Siirry suoraan sisältöön.
Suomi.fi-palveluväylä

Liityntäpalvelimen liittäminen testi- tai tuotantoympäristöön

Tässä artikkelissa kerrotaan, miten liityntäpalvelin liitetään asennuksen jälkeen Suomi.fi-palveluväylän testi- tai tuotantoympäristöön.

Liityntäpalvelinohjelmistojen asennuksen jälkeen liityntäpalvelin on vielä liitettävä Palveluväylä-instanssin eli -ympäristön jäseneksi. Tämän ohjeen kuvat on otettu testiympäristöstä, joten instanssina näkyy FI-TEST. Tuotantoympäristössä vastaavissa paikoissa tulee näkyä instanssitunnus FI. Tällä samalla ohjeella pystyt liittämään palvelimen kumpaan ympäristöön tahansa. Kun ohjeistuksessa puhutaan liityntäympäristöstä, tarkoitetaan siis joko FI-TEST- tai FI-ympäristöä.

Tämä ohje soveltuu myös kehitysympäristöön. Kehitysympäristössä käytetään kuitenkin eri OCSP- ja TSA-palvelimia eikä varmennetyyppi ole G2R tai G5R.

Artikkelin ohjeiden avulla voit liittää liityntäpalvelimen testi- tai tuotantoympäristöön uusimmalla käytössä olevalla Palveluväylän X-Road-versiolla. Voit tarkistaa Palveluväylässä käytettävän version sivulta Versiopäivitykset.

Tutustu videosarjaan, jossa esitellään Palveluväylän liittymisprosessia. Videoissa käydään esimerkkien kanssa yksitellen läpi Palveluväylän liityntäprosessiin ja sen testaamiseen liittyviä toimenpiteitä.

Artikkelin sisältö

  1. Konfiguraation aloittaminen
  2. TSA-palvelimen lisääminen
  3. Allekirjoitus- ja autentikointivarmenteiden luominen
  4. Allekirjoitettujen varmenteiden asentaminen

Huomioitavaa palvelimen liittämisessä testi- tai tuotantoympäristöön

Palvelimen liittämiseen tarvitaan liityntäympäristön konfiguraatioankkuri, jonka saat Palveluväylän ylläpidolta.

Tarkista ennen asennuksen jatkamista, että liityntäpalvelin on liityntäympäristönsä ohjeistuksen mukainen.

Huomioithan, että sinun tulee avata tarvittavat portit palvelimellasi ennen liityntäpalvelimen konfigurointia. Lue palomuuriavausten ohjeet teknisen käyttöönoton ohjeista kohdasta 2. Avaa palomuurit.

Palvelimen määrittely

Voit automatisoida liityntäpalvelimen määrittelyn käyttämällä automaattisia hallintaskriptejä (X-road Toolkit). Lue lisää liityntäpalvelimen määrittelemisestä X-Road Toolkitilla.

Jos haluat määritellä liityntäpalvelimen graafisen käyttöliittymän kautta, ota selaimella yhteyttä hallintakäyttöliittymään, joka löytyy osoitteesta

https://{hostname}:4000

jossa {hostname} on asennetun liityntäpalvelimen hostname.

Selain vaatii vielä palvelimen sertifikaatin hyväksymistä erikseen. Sivu voi näyttää erilaiselta käytettävästä selaimesta riippuen, kuvassa käytössä Google Chrome.

Palvelimen sertifikaatin hyväksyminen

Mikäli palvelin on juuri asennettu, palveluiden käynnistyminen voi olla vielä kesken. Hallintakäyttöliittymä avautuu hetken odottelun jälkeen.

1. Konfiguraation aloittaminen

Kun palvelut ovat käynnistyneet, kirjaudu sisään käyttäjätunnuksella ja salasanalla, jotka määrittelit liityntäpalvelinohjelmiston asennuksen yhteydessä.

