Liityntäpalvelimen vanhenevien varmenteiden uusiminen

Suomi.fi-palveluväylässä käytössä olevat varmenteet pitää uusia säännöllisesti. Uusimisväli vaihtelee varmenteen tyypistä ja ympäristöstä riippuen kuudesta kuukaudesta kahteen vuoteen.

Varmenteiden uusimisen muistilista

1. Auth-varmenne: 6 kk (prod), 1 vuosi (testi)
2. Sign-varmenne: 2 vuotta
3. Aloita uusiminen noin kuukautta ennen vanhenemista

Alla on kuvattu varmenteiden uusiminen vaihe vaiheelta.

Palveluväylän varmenteiden voimassaoloajat

Allekirjoitusvarmenteet ovat toistaiseksi voimassa kaksi vuotta sekä testi- että tuotantoympäristössä. Voimassaoloaikaa pidennettiin kahteen vuoteen vuonna 2025.

Autentikointivarmenteiden voimassaoloaika vaihtelee ympäristöstä riippuen. Tuotantoympäristön autentikointivarmenne on tällä hetkellä voimassa 6 kuukautta ja testiympäristössä autentikointivarmenteen voimassaoloaika on yksi vuosi.

Jos varmenteet pääsevät vanhenemaan, palvelusi lakkaavat toimimasta Palveluväylässä. Aloita siis uusimisprosessi hyvissä ajoin.

Lue lisää: Näin tarkistat varmenteiden voimassaoloajan

Varmenteiden uusiminen

Uusimiseen kuluu vähintään viikko, joten suosittelemme, että aloitat prosessin hyvissä ajoin (esim. noin kuukausi ennen) varmenteiden vanhenemista, jotta ehdit reagoida mahdollisiin ongelmiin eivätkä palvelusi lakkaa toimimasta.

Vanhat ja uudet varmenteet voivat olla käytössä samaan aikaan. Ei ole syytä poistaa vanhaa varmennetta ennen kuin uusi on varmuudella otettu käyttöön.

Manuaalisesti uusittavien varmenteiden uusiminen koostuu:

1. hallinnollisesta uusimisesta DVV:n verkkoasioinnissa (organisaation toimesta 6.5.2026 alkaen)
2. uusien varmenteiden asentamisesta liityntäpalvelimelle

Muista uusia varmenteet sekä testi- että tuotantoympäristössä:

• allekirjoitusvarmenteet
• autentikointivarmenteet

Varmenteet luodaan nykyään uusilla varmennetyypeillä:

• tuotantoympäristössä G5R
• testiympäristössä G2R

Vanhaa G3-varmennetyyppiä ei enää käytetä.

Jos liityntäpalvelimesi on ollut pitkään poissa käytöstä ja sillä ei ole voimassa olevia varmenteita, noudata Palveluväylän käyttöönoton ohjeita ja aloita Palveluväylän käyttöönotto. Lisätietoja tarvittaessa: palveluvayla-kayttoonotot@dvv.fiAvautuu uuteen ikkunaan.

Huom. Jos olet välitoimija, joka tarjoaa liityntäpalvelimen useille organisaatioille, uusi yksittäisen organisaation allekirjoitusvarmenne ennen sen vanhenemista.

Muistutusviestit voimassaoloajan päättymisestä

Jos olet aiemmin uusinut varmenteesi käyttölupahakemuksella, varmenteita ei tarvitse enää jatkossa uusia käyttölupaa hakemalla. Seuraavilla kerroilla tekninen yhteyshenkilö saa sähköpostitse muistutuksen 3 kk ja 1 kk ennen varmenteiden vanhenemista.

Muistutukset koskevat varmenteiden voimassaolon päättymistä, eivätkä ne uusi varmenteita automaattisesti. Uudet varmenteet tulee hakea erikseen DVV:n verkkoasioinnissa.

Uusi muistutusviestissä mainitut varmenteet tämän sivun ohjeiden mukaan.

