Sertifikattyper

For å opprettholde sikker kommunikasjon og for at nettlesere ikke skal rapportere at forbindelsen mellom VAKA-admin og administrasjonsdatamaskinen er usikker, blir et sertifikat installert.

Sertifikat må også til for kommunikasjon mellom systemdeler, slik som mellom B60-enheter og/eller booking- og informasjonstavler.

VAKA støtter tre typer sertifikat

VAKA-generert sertifikat

I dette tilfellet genererer B60 lokalt rotsertifikat + nettlesersertifikat. og distribuerer disse i systemet uten at administratoren må gjøre noe.

Et VAKA-generert sertifikat er kostnadsfritt å bruke.

VAKA-generert rotsertifikat må installeres i nettleseren (eller systemet) før det kan opprettes en sikker tilkobling.

Fordelen med denne sertifikattypen er at en sikker viderekobling til IP-adressen for B60 kan opprettes, ettersom det lokalt utgitte sertifikatet er gyldig for både LAN IP, WAN IP og vertsnavnet for B60.

Merk: Ettersom alle som kobler seg til dette systemet må installere sertifikat i nettleseren, er denne løsningen upraktisk for system med booking via internett. Brukere kan imidlertid utføre bookinger via http.

Let's Encrypt

Let's encrypt er det mest bekveme alternativet for administratorer og brukere/klienter som surfer til B60, inkludert booking via internett.

Let's Encrypt er en gratistjeneste som tilbyr enheter å forespørre og fornye sertifikat automatisk.

Tjenesten forutsetter at tilkoblingspunktet (B60) er koblet til internett, at port 80 (HTTP) og port 443 (HTTPS) er åpne mot tilkoblingspunktet for at det skal kunne ta imot forespørselen fra Let's encrypt-serveren. Denne mekanismen brukes av Let's encrypt for å sikre at den som ber om et sertifikat, virkelig er «eieren» av vertsnavnet.

For at b60 skal kunne kontakte Lets Encrypts-serveren, må B60 kunne «slå opp» internett-adresser. Glem derfor ikke å stille inn DNS-serveroppgaver på Domeneinnstillinger -> Domenekontroller -> Nettverk.

Lengst ned på siden… under DNS

Videre kreves et domene/subdomene (ikke IP-adresse) som peker til den eksterne IPv4-adressen for B60.

Når Let’s Encrypt brukes, skal informasjons- og bookingtavler konfigureres til å koble seg til «Public Hostname» (finnes i konfigureringen av den B60 som er tilkoblingspunkt for systemet).

Eventuell ruter mellom B60 og internett må ha støtte for NAT traversal.

Kundespesifikt sertifikat

For organisasjoner med krav på egen kontroll, er et kundespesifikt sertifikat en god løsning. Håndtering kan da behandles sentralt. Denne løsningen krever ikke internettilkobling.

Ved opplastning trengs det to filer, nettserversertifikat med tilhørende privat nøkkel (to filer, begge i PEM-format), for eksempel nettserver.pem og private_key_nettserver.pem.

Hvis det brukes en sertifikatleverandør utenfor egen organisasjon, medfører et kundespesifikt sertifikat en årlig kostnad på ca. 2500 kr.