Kirjautuminen hallintakäyttöliittymään

Tuo järjestelmään konfiguraatioankkuri, jonka sait Palveluväylän ylläpidolta. Valitse Upload, etsi konfiguraatioankkuri ja ja jatka painamalla Continue.

Konfiguraatioankkurin tuominen järjestelmään

Vahvista konfiguraatioankkurin tuominen järjestelmään valitsemalla Confirm.

Jos konfiguraatioankkurin tuominen epäonnistuu, tarkista, että liityntäpalvelimesi pystyy ottamaan yhteyttä keskuspalvelimille portissa TCP/80. Yleensä syynä virheeseen on se, että palvelimeltasi ei ole sallittu ulospäin tehtävää yhteydenottoa keskuspalvelimelle. Tarkista ylläpidolta aiemmin saamasi palomuurien avausohjeet. Tarvittaessa ole yhteydessä osoitteeseen palveluvayla@palveluvayla.fiAvautuu uuteen ikkunaan..

Konfiguraatioankkurin tuomisen vahvistaminen

Täytä avautuvaan ikkunaan seuraavat tiedot ja valitse Continue:

  • Member Name: oman organisaatiosi nimi (järjestelmän pitäisi täydentää nimi automaattisesti, kun Member code -kenttään on täytetty oikea Y-tunnus). HUOM. Jos automaattinen täydennys ei toimi Member code kentän Y-tunnuksen syötön jälkeen, ole yhteydessä palveluvayla@palveluvayla.fiAvautuu uuteen ikkunaan.
  • Member Class: organisaation tyypin ilmaiseva uniikki tunnus yksittäisen instanssin sisällä (esim. GOV: valtionhallinnon laitokset, COM: kaupalliset toimijat)
  • Member Code: oman organisaatiosi Y-tunnus
  • Security Server Code: liityntäpalvelimen yksilöivä tunnus, tyypillisesti palvelimen nimen host-osa

Tietojen täyttäminen

Syötä liityntäpalvelimen asentajan päättämä PIN-koodi (salasana), jonka pituus on vähintään 10 merkkiä. PIN-koodissa pitää olla merkkejä vähintään kolmesta seuraavasta luokasta: pienet kirjaimet, isot kirjaimet, numerot ja erikoismerkit. Säilytä PIN-koodi turvallisessa paikassa.

Valitse seuraavaksi Submit.

PIN-koodin asettaminen

Jos kaikki sujui asianmukaisesti, näkymän pitäisi olla seuraavanlainen. Lisätyn jäsenen tulisi näkyä Saved-tilassa.

Näkymä onnistuneen asennuksen jälkeen

2. TSA-palvelun lisääminen

Valitse navigaatiovalikosta System Parameters. Valitse avautuvan valikon Timestamping Services-kohdasta Add.

System parameters -sivu

Valitse TSA-palvelu Add-painikkeella. Seuraavassa näkymässä valitaan paikallinen TSA-palvelu. Valitse käyttöliittymän ehdottama liityntäympäristön TSA-palvelu.

Huom. Alla olevan kuvan näkymä vastaa kehitysympäristön (FI-DEV) konfiguraatiovaihetta. Jos olet liittymässä testiympäristöön (FI-TEST) tai tuotantoympäristöön (FI), näkymä poikkeaa TSA-palvelinvaihtoehtojen suhteen hieman kuvasta. Tässä tapauksessa voit valita minkä tahansa neljästä vaihtoehdosta (esimerkiksi DVV TSA 1).

TSA-palvelun valitseminen

Seuraavassa kuvassa näkyy tilanne onnistuneen TSA-asetusmuutoksen jälkeen. Valitsemasi TSA-palvelu on lisätty liityntäpalvelimen käyttöön.

Näkymä onnistuneen TSA-asetusmuutoksen jälkeen

3. Allekirjoitus- ja autentikointivarmenteiden allekirjoituspyyntöjen luominen

Valitse navigaatiovalikosta Keys and Certificates ja kirjaudu sisään Token-rivin Log in -painikkeella.