Varmenteiden uusiminen, kun käytössä on X-Road-versio 7.4 tai uudempi

1. Uusittavien allekirjoitus- ja autentikointivarmenteiden allekirjoituspyyntöjen luominen

1.1 Allekirjoitusvarmennepyyntö

Luo ensin allekirjoitusvarmennepyyntö. Aloita luomalla avain Add Key -painikkeella.

Kuva: Avaimen luomisen aloittaminen

Näytä kuva suurempana

Anna avaimen nimeksi sen käyttötarkoitusta vastaava kuvaus, jotta luodun avaimen erottaa helposti avainhallintasivun taulukosta. Siirry eteenpäin Next-painikkeella.

Kuva: Avaimen nimeäminen

Näytä kuva suurempana

Täytä allekirjoitusvarmennepyynnön tiedot seuraavasti:

• Usage: Varmista, että alasvetovalikosta on valittuna SIGNING.
• Client: Tarkista, että alasvetovalikosta on valittuna Y-tunnuksen perusteella oikea organisaatio.
• Certification Service: Käytä Digi- ja väestötietoviraston tuottamaa varmennepalvelua: tuotantoympäristössä (FI) valitse G5R ja testiympäristössä (FI-TEST) valitse G2R
• CSR Format: Valitse PEM.

Etene Continue-painikkeella.

Kuva: Allekirjoitusvarmennepyynnön tietojen täyttäminen

Näytä kuva suurempana

Syötä avautuvaan ikkunaan aiemmin lisäämäsi liityntäpalvelimen FQDN (SAN) sekä sen omistavan organisaation (O) nimi ja klikkaa sen jälkeen Generate CSR-painiketta. Tarkista, että olet syöttänyt organisaation nimen oikein. Jos nimi on väärin, allekirjoitusvarmennepyynnöstä tulee virheellinen.

Kuva: Liityntäpalvelimen sekä organisaation nimen antaminen

Näytä kuva suurempana

Tallenna selaimen lataama allekirjoitusvarmennepyyntö.

1.2 Autentikointivarmennepyyntö

Luo seuraavaksi autentikointivarmennepyyntö. Aloita luomalla uusi avain Keys and Certificates -näkymässä: valitse palvelimen Token ja sitten Add Key.

Kuva: Uuden avaimen luominen

Näytä kuva suurempana

Anna luotavalle avaimelle sen käyttötarkoitusta kuvaava nimi ja valitse Next.

Kuva: Uuden avaimen nimeäminen

Näytä kuva suurempana

Täytä autentikointivarmennepyynnön tiedot seuraavasti:

• Usage: Varmista, että alasvetovalikosta on valittuna AUTHENTICATION.
• Certification Service: Käytä Digi- ja väestötietoviraston tuottamaa varmennepalvelua: tuotantoympäristössä (FI) valitse G5R ja testiympäristössä (FI-TEST) valitse G2R.
• CSR Format: Valitse PEM.

Etene Continue-painikkeella.

Kuva: Autentikointivarmennepyynnön tietojen täyttäminen

Näytä kuva suurempana

Syötä taas avautuvaan ikkunaan aiemmin lisäämäsi liityntäpalvelimen omistavan organisaation nimi (O) ja palvelimen FQDN-nimi (CN). Huom! Syötä liityntäpalvelimen nimi myös kenttään Subject Alternative Name (SAN). Tarkista, että olet syöttänyt organisaation nimen oikein. Jos tiedot ovat väärin, autentikointivarmennepyynnöstä tulee virheellinen.

Valitse sen jälkeen Generate CSR.

Kuva: Organisaation nimen ja palvelimen FQDN-nimen antaminen sekä SAN-kentän täyttäminen

Näytä kuva suurempana

Tallenna selaimen lataama autentikointivarmennepyyntö.

1.3 Varmennepyyntöjen käsittely

Palveluväylässä tarvittavat varmenteet haetaan Digi- ja väestötietoviraston (DVV) verkkoasioinnissa.

