Certifikatstyper

För att erhålla säker kommunikation och för att webbläsare inte ska rapportera att förbindelsen mellan VAKA Admin och administrationsdatorn är osäker, installeras certifikat.

Certifikat behövs också för kommunikation mellan systemdelar, såsom mellan B60-enheter och/eller bokning- och informationstavlor.

VAKA stödjer tre typer av certifikat

VAKA-genererat certifikat

I det här fallet genererar B60 lokalt rotcertifikat + webbservercertifikat och distribuerar dessa i systemet utan att administratören behöver göra något.

Ett VAKA-genererat certifikat är kostnadsfritt att använda.

VAKA-genererat rotcertifikat måste installeras i webbläsaren (eller systemet) innan en säker anslutning kan upprättas.

Fördelen med denna certifikattyp är att en säker anslutning mot IP-adressen för B60 kan upprättas, eftersom det lokalt utfärdade certifikatet är giltigt för både LAN IP, WAN IP och värdnamnet för B60.

Tänk på: Eftersom alla som ansluter till systemet måste installera certifikat i webbläsaren, är denna lösning opraktisk för system med bokning över internet. Dock kan användare utföra bokningar via http.

Let's Encrypt

Let's encrypt är det mest bekväma alternativet för administratörer och användare/klienter som surfar till B60, inkluderat bokning över internet.

Let's Encrypt är en gratistjänst som erbjuder enheter att automatiskt begära och förnya certifikat.

Tjänsten förutsätter att anslutningspunkten (B60) är ansluten till internet, att port 80 (HTTP) och port 443 (HTTPS) är öppna mot anslutningspunkten för att denna ska kunna ta emot frågeställningar från Let's encrypt-servern. Denna mekanism används av Let's encrypt för att säkerställa att den som ber om ett certifikat verkligen är "ägaren" till värdnamnet.

För att b60 skall kunna kontakta Lets Encrypts server så måste B60 kunna ”slå upp ” web-adress”.Glöm därför ej att ställa in DNS server uppgifter på Domäninställningar -> Domänkontroller -> Nätverk.

Längst ner på sidan… under DNS

Vidare krävs en domän/subdomän (ej IP-adress) pekandes på den externa IPv4-adressen för B60.

Information- och bokningstavlor ska, när Let's Encrypt används, konfigureras att ansluta mot "Public Hostname" (hittas i konfigureringen av den B60 som är anslutningspunkt för systemet).

Eventuell router mellan B60 och Internet måste ha stöd för NAT traversal.

Kundspecifikt certifikat

För organisationer med krav på egen kontroll är ett kundspecifikt certifikat en lämplig lösning. Hantering kan då skötas centralt. Denna lösning kräver inte internetkoppling.

Vid uppladdning behövs två filer, webservercertifikat med tillhörande privat nyckel (två filer, båda i PEM-format), exempelvis webserver.pem och private_key_webserver.pem.

Används en certifikatleverantör utanför den egna organisationen medför ett kundspecifikt certifikat en årlig kostnad av ca 2 500kr per år.