Keys and certificates -sivu

Syötä rekisteröinnin yhteydessä antamasi palvelimen PIN-koodi ja kirjaudu sisään.

PIN-koodin antaminen

3.1 Allekirjoitusvarmennepyyntö

Luo ensin allekirjoitusvarmennepyyntö. Aloita luomalla avain Add Key -painikkeella.

Avaimen luomisen aloittaminen

Anna avaimen nimeksi sen käyttötarkoitusta vastaava kuvaus, jotta luodun avaimen erottaa helposti avainhallintasivun taulukosta. Siirry eteenpäin Next-painikkeella.

Avaimen nimeäminen

Täytä allekirjoitusvarmennepyynnön tiedot seuraavasti:

  • Usage: Varmista, että alasvetovalikosta on valittuna SIGNING.
  • Client: Tarkista, että alasvetovalikosta on valittuna Y-tunnuksen perusteella oikea organisaatio.
  • Certification Service: Käytä Digi- ja väestötietoviraston tuottamaa varmennepalvelua: tuotantoympäristössä (FI) valitse G5R ja testiympäristössä (FI-TEST) valitse G2R
  • CSR Format: Valitse PEM.

Etene Continue-painikkeella.

Allekirjoitusvarmennepyynnön tietojen täyttäminen

Syötä avautuvaan ikkunaan aiemmin lisäämäsi liityntäpalvelimen FQDN (SAN) sekä sen omistavan organisaation (O) nimi ja klikkaa sen jälkeen Generate CSR-painiketta. Tarkista, että olet syöttänyt organisaation nimen oikein. Jos nimi on väärin, allekirjoitusvarmennepyynnöstä tulee virheellinen.

Liityntäpalvelimen sekä organisaation nimen antaminen

Tallenna selaimen lataama allekirjoitusvarmennepyyntö.

3.2 Autentikointivarmennepyyntö

Luo seuraavaksi autentikointivarmennepyyntö. Aloita luomalla uusi avain Keys and Certificates -näkymässä: valitse palvelimen Token ja sitten Add Key.

Uuden avaimen luominen

Anna luotavalle avaimelle sen käyttötarkoitusta kuvaava nimi ja valitse Next.

Uuden avaimen nimeäminen

Täytä autentikointivarmennepyynnön tiedot seuraavasti:

  • Usage: Varmista, että alasvetovalikosta on valittuna AUTHENTICATION.
  • Certification Service: Käytä Digi- ja väestötietoviraston tuottamaa varmennepalvelua: tuotantoympäristössä (FI) valitse G5R ja testiympäristössä (FI-TEST) valitse G2R.
  • CSR Format: Valitse PEM.

Etene Continue-painikkeella.

Autentikointivarmennepyynnön tietojen täyttäminen

Syötä taas avautuvaan ikkunaan aiemmin lisäämäsi liityntäpalvelimen omistavan organisaation nimi (O) ja palvelimen FQDN-nimi (CN). Huom! Syötä liityntäpalvelimen nimi myös kenttään Subject Alternative Name (SAN). Tarkista, että olet syöttänyt organisaation nimen oikein. Jos tiedot ovat väärin, autentikointivarmennepyynnöstä tulee virheellinen.

Valitse sen jälkeen Generate CSR.

Organisaation nimen ja palvelimen FQDN-nimen antaminen sekä SAN-kentän täyttäminen

Tallenna selaimen lataama autentikointivarmennepyyntö.

3.3 Varmennepyyntöjen käsittely

Lähetä luomasi allekirjoitus- ja autentikointivarmennepyynnöt Palveluväylän ylläpidon tarkistettavaksi osoitteeseen palveluvayla@palveluvayla.fiAvautuu uuteen ikkunaan. ennen varsinaisten varmennehakemusten tekemistä Digi- ja väestötietoviraston (DVV) verkkoasioinnissa.

