Muut työtilat
Page History
...
Automaattiprovisointityökaluja (esim. eduroam CAT) käytettäessä varmenteen asentaminen päätelaitteeseen ei enää muodostu kynnyskysymykseksi pohdittaessa valintaa tunnetun CA:n tai itseallekirjoitetun varmenteen välillä. Itseallekirjoitetulla varmenteella on saavutettavissa tietoturvahyötyjä.
Taulukkoon 1 on listattu itseallekirjoitetun sekä julkisen CA:n allekirjoittaman varmenteen hyvät ja huonot puolet.
Oma yksityinen CA | Julkinen CA |
Edut | |
|
|
Haitat | |
|
|
Taulukko 1. Itseallekirjoitetun ja julkisen CA:n allekirjoittaman varmenteen käytön edut ja haitat.
Varmenteen ominaisuudet
Seuraavassa on erilaisia suosituksia varmenteen ominaisuuksille. Ohjeilla pyritään mahdollisimman hyvään yhteensopivuuteen erilaisten päätelaitteiden ja käyttöjärjestelmien kanssa. Varmenteelle on verrattain vähän suoranaisia yksityiskohtiin meneviä vaatimuksia, sen sijaan alla olevat kohdat on käsiteltävä ennemminkin suosituksina. Monien RADIUS-palvelinten mukana toimitetaan testikäyttöön tarkoitettu testivarmenne. Tällaista testivarmennetta ei luonnollisestikaan pidä käyttää tuotantoympäristössä.
Palvelimen nimi
Palvelimen nimi tulee syöttää varmenteen Subject-kenttään CN-tiedoksi (Common Name) FQDN-muodossa (Fully Qualified Domain Name). Suositeltavaa on asettaa sama nimi myös subjectAltName-tietoihin. Niin sanotun wildcard-nimen eli tähden käyttöä tulee välttää.
Allekirjoitusalgoritmi
Suositeltavin on SHA-2 (esim. SHA-256). SHA-1-algoritmin tuki on hiljalleen päättymässä, ja MD5-algoritmia ei pitäisi käyttää enää missään.
Avaimen pituus
Jotkut käyttöjärjestelmät eivät hyväksy alle 1024-bittisiä avaimia. Uusiin ympäristöihin kannattaa ottaa käyttöön 2048-bittiset avaimet.
CRL Extension
Windows 8 ja Windows Phone 8 vaativat tai ne on mahdollista konfiguroida vaatimaan CRL URL, jolloin URL on oltava oikeanmuotoinen. Kumpikaan käyttöjärjestelmä ei kuitenkaan lataa varsinaista CRL-tiedostoa, vaikka URL olisi määritelty.
BasicConstraint Extension
Ainakin OS X Mountain Lionin kanssa on todettu ongelmia jos BasicConstraint-määritys puuttuu. Asetuksen on oltava “CA:FALSE (critical)”, eli palvelinvarmenne ei ole CA-varmenne.
...