Gå direkt till innehållet.
Suomi.fi-identifikation

Byte av de SAML-certifikat som e-tjänsten använder

Suomi.fi-identifikation stöder två eller flera certifikat i e-tjänstens metadata. Certifikaten används som nyckelpar för att skapa ett förtroendeförhållande och certifikatens giltighetstid granskas inte. Om e-tjänsten har registrerat flera certifikat för kryptering, väljer Suomi.fi-identifikation slumpmässigt något av certifikate för kryptering av returmeddelandet.

E-tjänsten ska vara beredd på att häva svarsmeddelandena med alla 'encryption'- och med certifikat utan specifikationer oberoende av deras giltighetstid. Ett bra genomförandesätt är att sammanlänka granskningen av certifikaten så att om inget autentiseringssvar erhålls med det första certifikatet, försöker man med det andra och så vidare.

Utbyte av certifikat utan avbrott

Certifikatbytet kan genomföras utan avbrott eller nästan utan avbrott på två sätt.

Det första sättet är att använda transitmetadata, som består av tre faser.

  1. I Suomi.fi-identifikation registreras först det nya certifikatet vid sidan av det gamla (i metadata). När de nya metadata har tagits i bruk kan man i underskriften av begäran om autentisering övergå till att använda det nya certifikatet. Säkerställ att autentiseringssvaren också kan hävas med det gamla certifikatet.
  2. Registrera härnäst metadata för Suomi.fi-identifikation med bara det nya certifikatet.
  3. När nya metadata har tagits i bruk, tar ni bort stödet för det gamla certifikatet från e-tjänsten även i fråga om autentiseringssvar.

Det tredje skedet kan förbigås om man i det första skedet då man fastställer certifikatet använder specifikationen 'signing' för det gamla certifikatet. Det nya certifikatet utfärdas utan specifikationer. Då godkänner Suomi.fi-identifikation begäran om identifiering med båda certifikaten, men använder endast det nya certifikatet för kryptering av returmeddelandet.

Det andra sättet är att registrera ett nytt entityID och överföra trafiken till det vid en lämplig tidpunkt efter publiceringen. Det gamla entityID tas bort när trafiken har flyttats till det nya som har konstaterats fungera.

Att byta certifikat med avbrott

Om e-tjänsten inte stöder möjligheten att häva autentiseringssvaret med flera certifikat och det inte är möjligt att registrera ett parallellt entityID, ska bytet av certifikat i e-tjänsten skötas med ett avbrott:

  1. Det nya certifikatet läggs i stället för det gamla i e-tjänstens metadata.
  2. Uppdaterade metadata laddas ner i Serviceadministrationen och man förbereder sig på att byta certifikat i e-tjänstens ände genast när produktionsuppdateringen av Suomi.fi-identifikationen har gjorts.

Målet är att produktionsuppdateringar sker onsdagar cirka klockan 9. Information om att installationen är klar skickas per e-post.

Uppdaterad: 17.3.2025

Är du nöjd med innehållet på denna sida?