1. Otsikoi viestisi

Käytä viestin otsikkona: "Varmennepyynnöt tarkistettavaksi"

2. Kirjoita viestin sisältö

Kerro viestissäsi ainakin seuraavat tiedot:

  • liittyvän organisaation tai liityntäpalvelimen haltijan nimi
  • liityntäpalvelimen FQDN
  • liitä viestiin luomasi CSR-tiedostot

3. Odota ylläpidon tarkistusta

Palveluväylän ylläpito tarkistaa varmennepyynnöt. Kun tiedot ovat kunnossa, saat ohjeen jatkaa seuraavaan vaiheeseen.

4. Seuraavaksi voit siirtyä tekemään varsinaiset varmennehakemukset DVV:n verkkoasioinnissa

Siirry DVV:n verkkoasiointiin ja täytä varmennehakemukset. Tarkemmat hakemusohjeet löydät täältä:

5. Jatka varmenteiden asennukseen

Kun olet vastaanottanut DVV:ltä allekirjoitetut varmenteet, voit jatkaa varmenteiden asennusta tämän ohjeen seuraavasta vaiheesta 4. Allekirjoitettujen varmenteiden asennus.

4. Allekirjoitettujen varmenteiden asennus

Aloita allekirjoitettujen varmenteiden asentaminen liityntäpalvelimelle Keys and Certificates -sivulta. Paikanna sivulta luomasi autentikointivarmenne ja valitse Import Cert. Tuo DVV:n tomittama allekirjoitettu autentikointivarmenne.

Autentikointivarmenteen tuominen

Allekirjoitetun autentikointivarmenteen asentamisen jälkeen sen Status-sarakkeessa on teksti "Saved".

Näkymä allekirjoitetun autentikointivarmenteen asentamisen jälkeen

Toista äskeiset vaiheet allekirjoitusvarmenteen tuomista varten. Valitse Import Cert. ja tuo DVV.n toimittama allekirjoitettu allekirjoitusvarmenne.

Allekirjoitetun allekirjoitusvarmenteen asentamisen jälkeen sen Status-sarakkeessa on vihreä pallokuvake ja teksti "Registered". Se on silloin asennettu oikein.

Näkymä allekirjoitetun allekirjoitusvarmenteen asentamisen jälkeen

Autentikointivarmenne täytyy vielä rekisteröidä erikseen. Aloita valitsemalla Register.

Syötä palvelimen FQDN-nimi ja valitse Add.

Palvelimen FQDN-nimen antaminen

Autentikointivarmenteen kohdalla tulisi lukea "Status: Registration in progress". Palveluväylän ylläpidon pitää vielä hyväksyä rekisteröintipyyntö.

Näkymä FQDN-nimen antamisen jälkeen

Kun Palveluväylän ylläpito on hyväksynyt palvelimesi rekisteröitymisen, myös autentikointivarmenteen Status-sarakkeessa pitäisi olla vihreä pallokuvake ja teksti "Registered". Autentikointivarmenteen aktivointia varten klikkaa vielä kohdan ”Server Authentication Key” alla olevaa numerosarjaa (kuvassa korostettuna).

Näkymä palvelimen rekisteröimisen jälkeen

Kun olet klikannut kohdan ”Server Authentication Key” alla olevaa numerosarjaa, aukeaa seuraava ikkuna. Jatka painamalla Activate.

Aktivoi autentikointivarmenne klikkaamalla Activate-nappia

Autentikointivarmenteen OCSP-status muuttuu tilaan ”Good” noin 10–30 minuutin kuluessa, minkä jälkeen liityntäpalvelin on käyttövalmis.

Näkymä onnistuneen autentikointivarmenteen aktivoinnin jälkeen

Liityntäpalvelimen liittäminen Palveluväylään on nyt suoritettu.

Päivitetty: 6.5.2026

Oletko tyytyväinen tämän sivun sisältöön?