UKK – Entrustin portaali

Entrustin varmenneportaali on käyttöliittymältään selkeä ja asiakkaidenkin suunnalta pidetty järjestelmä. Tästä huolimatta on luonnollista, että varmenteiden hallinnasta sekä portaalin käytöstä herää ajoittain kysymyksiä. Olemme koonneet tähän kirjoitukseen muutamia usein esiin nousseita aiheita vastauksineen.

Varmenteen uudelleenmuodostaminen (Reissue)

Varmenne voidaan tarvittaessa muodostaa portaalissa uudelleen. Tämä saattaa olla tarpeen esimerkiksi, jos varmenteen Private Key on vaarantunut/hukkunut tai huomataan, ettei varmenteelle ole alkuperäisessä muodostamisvaiheessa lisätty kaikkia tarpeellisia SAN:eja.

Reissuen voidaan suorittaa Managed Certificates -näkymästä aktivoimalla kyseisen varmenteen ja tämän jälkeen valitsemalla valikosta Reissue:

Reissuen käynnistäminen portaalissa

Tämän jälkeen syötetään CSR, ja valitaan nykyisen varmenteen revokoitumisajankohta (’Revoke Immediately’ tai ’Revoke in 30 days’):

Reissuen määritykset

Tästä käytäntö etenee samalla tapaa kuin uuden varmenteen muodostaminen, seuraavassa vaiheessa sisällytetään varmenteelle tarvittavat SANit jne.

 

Huomioitavaa Reissuen suorittamiseen liittyen:

  • Reissue ei kuluta inventaariota ja muodostuvan varmenteen vanhenemispäiväksi tulee sama kuin alkuperäisellä varmenteella.
  • Jos korvattava varmenne on jo tuotannollisessa käytössä, suositeltavaa on valita revokoituminen 30 vrk:n päästä, jolloin varmenteen korvaaminen voidaan suorittaa kiireettä
  • Multi-Domain sekä Wildcard-varmenteet: Jos Reissue suoritetaan varmenneryhmän jäsenelle, kaikki kyseessä olevaan varmenneryhmään kuuluvat varmenteet revokoituvat valittuna ajankohtana. Esimerkiksi, jos portaalissa olevasta Wildcardista on luotu duplikaatteja ja Reissue suoritetaan jollekin duplikaateista tai alkuperäiselle Wildcard-varmenteelle, kaikki ko. ryhmään sisältyvät varmenteet revokoituvat. Nämä on korvattava jälleen tarpeen mukaan Reissuen myötä luodusta varmenteesta otetuilla duplikaateilla.
  • Reissueta ei voi tehdä enää, kun varmenteen voimassaoloaikaa on jäljellä 60 vrk, tai alle tämän.

CT (Certificate Transparency) log

Certificate Transparency login avulla verkkotunnuksen omistajat voivat valvoa heidän domaineilleen myönnettyjä julkisia SSL-varmenteita. Osa selaimista antaa käyttäjälle virheilmoituksen, mikäli palvelussa käytettyä varmennetta ei ole viety CT-logiin sitä muodostettaessa. Alla käymme läpi, miten CT-logiin rekisteröinti määritetään ja lisäksi esittelemme myös portaalin perusasetukset CT-logitukseen liittyen, ja kuinka niihin voidaan tehdä muutoksia.

CT-logiin rekisteröinti määritetään varmenteen muodostamisen alkuvaiheessa Certificate Details-välilehdellä:

Send to CT log

Portaalissa voidaan määrittää halutut oletusasetukset CT-logitukselle kohdasta Administration > Advanced Settings > CT Logging:

CT Log Settings

CT -logiin rekisteröityneiden varmenteiden tarkastamiseen löytyy verkosta työkaluja ja myös Entrustilla on tähän omansa, joka löytyy tämän linkin takaa.

Domainin verifiointi – Web Server metodiin liittyvät rajoitukset

Web Server -metodilla verifioiduille domaineille määritetyt rajoitukset astuivat voimaan joulukuussa 2021. Julkaisimme tähän liittyen blogikirjoituksen samaisen vuoden elokuussa. Voimaan astuneiden rajoitusten myötä Web Server -metodilla verifoiduille domaineille ei voi muodostaa Wildcard SSL -varmenteita. Lisäksi jokainen tällä metodilla verifioitu FQDN (Fully Qualified Domain Name) tulee verifioida portaaliin erikseen, kun normaalisti riittää, että root-domain verifioidaan. Tämä tarkoittaa käytännössä sitä, että mikäli varmenteelle sisällytetään SAN:it www.domain.com ja domain.com, niin molemmat pitää verifioida Web Server -metodilla erikseen.