Siirry seuraavaksi verkkoasiointiin ja täytä varmennehakemukset. Aiemmin luodut allekirjoitus‑ ja autentikointivarmennepyynnöt liitetään varmennehakemukseen joko hakemusta tehtäessä tai jälkikäteen hakemuksella ilmoitetun teknisen yhteyshenkilön toimesta. Tarkemmat hakemusohjeet löydät täältä:

• Palveluväylän varmenteiden hakeminen verkkoasioinnissa

DVV toimittaa allekirjoitetut varmenteet tekniselle yhteyshenkilölle. Tämän jälkeen voit jatkaa asentamalla allekirjoitetut varmenteet liityntäpalvelimelle seuraavassa vaiheessa kuvatulla tavalla.

2. Allekirjoitettujen varmenteiden asennus

Aloita allekirjoitettujen varmenteiden asentaminen liityntäpalvelimelle Keys and Certificates -sivulta. Paikanna sivulta luomasi autentikointivarmenne ja valitse Import Cert. Tuo DVV:n toimittama allekirjoitettu autentikointivarmenne.

Kuva: Autentikointivarmenteen tuominen

Näytä kuva suurempana

Allekirjoitetun autentikointivarmenteen asentamisen jälkeen sen Status-sarakkeessa on teksti "Saved".

Kuva: Näkymä allekirjoitetun autentikointivarmenteen asentamisen jälkeen

Näytä kuva suurempana

Toista äskeiset vaiheet allekirjoitusvarmenteen tuomista varten. Valitse Import Cert. ja tuo DVV:n toimittama allekirjoitettu allekirjoitusvarmenne.

Allekirjoitetun allekirjoitusvarmenteen asentamisen jälkeen sen Status-sarakkeessa on vihreä pallokuvake ja teksti "Registered". Se on silloin asennettu oikein.

Kuva: Näkymä allekirjoitetun allekirjoitusvarmenteen asentamisen jälkeen

Näytä kuva suurempana

Autentikointivarmenne täytyy vielä rekisteröidä erikseen. Aloita valitsemalla Register.

Syötä palvelimen FQDN-nimi ja valitse Add.

Kuva: Palvelimen FQDN-nimen antaminen

Näytä kuva suurempana

Autentikointivarmenteen kohdalla tulisi lukea "Status: Registration in progress". Palveluväylän ylläpidon pitää vielä hyväksyä rekisteröintipyyntö.

Jos rekisteröinti ei jostain syystä onnistu, ole yhteydessä Palveluväylän ylläpitoon osoitteessa: palveluvayla@palveluvayla.fiAvautuu uuteen ikkunaan.

Kuva: Näkymä FQDN-nimen antamisen jälkeen

Näytä kuva suurempana

Kun Palveluväylän ylläpito on hyväksynyt palvelimesi rekisteröitymisen, myös autentikointivarmenteen Status-sarakkeessa pitäisi olla vihreä pallokuvake ja teksti "Registered". Autentikointivarmenteen aktivointia varten klikkaa vielä kohdan ”Server Authentication Key” alla olevaa numerosarjaa (kuvassa korostettuna).

Kuva: Näkymä palvelimen rekisteröimisen jälkeen

Näytä kuva suurempana

Kun olet klikannut kohdan ”Server Authentication Key” alla olevaa numerosarjaa, aukeaa seuraava ikkuna. Jatka painamalla Activate.

Kuva: Aktivoi autentikointivarmenne klikkaamalla Activate-nappia

Näytä kuva suurempana

Autentikointivarmenteen OCSP-status muuttuu tilaan ”Good” noin 10–30 minuutin kuluessa, minkä jälkeen liityntäpalvelin on käyttövalmis.

Kuva: Näkymä onnistuneen autentikointivarmenteen aktivoinnin jälkeen

Näytä kuva suurempana

Huom! Jätä vanhenevat varmenteet liityntäpalvelimelle ainakin vuorokaudeksi, jotta uudet varmenteet ehtivät levitä eikä liityntäpalvelimen toiminta katkea. Vanhat varmenteet eivät vaikuta uusien toimintaan.

