In English

Varmenteiden käyttö Hakassa

Haka-palveluissa yleisesti tarvitaan varmenteita kahteen käyttötapaukseen:

  • Käyttäjän selainliikenteen suojaaminen eli TLS-liikenteen toteuttaminen 
  • SAML2-viestien todentaminen ja salaaminen

Näistä jälkimmäiseen eli SAML2-viestien varmenteisiin kohdistuu Hakassa joitakin rajoituksia, joita tämä sivu käsittelee.

Varmennekäytännön rajaus

Hakan varmennekäytäntö määrittää minkälaista varmennetta tulee käyttää Hakaan rekisteröityjen kotiorganisaatioiden ja palveluiden SAML2-viestien vaihdossa. SAML2-viestien vaihdossa varmenteita käytetään allekirjoittamaan ja/tai salaamaan kotiorganisaation ja palvelun väliset viestit. Hakassa suositellaan SAML-viestien käsittelyssä käytettäväksi itseallekirjoitettuja varmenteita, joiden voimassaoloaika on kohtuullisen pitkä. Palveluissa (sp) on suositeltavaa käyttää erillisiä varmenteita salauksessa ja allekirjoituksessa.

Varmennekäytäntö ei ota kantaa TLS-liikenteessä käytettäviin varmenteisiin, jotka näkyvät käyttäjien selaimissa palveluita käytettäessä. TLS-liikenteessä voi käyttää Hakan puolesta mitä tahansa varmennetta. Suosittelemme kuitenkin käyttämään selainten yleisesti tuntemien varmentajien toimittamia varmenteita kunnollisen käyttökokemuksen varmistamiseksi.

Palvelun DNS-nimen on vastattava varmenteen CN (common name) -kenttää. Tämän takia ns. wildcard-varmenteita (*.domain.com) ei voi käyttää.

Avainpituus

Varmenteiden julkiselta avaimelta edellytetään vähintään 2048 bitin pituutta. 

Varmenteiden uusiminen ja revokointi

Mikäli on syytä epäillä, että varmenteen yksityinen  avain on joutunut vääriin käsiin, ota välittömästi yhteyttä CSC:n Haka-ylläpitoon (haka@csc.fi) varmenteen vaihtamiseksi  tai palvelun tilapäiseksi poistamiseksi Haka-metadatassa.

Jos haluat vaihtaa palvelun käyttämää varmennetta/yksityistä avainta, katso ohjeita täältä.

SAML-varmenteen vaihtaminen

SAML-palvelun (SP) tai tunnistuslähteen (IdP) varmenteen vaihtaminen vaatii kaksi metadatan julkaisusykliä. Hakassa normaali metadatan uudistamissykli on n. 2 viikkoa, joten varaa varmenteen vaihtamiseen aikaa vähintään kuukausi. Varaa aikaa myös varmenteen hankkimiseen, jos haluat käyttää jonkin juurivarmentajan varmenteita myös SAML-viestinvaihdon suojaamiseen.

Varmenteen vaihtamisen prosessi on kuvattu täällä.