Vaihtoprosessi yleisellä tasolla

Vaihtoprosessi yleisellä tasolla

  1. Virtu-operaattori lähettää sähköpostin palvelun yhteystietoihin merkittyihin sähköpostiosoitteisiin noin kuukautta ennen varmenteen vanhenemista.
  2. Palvelun ylläpito kuittaa viestiin heti saatuaan sen, jotta Virtu-operaattori tietää asian olevan tiedossa ja työn alla. Tässä vaiheessa ei tarvitse sopia päivämääriä.
  3. Palvelun ylläpito aloittaa uuden varmenteen hakuprosessin DVV:n kanssa JA sopii samalla vaihtopäivän Virtu-operaattorin kanssa.
  4. Palvelun ylläpito toimittaa uuden varmenteen julkisen osuuden Virtu-operaattorille heti sen saatuaan sähköpostilla tai Virtun resurssirekisterin kautta. Virtu-operaattori ei julkaise varmennetta ennen sovittua päivää.
  5. Virtu-operaattori julkaisee sovittuna päivänä uuden varmenteen metadatassa, joko suorana vaihtona tai vanhan rinnalla. Virtu-operaattori kuittaa palvelun ylläpidolle julkaisun jälkeen.
  6. Palvelun ylläpito vaihtaa varmenteen palvelun päässä.

Varmenteen vaihdon yhteydessä kannattaa samalla tarkistaa ovatko palvelun yhteystiedot ajan tasalla. Niitä voi päivittää joko Virtun resurssirekisterin kautta tai lähettämällä sähköpostia Virtu-operaattorille (servicedesk@csc.fi)

Metadatan julkaisuprosessi varmennetta vaihdettaessa

Varmenteen julkaisuprosessi koskee vain SAML-viesteissä käytettävää varmennetta. WWW-palvelimen varmenteen vaihtoon ei Virtu ota kantaa. SAML-varmenteena Virtussa edellytetään DVV:n allekirjoittamaa varmennetta. Metadatassa julkaistaan kunkin palvelun julkinen avain, älä ikinä lähetä yksityistä avainta kenellekään.

  1. Virtu-operaattori julkaisee Virtu-metadatan, jossa varmennetta vaihtavan palvelun tiedoissa uusi ja vanha varmenne rinnakkain ~24h ennen varmenteen vaihtoa palvelussa.
  2. Varmennetta vaihtava palvelu ottaa uuden varmenteen käyttöön tietyllä ajanhetkellä. 
  3. Virtu-operaattori julkaisee Virtu-metadatan, jossa varmennetta vaihtavan palvelun tiedoissa on vain uusi varmenne mahdollisimman samanaikaisesti palvelun varmenteen vaihdon kanssa.

Virtu-varmennevaihtoprosessi


Ne palvelut, jotka tukevat useaa varmennetta metadatassa, varmistavat, että päivittävät metadatansa vähintään kerran vuorokaudessa. 

Palvelut, jotka eivät tue kahta varmennetta metadatassa, päivittävät metadatansa mahdollisimman pian varmenteen vaihdon jälkeen. 

Varmenteen vaihtumisesta tiedotetaan erikseen niitä palveluita, joiden toivotaan kiinnittävän erityishuomiota vaihtumiseen. Käytännössä siis SP:t saavat tiedon niiden IdP:den varmenteiden vaihtumisesta, joille kyseinen SP on tärkeä päivittäinen palvelu.

Toimintaohjeet vaihdettaessa oman palveluni varmennetta

Älä missään tilanteessa lähetä yksityistä avainta Virtu-operaattorille.

Vaihdan SP:ni varmenteen

  1. Hanki uusi varmenne DVV:ltä ja ilmoita varmenteen julkiset tiedot Virtu-operaattorille servicedesk@csc.fi Varmenne kannattaa lähettää tekstimuotoisena liitteenä esim. txt-tiedostona.
    1. Huom! DVV myöntää palvelin- sekä järjestelmäallekirjoitusvarmenne -tyyppisiä palveluvarmenteita. Palvelinvarmenteet ovat voimassa enintään vuoden verran, ja järjestelmäallekirjoitusvarmenteet enintään kaksi vuotta. Molempia voidaan käyttää Virtussa.
    2. Huom2! Älä aseta varmenteen alkamisaikaa samaksi päiväksi kuin sovittu vaihtopäivä, vaihtopäivää edellinen päivä käy hyvin.
  2. Selvitä tärkeimmät palvelusi käyttäjäorganisaatiot ja sovi operaattorin ja organisaatioiden kanssa sopiva aika varmenteen vaihdolle.
  3. Sovittuna ajankohtana vaihda uusi varmenne käyttöön SP:si yllä olevan julkaisuprosessin mukaisesti.

Vaihdan IdP:ni varmenteen

  1. Hanki uusi varmenne DVV:ltä ja ilmoita varmenteen julkiset tiedot Virtu-operaattorille servicedesk@csc.fi.Varmenne kannattaa lähettää tekstimuotoisena liitteenä esim. txt-tiedostona.
  2. Selvitä organisaatiosi tärkeimmät Virtu-palvelut ja sovi operaattorin ja palveluiden kanssa sopiva aika varmenteen vaihdolle.
  3. Sovittuna ajankohtana vaihda uusi varmenne käyttöön IdP:si  yllä olevan julkaisuprosessin mukaisesti.

Toimintaohjeet muiden palveluiden varmenteen vaihtuessa

Tarvittava toiminta varmenteen vaihtuessa Virtu-metadatassa riippuu oman SAML-sovelluksesi toiminnasta.

SP:ni tukee kahta varmennetta metadatassa. luotetun IdP:n varmenne vaihtuu

Varmista, että Virtu-metadata päivittyy SP:ssa 24h sisällä ennen ilmoitettua varmenteen vaihdon ajankohtaa. Helpoin tapa varmistua metadatan päivittymisestä sopivalla aikavälillä, on asettaa metadata automaattisesti päivittymään esim. 4h välein.

SP:ni ei tue kahta varmennetta metadatassa, luotetun IdP:n varmenne vaihtuu

Varmista, että Virtu-metadata SP:ssa ei päivity 24h ennen ilmoitettua varmenteen vaihdon ajankohtaa. Päivitä metadata heti ilmoitetun ajankohdan jälkeen. 

IdP:ni tukee kahta varmennetta metadatassa, luotetun SP:n varmenne vaihtuu

Varmista, että Virtu-metadata IdP:ssa päivittyy 24h sisällä ennen ilmoitettua varmenteen vaihdon ajankohtaa.Helpoin tapa varmistua metadatan päivittymisestä sopivalla aikavälillä, on asettaa metadata automaattisesti päivittymään esim. 4h välein.

IdP:ni ei tue kahta varmennetta metadatassa, luotetun SP:n varmenne vaihtuu

Varmista, että Virtu-metadata IdP:ssa ei päivity 24h ennen ilmoitettua varmenteen vaihdon ajankohtaa. Päivitä metadata heti ilmoitetun ajankohdan jälkeen. 

  • No labels