SSL-sertifikaatit Vertex Flow ja DS -käytössä
Kiristyvä tietoturva on näkynyt www-selainversioiden päivityksissä, joissa ohjataan siirtymään TLS/SSL-suojattuun (=https) käytäntöön. Vertex Flow ja DS käytössä voidaan siirtyä käyttämään sertifioitua SSL-yhteyttä. Tässä ohjeessa käsitellään SSL-käytön eri vaihtoehtoja. Tarvittaessa autamme löytämään sopivimman ratkaisun.
HTTPS (engl. Hypertext Transfer Protocol Secure) on HTTP-protokollan ja TLS/SSL-protokollan yhdistelmä, jota käytetään tiedon suojattuun siirtoon webissä https://fi.wikipedia.org/wiki/HTTPS
Voiko Flow'n SSL-suojausta käyttää ilman ostettua sertifikaattia?
Kyllä voi. Vertex Flow sisältää integroidun SSL-suojauksen, mutta jos sertifikaatin ehdot eivät täyty, tulee selaimeen erilaisia varoituksia ja dialogeja. Alla olevilla ohjeilla saadaan paras Flow-käyttökokemus integroidulla SSL-sertifikaatilla.
Vertex Flow'n integroitu SSL-sertifikaatti (suositeltavin tapa)
Vertex Flow sisältää integroidun SSL-sertifikaatin, mikä uudistuu automaattisesti Vertex Flow päivitysten yhteydessä. Teknisesti DNS-palvelulle asetetaan Flow:n käyttämä ip-numero ja *.vertex.fi muotoinen DNS-nimi, tämän jälkeen sertifikaatti onkin jo toiminnassa. DNS-nimimuunnos voidaan tehdä joko suoraan yrityksen omalle DNS-palvelimelle (AD) tai sovitusti Vertex System Oy:n toimesta julkiselle DNS-palvelulle (= vertex.fi). On mahdollista käyttää työaseman paikallista hosts-tiedostoa aivan pienissä, muutaman henkilön kohteissa tai testimielessä.
DNS eli Domain Name System on nimipalvelujärjestelmä, joka muuntaa verkkotunnuksia IP-osoitteiksi https://fi.wikipedia.org/wiki/DNS
Muutoksen jälkeen Flow-palvelun verkko-osoite on muotoa: https://flow-asiakas.vertex.fi
Vertex Flow sertifikaatin voimassaolo päivittyy pääversion ja huoltopäivityksen yhteydessä. Mikäli Flow-palvelimen ip-numero ja sitä vastaava DNS-nimen liittäminen DNS-palveluun aiheuttaa lisäkysymyksiä, niin ottakaa yhteyttä tukipalveluun.
Asiakas hankkii itse SSL-sertifikaatin (ei suositeltava tapa)
Huom! Tästä aiheutuu lisäkustannuksia sekä vuosittaista lisätyötä. Asiakas voi itse hankkia SSL-sertifikaatin järjestämällä sen omalle, Flow-palvelun edustalla olevalle esim. Apache palvelimelle (reverse proxy) tai erikseen sovituissa tapauksissa tämä sertifikaatti liitetään Vertex Systemsin toimesta Vertex Flow palveluun (Tomcat) laskutettavana tuntityönä (esim. Let’s Encryptin käyttö ei ole tässä yhteydessä mahdollista).
Asiakas hoitaa itse julkiselle ip:lle DNS-nimen sekä hankkii sertifikaatin yleisesti tunnetulta varmenteen myöntäjältä (=CA, certificate authority) esim. Comodo tai DigiCert. Varmenteen myöntäjän ohjeiden mukaisesti tulee ensin toimittaa CA:lle tarvittavat sertifikaatin request-tiedot kuten esim.:
- CN=vertexflow.asiakasoy.fi
- O=Asiakas Oy
- L= Paikkakunta
- C=FI.
CA:lta ostettu sertifikaatti tulee olla pfx (=PKCS#12) –muodossa ja sen liittämisestä on sovittava erikseen laskutettavana tuntityönä.
Testivaiheen jälkeen aktivoidaan sama tuotantopuolelle, minkä jälkeen http-protokollan käyttö voidaan viimeistään sulkea. Varmenteen aikarajan seuranta ja sertifikaatin uudistaminen tapahtuu asiakkaan ja CA:n välillä. Sertifikaatin saa vain vuodeksi kerrallaan ja siihen on nimettävä asiakkaalta henkilö. joka vastaa sertifikaatin uusimisesta CA:n kanssa.