Kun uusien varmenteiden OCSP response on tilassa Good ja Status tilassa Registered, voit poistaa vanhat varmenteet erillisen tukiartikkelin Varmenteiden poistaminen liityntäpalvelimelta mukaisesti.

Varmenteiden uusiminen liityntäpalvelimen hallintakäyttöliittymässä, kun käytössä on vanhempi versio kuin X-Road 7.4

1. Navigoi liityntäpalvelimen hallintakäyttöliittymän Keys and Certificates -välilehdelle.

2. Valitse Generate CSR sen allekirjoitusavaimen kohdalta, minkä haluat uusia.

Kuva: Valitse Generate CSR.

Näytä kuva suurempana

3. Valitse CSR-formaatiksi Digi- ja väestötietoviraston suosittelema PEM-formaatti ja sitten Continue.

Kuva: Valitse CSR-formaatiksi PEN ja valitse Continue

Näytä kuva suurempana

4. Täytä tiedot ja valitse Generate CSR. Tämä käynnistää varmennepyynnön latauksen. Tallenna ladattu allekirjoitusvarmenteen pyyntö laitteellesi. Apua allekirjoitus- ja autentikointivarmennepyyntöjen luomiseen saat Liityntäpalvelimen liittäminen testi- tai tuotantoympäristöön -sivulta kohdasta 3.

Kuva: Täytä tiedot ja valitse Generate CSR

Näytä kuva suurempana

5. Valitse Generate CSR sen autentikointivarmenteen kohdalta, minkä haluat uusia.

Kuva: Valitse Generate CSR

Näytä kuva suurempana

6. Valitse CSR-formaatiksi Digi- ja väestötietoviraston suosittelema PEM-formaatti ja valitse sitten Continue.

Kuva: Valitse CSR-formaatti.

Näytä kuva suurempana

7. Täytä tiedot ja valitse Generate CSR. Tämä käynnistää varmennepyynnön latauksen. Tallenna ladattu autentikointivarmenteen pyyntö laitteellesi. Apua allekirjoitus- ja autentikointivarmennepyyntöjen luomiseen saat Liityntäpalvelimen liittäminen testi- tai tuotantoympäristöön -sivulta kohdasta 3.

Kuva: Syötä tiedot ja valitse Generate CSR.

Näytä kuva suurempana

8. Palveluväylässä tarvittavat varmenteet haetaan Digi- ja väestötietoviraston (DVV) verkkoasioinnissa. Siirry seuraavaksi verkkoasiointiin ja täytä varmennehakemukset. Äsken luodut allekirjoitus‑ ja autentikointivarmennepyynnöt liitetään varmennehakemukseen joko hakemusta tehtäessä tai jälkikäteen hakemuksella ilmoitetun teknisen yhteyshenkilön toimesta.

Tarkemmat hakemusohjeet löydät täältä:

• Palveluväylän varmenteiden hakeminen verkkoasioinnissa

DVV palauttaa allekirjoitetut varmenteet tekniselle yhteyshenkilölle. Tämän jälkeen voit jatkaa seuraavassa vaiheessa kuvatulla tavalla.

9. Kun saat varmennepyyntöjä vastaavat varmenteet takaisin DVV:ltä, lisää ne omille avaimilleen hallintakäyttöliittymän Keys and Certificates -välilehdellä. Tutustu tarkemmin allekirjoitettujen varmenteiden asennukseen.

Huom! Jätä vanhenevat varmenteet liityntäpalvelimelle ainakin vuorokaudeksi, jotta uudet varmenteet ehtivät levitä eikä liityntäpalvelimen toiminta katkea. Vanhat varmenteet eivät vaikuta uusien toimintaan.

Kun uusien varmenteiden OCSP response on tilassa Good ja Status tilassa Registered, voit poistaa vanhat varmenteet erillisen tukiartikkelin Varmenteiden poistaminen liityntäpalvelimelta mukaisesti.