Wesentra Oy
Alkuun

Ohjeita erilaisiin SSL/TLS-Tilanteisiin

Varmenteen asennus, yleisimmät ongelmat..

Asennusohjeita

Varmenteen asennus IIS7 & 8.

Englanninkielinen ohje löytyy täältä (avautuu uuteen ikkunaan)

 

IIS 7 Varmenteen asennus:

 

Englanninkielinen ohje IIS 8 asennukseen löytyy täältä:


1. Tuo palvelimelle palvelinvarmenne ja asenna se MMC-konsolilla

  Huom! Alla oleva video on tehty Windows 2008 palvelimella. Windows 2012 palvelimella MMC käynnistys tapahtuu Server Managerin kautta, mutta toiminto on muutoin sama. Alempana on kuvakaappauksin ja ohjein kuvattu IIS 8 varmenteen asennus Windows 2012 palvelimella.


 1.  

  Huom! Tarkista Trusted ROOT säilö, katso löytyykö ROOT varmenne "Entrust Root Certification Authority - G2".  Jos tämä löytyy, poista se ja asenna se Intermediate säilöön. Tämä ketjuttava varmenne on tehty takaamaan yhteensopivuus vanhempien laitteiden kanssa kun varmenneteknologiassa siirryttiin SHA-1 varmenteista SHA-2 varmenteisiin.

   

 2. 2. Tuo MMC-konsolilla intermediate säilöön kaksi varmennetta

 3. SSL certificate installation IIS 8, SSL Varmenteen asennus IIS 8 palvelimella, SSL certifikater IIS 8

  Tuo Intermediate Certification Authorities Certificates säilöön ketjuttavat varmenteet. Esimerksi, jos käytät Entrustin varmenteita, nämä ovat Intermediate1.crt ja Intermediate2.crt ja molemmat varmenteet tarvitaan. Kun varmenteet ovat paikallaan, tulisi niiden näkyä Intermediate säilössä näin:


  SSL certificate installation IIS 8, SSL Varmenteen asennus IIS 8 palvelimella, SSL certifikater IIS 8

   

 4. 3. Käynnistä IIS Manager (Server Managerin alta)

 5. SSL certificate installation IIS 8, SSL Varmenteen asennus IIS 8 palvelimella, SSL certifikater IIS 8

   

  Vasemmalta, "Connections" valinnan kohdalta, valitse palvelin ja näytön keskimmäisestä paneelista tuplanapsautuksella "Server Certificates":


  SSL certificate installation IIS 8, SSL Varmenteen asennus IIS 8 palvelimella, SSL certifikater IIS 8


  Valitse oikeasta reunasta "Actions" valikosta: "Complete Certificate Request":


  SSL certificate installation IIS 8, SSL Varmenteen asennus IIS 8 palvelimella, SSL certifikater IIS 8

  Seuraavaksi anna varmennetoimittajaltasi saadun varmennetiedoston sijainti ja tiedot (Entrustin palvelinvarmenne on "ServerCertificate.crt"):


  SSL certificate installation IIS 8, SSL Varmenteen asennus IIS 8 palvelimella, SSL certifikater IIS 8


  Friendly Name: Tämä nimi ei ole linkitetty itse varmenteeseen, vaan on itse antamasi nimi, jolla varmenne tunnistetaan esimerkiksi IIS palvelimellasi. Tämä ei näy julkisesti varmenteella missään. Hyvä tapa on nimetä " friendly name" niin, että se kuvaa palvelua jossa kyseistä varmennetta käytetään. Varmenne tulee viedä "Personal" varmennesäilöön.


  SSL certificate installation IIS 8, SSL Varmenteen asennus IIS 8 palvelimella, SSL certifikater IIS 8


  Lopuksi valitse "OK" ja varmenne on nyt asennettu. Seuraavaksi se pitää liittää haluttuun palveluun eli tehdä sille "Binding". Valitse "Connections" "palvelu, jolle varmenne sidotaan" "Actions" "Bindings":


  SSL certificate installation IIS 8, SSL Varmenteen asennus IIS 8 palvelimella, SSL certifikater IIS 8

   

  "Site Bindings" menusta valitse: "Add""Add Site Binding" valitse tiedot seuraavasti (kuva alla)

  Type: HTTPS

  SSL Certificate: Varmenteen "Friendly name". Valitsemalla "View" voit tarkistaa vielä onko varmenne varmasti oikea.

  Lopuksi valitse "OK"


  SSL certificate installation IIS 8, SSL Varmenteen asennus IIS 8 palvelimella, SSL certifikater IIS 8

   

  Vielä yksi vaihe, ennen kuin tulee valmista, eli käynnistä kyseinen palvelu uudelleen:


  SSL certificate installation IIS 8, SSL Varmenteen asennus IIS 8 palvelimella, SSL certifikater IIS 8

   

  Nyt varmenteesi tulisi olla asennettu ja käytössä. Voit tarkastaa onnistumisen, sekä palvelimen mahdolliset haavoittuvuudet osoitteessa www.ssllabs.com

   

  Takaisin sisällysluetteloon

   

Varmenneketju, mikä se on?

VARMENNEKETJU

Varmenneketju muodostuu myöntävistä varmenteista (ROOT ja Intermediate varmenteet) sekä varsinaisesta palvelin varmenteesta. ROOT varmenne on koko ketjun kuningas. Sen luotettavuuteen perustuu koko ketjun luotto. Yksinkertaisimmillaan palvelimen varmenne voi olla myönnetty suoraan ROOT varmenteella. Näin ei kuitenkaan ole,vaan palvelin varmenne on myönnetty jostain intermediate varmenteesta. Intermediate varmennekin voi olla ketjun terminoiva varmenne. Esimerkiksi siirryttäessä SHA1 varmenteista SHA2 varmenteisiin, useat varmennetoimittaja loivat uuden Intermediate varmenteen siirtymäkautta varten. Esimerksi Entrustin SHA2 varmenneketjusta tuli neliportainen: ServerCertificate Intermediate1 Intermediate2 (G2) Entrust ROOT.
Näistä "välivarmenteista" Entrust Intermediate G2 toimii useilla laitteilla jo terminoivana ROOT varmenteena. Varmenneketju Entrustin portaalista onkin tänä päivänä oletuksena kolmiportainen: ServerCertificate Intermediate Entrust Root Certification Authority - G2
Varmennusketju on monisyinen asia, siitä kannattaa muistaa, että intermediate varmenteita EI TULE asentaa laitteen "trusted root" säilöön, vaan "intermediate säilöön". Suuri osa asennuksen jälkeisistä varmenneongelmista johtuu siitä, että varmenneketju on puutteellinen.

Lue lisää..

PRIVATE KEY, mikä se on?

PRIVATE KEY

Symmetrisen salauksen aikaansaamiseen käytetään PKI-menetelmää (Public Key Infrastructure). PKI:n lähtökohtana on kaksi salausavainta, jotka ovat erittäin pitkiä alkulukuja.
Toinen on salainen avain (Private Key) ja toinen julkinen avain (Public Key). Jos salaisella avaimella salataan viesti, sen voi avata vain julkisella avaimella. Ja päinvastoin: jos julkisella avaimella salataan viesti, sen voi avata vain salaisella avaimella.

Lue lisää..