Varmenteiden käyttö Hakassa
Haka-palveluissa yleisesti tarvitaan varmenteita kahteen käyttötapaukseen:
- Käyttäjän selainliikenteen suojaaminen eli TLS-liikenteen toteuttaminen
- SAML2-viestien todentaminen ja salaaminen
Näistä jälkimmäiseen eli SAML2-viestien varmenteisiin kohdistuu Hakassa joitakin rajoituksia, joita tämä sivu käsittelee.
Varmennekäytännön rajaus
Hakan varmennekäytäntö määrittää minkälaista varmennetta tulee käyttää Hakaan rekisteröityjen kotiorganisaatioiden ja palveluiden SAML2-viestien vaihdossa. SAML2-viestien vaihdossa varmenteita käytetään allekirjoittamaan ja/tai salaamaan kotiorganisaation ja palvelun väliset viestit. Hakassa suositellaan SAML-viestien käsittelyssä käytettäväksi itseallekirjoitettuja varmenteita, joiden voimassaoloaika on kohtuullisen pitkä. Palveluissa (sp) on suositeltavaa käyttää erillisiä varmenteita salauksessa ja allekirjoituksessa.
Varmennekäytäntö ei ota kantaa TLS-liikenteessä käytettäviin varmenteisiin, jotka näkyvät käyttäjien selaimissa palveluita käytettäessä. TLS-liikenteessä voi käyttää Hakan puolesta mitä tahansa varmennetta. Suosittelemme kuitenkin käyttämään selainten yleisesti tuntemien varmentajien toimittamia varmenteita kunnollisen käyttökokemuksen varmistamiseksi.
Palvelun DNS-nimen on vastattava varmenteen CN (common name) -kenttää. Tämän takia ns. wildcard-varmenteita (*.domain.com) ei voi käyttää.
Avainpituus
Varmenteiden julkiselta avaimelta edellytetään vähintään 2048 bitin pituutta.
Varmenteiden uusiminen ja revokointi
Mikäli on syytä epäillä, että varmenteen yksityinen avain on joutunut vääriin käsiin, ota välittömästi yhteyttä CSC:n Haka-ylläpitoon (haka@csc.fi) varmenteen vaihtamiseksi tai palvelun tilapäiseksi poistamiseksi Haka-metadatassa.
Jos haluat vaihtaa palvelun käyttämää varmennetta/yksityistä avainta, katso ohjeita täältä.
SAML-varmenteen vaihtaminen
SAML-palvelun (SP) tai tunnistuslähteen (IdP) varmenteen vaihtaminen vaatii kaksi metadatan julkaisusykliä. Hakassa normaali metadatan uudistamissykli on n. 2 viikkoa, joten varaa varmenteen vaihtamiseen aikaa vähintään kuukausi. Varaa aikaa myös varmenteen hankkimiseen, jos haluat käyttää jonkin juurivarmentajan varmenteita myös SAML-viestinvaihdon suojaamiseen.
Varmenteen vaihtamisen prosessi on kuvattu täällä.