Mikäli törmäät varmennetta muodostaessasi alla näkyvän tapaiseen virheilmoitukseen, tarkasta käsittelemäsi domainin verifiointimetodi:

”The SAN component is not in an approved domain; DN: ’cn=esimerkki.fi,o=Esimerkki Oy,l=Jyväskylä,c=FI’, SAN component: www.esimerkki.fi, eligible domainlist: esimerkki.fi. Note that a domain approved using Web Server validation can only be used as a full DNS Name in a certificate and cannot be used as a parent domain.”

Vaihtoehtona on joko lisätä jokainen tarvittava domain Web Server-metodilla erikseen, tai verifioida domain käyttäen toista metodia.

 

CAA -määritys

CAA (Certification Authority Authorization) -määrityksellä verkkotunnuksen haltija voi rajata, mikä tai mitkä CA:t voivat myöntää ko. domainille varmenteita. Oletuksena, mikäli domainin DNS-tietueelle ei ole tehty CAA määrityksiä, voidaan tälle hankkia varmenteita miltä tahansa varmennetuottajalta.

Portaalin virheilmoitukseen (”CA authorization check failed”) sisältyy tieto, mitä domaineja rajoitus koskee. On myös hyvä huomioida, että DNS-tietueiden määritysten läpimenoajassa eri nimipalveluihin saattaa esiintyä viivettä. Entrustin CAA-määrityksen tarkistustyökalu löytyy tämän linkin takaa ja tarvittaessa ohjeita tietueen lisäämiseen täältä.

Varmenteisiin liittyvät ilmoitukset ja niiden hallinta

Varmenneportaali hälyttää varmenteiden vanhenemisesta tietyin väliajoin. Oletuksena hälytykset menevät portaaliin määritetyille admin-käyttäjille (Super Admin-tasoiset). Portaalissa voidaan määrittää myös varmennekohtaisia lisäkontakteja, joille ilmoitusten halutaan lähtevän. Lisäksi yleisten ilmoitusasetusten hallinnan kautta voidaan säätää sekä ilmoitusten saapumisen ajankohtaa sekä frekvenssiä.

Olemassa olevalle varmenteelle kontaktin lisääminen voidaan tehdä muokkaamalla tämä varmenteen tietoihin Owner -välilehdellä:

Additional Emails tiedon lisääminen varmenteelle

Yleisten ilmoitusasetusten muokkaukset määritetään portaalissa navigoimalla Administration > Advanced Settings > Certificate Expiry:

Vanhenemisilmoitusten muokkaus varmenneportaalissa

Eri tasoisia ilmoituksia voidaan asettaa saapuvaksi halutuin väliajoin, jolla varmistetaan, että varmenteita ei pääse vanhenemaan. Critical -ja Alert -tasoiset ilmoitukset saapuvat sähköpostiin High Importance -luokituksella.

Custom Fields – Lisätietokenttien lisääminen varmenteelle

Varmenteiden hallintaa voidaan helpottaa portaalissa erikseen määritettävien lisätietokenttien avulla. Kenttiin sisällytetyt tiedot näkyvät varmenteella vain portaalissa, eivät itse palveluun asennetulla teknisellä varmenteella.

Lisätietokenttien lisääminen suoritetaan portaalissa Custom Fiels-välilehdellä (Administration > Advanced Settings > Custom Fields). Kentän tyyppi voidaan valita tarpeen mukaan, vaihtoehtoina on Text, Number, Date, Dropdown ja Email.

Lisätietokenttä otetaan käyttöön aktivoimalla halutun kentän valintaruutu ’Enabled’-sarakkeessa, jonka jälkeen määritetään kentän tiedot:

  • Field Label – kentän otsikko
  • Visible on eForm – kentän näkyminen eFormia käytettäessä
  • Is Mandatory – kentän täyttö on pakollinen (määritettävissä erikseen eFormille sekä portaali ja rajapintatoiminteisiin)

Kun määritykset ovat valmiit, tallennetaan nämä ’Save’-painikkeella ja tämän jälkeen voidaan testata kenttien näkyvyyttä portaalissa. Lisätyt tietokentät ovat muokattavissa tallennuksen jälkeen sekä portaalista jo ennestään löytyvillä, että uusilla muodostettavilla varmenteilla.

 

Sinua saattaisi kiinnostaa