Siirry suoraan sisältöön.
Suomi.fi-tunnistus

Asiointipalvelun käyttämien SAML-varmenteiden vaihtaminen

Suomi.fi-tunnistus tukee kahta tai useampaa varmennetta asiointipalvelun metadatassa. Varmenteita käytetään avainparina luottamussuhteen muodostamiseen, eikä varmenteiden voimassaoloaikaa tarkasteta. Jos asiointipalvelu on rekisteröinyt useamman varmenteen salauskäyttöön, Suomi.fi-tunnistus valitsee käynnistyessään satunnaisesti jonkin kyseisistä varmenteista paluuviestin salaukseen.

Asiointipalvelun on varauduttava purkamaan vastausviestit kaikilla ’encryption’- ja ilman tarkennetta esitellyillä varmenteilla riippumatta niiden voimassaoloajasta. Hyvä toteutustapa on ketjuttaa varmenteiden tarkastus siten, että jos autentikaatiovastausta ei saada ensimmäisellä varmenteella, yritetään seuraavaksi toisella ja niin edelleen.

Varmenteiden vaihto katkottomasti

Varmenteiden vaihto voidaan toteuttaa katkottomasti tai lähes katkoitta kahdella tavalla.
Ensimmäinen tapa on transit-metadatan käyttö, joka koostuu kolmesta vaiheesta.

  1. Suomi.fi-tunnistukseen rekisteröidään ensin uusi varmenne vanhan rinnalle (Metadatassa). Kun uusi metadata on otettu käyttöön, voidaan autentikaatiopyyntöjen allekirjoituksessa siirtyä käyttämään uutta varmennetta. Varmistakaa, että autentikaatiovastaukset voidaan purkaa myös vanhalla varmenteella.
  2. Rekisteröikää seuraavaksi Suomi.fi-tunnistukselle metadata, jossa on vain uusi varmenne.
  3. Kun uusi metadata on otettu käyttöön, poistakaa asiointipalvelusta tuki vanhalle varmenteelle myös autentikaatiovastausten osalta.

Kolmannen vaiheen voi ohittaa, jos ensimmäisessä vaiheessa käytetään varmenteen määrittelyssä vanhalle varmenteelle tarkennetta 'signing'. Uusi varmenne annetaan ilman tarkenteita. Tällöin Suomi.fi-tunnistus hyväksyy tunnistuspyynnöt molemmilla varmenteilla, mutta käyttää paluuviestin salaukseen vain uutta varmennetta.

Toinen tapa on rekisteröidä uusi entityID ja siirtää liikenne sille sopivana ajanhetkenä julkaisun jälkeen. Vanha entityID poistetaan, kun liikenne on siirretty uudelle ja todettu toimivaksi.

Varmenteiden vaihto katkollisesti

Jos asiointipalvelulla ei ole tukea autentikaatiovastauksen purkamiselle usealla varmenteella, eikä ole mahdollista rekisteröidä rinnakkaista entityID:tä, tulee asointipalvelun varmenteiden vaihto hoitaa katkollisesti:

  1. Uusi varmenne laitetaan vanhan tilalle asiointipalvelun metadataan.
  2. Päivitetty metadata ladataan Palveluhallinnassa ja valmistaudutaan vaihtamaan varmenne asiointipalvelun päässä heti, kun Suomi.fi-tunnistuksen tuotantopäivitys on tehty.

Tuotantopäivitykset pyritään tekemään keskiviikkoisin noin kello 9. Asennuksen valmistumisesta tiedotetaan sähköpostitse.

Päivitetty: 17.3.2025

Oletko tyytyväinen tämän sivun sisältöön?