Varmennetyypit

Verkkoselaimeen asennetaan varmenne, jotta tiedonsiirto tapahtuisi turvallisesti ja jotta verkkoselain ei ilmoita suojaamattomasta yhteydestä VAKA Admin -rajapinnan ja järjestelmän ylläpitoon käytettävän tietokoneen välillä.

Varmenne tarvitaan myös järjestelmän osien (esim. B60-yksikköjen ja/tai varaus- ja informaatiotaulujen) välistä tiedonvaihtoa varten.

VAKA tukee kolmea varmennetyyppiä.

VAKA-järjestelmän luoma varmenne

Tässä tapauksessa B60 luo paikallisesti juurivarmenteen ja verkkopalvelimen varmenteen ja jakaa nämä järjestelmässä ilman ylläpitäjän toimenpiteitä.

VAKA-järjestelmän luoma varmenteen käyttö on ilmaista.

VAKA-järjestelmän luoma varmenne on asennettava verkkoselaimeen (tai järjestelmään), ennen kuin suojatun yhteyden luonti on mahdollista.

Tämän varmennetyypin etuna on se, että keskuksen B60 IP-osoitteeseen on mahdollista muodostaa suojattu yhteys, sillä paikallisesti luotu varmenne on voimassa sekä LAN IP- ja WAN IP -osoitteiden että keskuksen B60 isäntänimen kohdalla.

Huomaa: koska kaikkien järjestelmään yhteyden muodostavien osapuolten on asennettava varmenne verkkoselaimeen, tämä ratkaisu ei ole käyttökelpoinen järjestelmässä, jossa varaukset tapahtuvat Internetin välityksellä. Käyttäjä voi silti tehdä varauksia http-sivujen välityksellä.

Let's Encrypt

Let's Encrypt on ylläpitäjille ja käyttäjille tai asiakkaille vaivattomin tapa muodostaa verkon välityksellä yhteys B60-keskukseen. Tämä koskee myös Internetin välityksellä tehtäviä varauksia.

Let's Encrypt on ilmainen palvelu, jonka avulla yksiköt voivat sekä pyytää että uusia varmenteen automaattisesti.

Palvelun käytön edellytyksenä on se, että liityntäpiste (B60) on yhdistetty Internetiin ja että portti 80 (HTTP) sekä portti 443 (HTTPS) ovat avoimia liityntäpisteen suuntaan ottaakseen vastaan tiedusteluja Let's Encrypt -palvelimelta. Let's Encrypt käyttää tätä menettelyä varmistamaan sen, että varmenteen pyytävä taho on varmasti isäntänimen ”omistaja”.

Jotta B60-moduuli pystyisi muodostamaan yhteyden Let’s Encrypt -palvelimeen, B60-moduulin tulee pystyä ”hakemaan” verkko-osoite. Muista siksi määritellä DNS-palvelimen tiedot kohdassa ”Verkkoalueen asetukset” -> ”Verkkoaluekeskus” -> ”Verkko”.

Sivun alareunassa… kohdan ”DNS” alapuolella

Lisäksi vaaditaan verkkoalue/aliverkkoalue (ei IP-osoite), joka viittaa B60-moduulin ulkoiseen IPv4-osoitteeseen.

Informaatio- ja varaustaulujen asetukset on määriteltävä Let's Encrypt -toimintoa käytettäessä siten, että ne muodostavat yhteyden kohteeseen "Public Hostname" (ilmoitettu sen B60-moduulin asetuksissa, joka toimii järjestelmän liityntäpisteenä).

B60-moduulin ja Internetin välissä mahdollisesti käytettävän reitittimen tulee tukea NAT traversal -protokollaa.

Asiakaskohtainen varmenne

Asiakaskohtainen varmenne on sopiva ratkaisu organisaatioille, joiden on pystyttävä hallitsemaan itse varmenteita. Käsittely voi tällöin tapahtua keskitetysti. Tämä ratkaisu ei vaadi Internet-yhteyttä.

Tietojen palvelimelle lataamiseen tarvitaan kaksi tiedostoa: verkkopalvelimen varmenne ja siihen kuuluva yksityinen avain (kaksi tiedostoa, joista molemmat PEM-muodossa), esimerkiksi webserver.pem ja private_key_webserver.pem.

Mikäli käytetään oman organisaation ulkopuolista varmenteen toimittajaa, tästä aiheutuu noin 250 euron vuotuiset kustannukset.

Päivitetty 29.8.2022