Palveluväylän automaattisesti uusiutuvat varmenteet

Vuonna 2026 Suomi.fi-palveluväylässä valmistaudutaan ottamaan käyttöön ACME-ominaisuus (Automated Certificate Management Environment), joka mahdollistaa varmenteiden automaattisen uusimisen liityntäpalvelimella.

Tällä sivulla kerrotaan yleiskuva ACME-ominaisuudesta ja sen vaikutuksista Palveluväylän käyttäjille. Tarkemmat käyttöönotto- ja konfigurointiohjeet julkaistaan uudistuksen edetessä.

Mitä ACME tuo mukanaan?

Tekniset muutokset

ACME:n avulla liityntäpalvelinten nykyiset autentikointi- (auth) ja allekirjoitusvarmenteet (sign) voidaan uusia automaattisesti liityntäpalvelimen käyttöliittymän kautta.

ACME:n käyttöä varten konfiguroitu liityntäpalvelin uusii varmenteensa automaattisesti Digi- ja väestötietoviraston (DVV) ACME-palvelun kautta ennen varmenteiden voimassaolon päättymistä.

• Siirtymää ACME:en on helpotettu pidentämällä vuonna 2025 organisaatiokohtaisten allekirjoitusvarmenteiden (sign) voimassaoloaika toistaiseksi kahteen vuoteen niiden seuraavan uusinnan yhteydessä.

Myöhemmin julkaistavissa ACME-ohjeissa saatetaan viitata asiakasohjelmistoon (ACME client). Palveluväylän käyttäjien ei tarvitse asentaa erillistä asiakasohjelmistoa, sillä X-Road-ohjelmistoon on integroituna tarvittava ACME-toiminnallisuus.

• Huom. Jos organisaatio käyttää DVV:n myöntämiä ACME-varmenteita muualla kuin Palveluväylässä, erillinen asiakasohjelmisto voi olla tarpeen.
• DVV:n verkkosivulta löytyy lisätietoja palvelusta ja siihen liittyvistä käytännöistäAvautuu uuteen ikkunaan.. Sivu päivittyy uudistuksen edetessä.

Muutokset ylläpitämiseen

ACME-varmenteiden käyttö helpottaa liityntäpalvelinten ylläpitoa:

• Manuaalinen varmenteiden uusiminen poistuu.
• Varmenteiden uusimisen aikataulua ei tarvitse enää seurata manuaalisesti.
• Riski varmenteiden vanhenemisesta ja palvelukatkoksista pienenee.

Kun käytössä on täysautomaatiota tukeva X-Road-versio, liityntäpalvelimen ylläpitäjien ei tarvitse enää uusia varmenteita manuaalisesti.

Liityntäpalvelimen ylläpitäjän tehtävät ACME:n käyttöönoton jälkeen

Käyttöönoton jälkeen ylläpitäjän vastuulla on:

• varmenteiden automaattisen uusiutumisen seuranta
• ACME-tilin tapahtumien ja lokien seuranta DVV:n verkkoasioinnissa
• ilmoituksiin (esim. sähköposti) reagointi
• mahdollisten ongelmatilanteiden selvittäminen
• muutoksista ilmoittaminen organisaation hallinnolliselle yhteyshenkilölle

Mitä ACME:n käyttöönotto edellyttää

ACME:n käyttöönotolle on joitakin keskeisiä edellytyksiä. Tässä kuvataan yleisellä tasolla, mitä käyttöönotto vaatii. Tarkemmat tekniset ohjeet julkaistaan myöhemmin.

ACME:n käyttöönotto edellyttää:

• ACME-tilin rekisteröintiä DVV:n verkkoasioinnissa
  → Katso tarkemmat ohjeet: (lisätään myöhemmin)
• ACME-toiminnallisuuden käyttöönottoa liityntäpalvelimilla, liityntäpalvelimen konfigurointia ACME:n käyttöä varten
• tarvittavia verkko- ja porttiavauksia
• sähköposti-ilmoitusten määrittelyä ACME-tapahtumien seurantaan (ilmoitukset välitetään http-yhteyden kautta)

Miten kannattaa valmistautua ACME:n käyttöönottoon

Alla on esimerkkejä asioista, joita organisaation kannattaa selvittää ja sopia ennen ACME:n käyttöönottoa.

Organisaation hallinnollisten ja teknisten vastuuhenkilöiden kannattaa suunnitella käyttöönotto yhdessä. Alla luetelluille tehtäville on hyvä sopia vastuuhenkilöt. Organisaatio päättää itse varmenteiden hallinnoinnin vastuunjaosta ja vastuuhenkilöiden kokoonpanosta.

Hallinnolliset tehtävät

Huolehdi, että organisaatiossasi sovitaan:

• kuka vastaa varmenteiden hallinnasta
• varmenneprosessin kokonaisuus ja vastuut
• ACME-käyttöönoton aikataulu
• varmenteiden seurannan ja ylläpidon käytännöt
• hallinnolliset vastuut käytön aikana

Tekniset tehtävät

Huolehdi, että:

• organisaatiolle perustetaan ACME-tili ja tilille lisätään tarvittavat käyttäjät
• liityntäpalvelimet konfiguroidaan ACME:n käyttöä varten
• varmenteiden ja tapahtumien seurantaa tehdään aktiivisesti

ACME:n tuki eri X-Road-versioissa

Seuraavat tiedot täydentävät ACME:n käyttöönoton suunnittelua teknisestä näkökulmasta.

ACME:n käyttöönotto edellyttää, että liityntäpalvelin on vähintään X-Road-versiossa 7.5.1. Huomioi tämä versiopäivityksiä suunniteltaessa.

• Palveluväylän testiympäristö (FI-TEST) toimii tällä hetkellä versiolla 7.6.2
• Keskuspalvelinympäristöt tullaan päivittämään uudempaan X-Road-versioon vuoden 2026 aikana.

Ilmoitamme erikseen, kun ACME:n käyttöönotto tulee mahdolliseksi.

Käyttöjärjestelmävaatimukset: X-Road 7.5.1

• Ubuntu 22.04 LTS tai 24.04 LTS
• Red Hat Enterprise Linux (RHEL) 8 tai 9

ACME-tuki eri X-Road-versioissa

• 7.5.0 – varmenteiden hakeminen ACME:n avulla
• 7.6.0 – varmenteiden automaattinen uusiminen + sähköposti-ilmoitukset
• 7.7.0 – varmenteiden automaattinen aktivointi (ACME:n täysautomaatio)

Sähköposti-ilmoitukset

X-Road 7.6.0 -versiosta alkaen voidaan ottaa käyttöön sähköposti-ilmoituksia, joiden avulla ylläpitäjä saa tiedon esimerkiksi vanhenevista varmenteista.

• Suositus: käytä yhteiskäyttöistä prosessisähköpostiosoitetta

Lisätietoja

Tekniset kysymykset: palveluvayla@palveluvayla.fi

Yleiset käyttöönottoon liittyvät kysymykset: palveluvayla-kayttoonotot@dvv.fi