Metadatan julkaisuprosessi varmennetta vaihdettaessa
Varmenteen julkaisuprosessi koskee vain SAML-viesteissä käytettävää varmennetta. WWW-palvelimen varmenteen vaihtoon ei Virtu ota kantaa. SAML-varmenteena Virtussa edellytetään VRK:n allekirjoittamaa varmennetta. Metadatassa julkaistaan kunkin palvelun julkinen avain, älä ikinä lähetä yksityistä avainta kenellekään.
- Virtu-operaattori julkaisee Virtu-metadatan, jossa varmennetta vaihtavan palvelun tiedoissa uusi ja vanha varmenne rinnakkain ~24h ennen varmenteen vaihtoa palvelussa.
- Varmennetta vaihtava palvelu ottaa uuden varmenteen käyttöön tietyllä ajanhetkellä.
- Virtu-operaattori julkaisee Virtu-metadatan, jossa varmennetta vaihtavan palvelun tiedoissa on vain uusi varmenne mahdollisimman samanaikaisesti palvelun varmenteen vaihdon kanssa.
Palvelut, jotka eivät tue kahta varmennetta metadatassa, päivittävät metadatansa mahdollisimman pian varmenteen vaihdon jälkeen.
Varmenteen vaihtumisesta tiedotetaan erikseen niitä palveluita, joiden toivotaan kiinnittävän erityishuomiota vaihtumiseen. Käytännössä siis SP:t saavat tiedon niiden IdP:den varmenteiden vaihtumisesta, joille kyseinen SP on tärkeä päivittäinen palvelu.
Toimintaohjeet vaihdettaessa oman palveluni varmennetta
Vaihdan SP:ni varmenteen
- Hanki uusi varmenne VRK:lta ja ilmoita varmenteen julkiset tiedot Virtu-operaattorille servicedesk@csc.fi Varmenne kannattaa lähettää tekstimuotoisena liitteenä esim. txt-tiedostona.
- Selvitä tärkeimmät palvelusi käyttäjäorganisaatiot ja sovi operaattorin ja/tai organisaatioiden kanssa sopiva aika varmenteen vaihdolle.
- Sovittuna ajankohtana vaihda uusi varmenne käyttöön SP:si yllä olevan julkaisuprosessin mukaisesti.
Vaihdan IdP:ni varmenteen
- Hanki uusi varmenne VRK:lta ja ilmoita varmenteen julkiset tiedot Virtu-operaattorille servicedesk@csc.fi.Varmenne kannattaa lähettää tekstimuotoisena liitteenä esim. txt-tiedostona.
- Selvitä organisaatiois tärkeimmät Virtu-palvelut ja sovi operaattorin ja/tai palveluiden kanssa sopiva aika varmenteen vaihdolle.
- Sovittuna ajankohtana vaihda uusi varmenne käyttöön IdP:si yllä olevan julkaisuprosessin mukaisesti.
Toimintaohjeet muiden palveluiden varmenteen vaihtuessa
Tarvittava toiminta varmenteen vaihtuessa Virtu-metadatassa riippuu oman SAML-sovelluksesi toiminnasta.
SP:ni tukee kahta varmennetta metadatassa. luotetun IdP:n varmenne vaihtuu
Varmista, että Virtu-metadata päivittyy SP:ssa 24h sisällä ennen ilmoitettua varmenteen vaihdon ajankohtaa. Helpoin tapa varmistua metadatan päivittymisestä sopivalla aikavälillä, on asettaa metadata automaattisesti päivittymään esim. 4h välein.
SP:ni ei tue kahta varmennetta metadatassa, luotetun IdP:n varmenne vaihtuu
Varmista, että Virtu-metadata SP:ssa ei päivity 24h ennen ilmoitettua varmenteen vaihdon ajankohtaa. Päivitä metadata heti ilmoitetun ajankohdan jälkeen.
IdP:ni tukee kahta varmennetta metadatassa, luotetun SP:n varmenne vaihtuu
Varmista, että Virtu-metadata IdP:ssa päivittyy 24h sisällä ennen ilmoitettua varmenteen vaihdon ajankohtaa.Helpoin tapa varmistua metadatan päivittymisestä sopivalla aikavälillä, on asettaa metadata automaattisesti päivittymään esim. 4h välein.
IdP:ni ei tue kahta varmennetta metadatassa, luotetun SP:n varmenne vaihtuu
Varmista, että Virtu-metadata IdP:ssa ei päivity 24h ennen ilmoitettua varmenteen vaihdon ajankohtaa. Päivitä metadata heti ilmoitetun ajankohdan jälkeen.