyvään sähköpostiosoitteeseen ja/tai verkkotunnuksen administrator@, admin@, postmaster@, hostmaster@, ja webmaster@ -sähköpostiosoitteisiin viestin. Viestin vastaanottajan tulee klikata viestissä olevaa verkkotunnuksen hallinnan vahvistuslinkkiä. Klikkauksen jälkeen verkkotunnus on käytettävissä varmenteiden luomiseen portaalissa tai kertatilauksen tapauksessa tilauksen toimitus etenee seuraavaan vaiheeseen. Tarkista ennen tämän menetelmän käyttöä, että mainitut sähköpostitilit ovat olemassa tilatulle verkkotunnukselle ja luettavissa.

Soittomenettely
Tätä menetelmää voidaan käyttää nykyään vain IP-osoitteiden validoinnissa. Tässä menetelmässä varmenneportaalin käyttäjä tai kertatilauksen tekijä pyytää Teliaa tarkistamaan IP-osoitteen valtuutuksen puhelimitse. Tarkistuksessa Telia voi käyttää ainoastaan IP-rekisteriin (whois-palveluun) kirjattua julkista IP-osoiteavaruuden kontaktipuhelinnumeroa. Tarkista WHOIS-palvelusta (esimerkiksi whois.net), että IP-osoitteellanne on oikea puhelinnumero, johon vastaavalla henkilöllä on valtuudet myöntää oikeus IP-osoitteen käyttöön varmenteessa. Soiton jälkeen IP-osoite on käytettävissä portaalissa tai kertatilauksen käsittely etenee seuraavaan vaiheeseen. Huomaa, että GDPR:n takia kaikkien Telia Varmennepalvelun markkina-alueen verkkotunnusrekisterit sekä .com, .net, .org-verkkotunnusrekisterit ovat poistaneet verkkotunnusten yhteystiedot, joten tämä menettely ei ole käytettävissä verkkotunnuksia validoitaessa.




Menetelmien soveltuvuus
Eräät menetelmät soveltuvat paremmin yksittäisen verkkonimen (esimerkiksi kauppa.yritys.fi) ja toiset koko verkkotunnuksen (esimerkiksi .yritys.fi) validointiin.

Koko verkkotunnuksen validoinnin jälkeen samaa validointia voidaan käyttää vuoden ajan uusien tilausten tekoon kaikille kyseisen verkkotunnuksen nimille ilman tarvetta uusiin validointeihin. Koko verkkotunnuksen validointi Telian varmenteiden tekoa varten on suositeltavaa, mutta se ei ole aina mahdollista puutteellisten WHOIS-tietojen tai verkkotunnusrekisterin käyttämien yksityisyysasetusten johdosta. Tällöin on syytä käyttää verkkotunnusrekisterien tiedoista riippumatonta DNS-menetelmää.

Taulukossa listataan suositukset menetelmien käytöstä:

ValidointimenetelmäYksittäinen verkkonimiKoko verkkotunnusIP-osoite
DNSSoveltuuSoveltuuEi käytettävissä
TiedostoSoveltuuEi käytettävissäSoveltuu
SähköpostiEi sovelluSoveltuuSoveltuu
SoittoEi tuettuEi tuettuSoveltuu