Informationsledens automatiskt förnyande certifikat

År 2026 förbereder man i Suomi.fi-informationsleden införandet av ACME-funktionen (Automated Certificate Management Environment), som möjliggör automatisk förnyelse av certifikat på anslutningsservern.

På denna sida ges en översikt av ACME-funktionen och dess konsekvenser för användare av Informationsleden. Mer detaljerade anvisningar för ibruktagande och konfiguration publiceras i takt med att omläggningen framskrider.

Vad innebär ACME?

Tekniska förändringar

Med hjälp av ACME kan anslutningsserverns befintliga autentiseringscertifikat (auth) och signeringscertifikat (sign) förnyas automatiskt via anslutningsserverns administrationsgränssnitt.

En anslutningsserver som har konfigurerats för att använda ACME förnyar sina certifikat automatiskt via Myndigheten för digitalisering och befolkningsdatas (MDB) ACME-tjänst innan certifikatens giltighetstid löper ut.

• Övergången till ACME har underlättats genom att giltighetstiden för organisationsspecifika signeringscertifikat (sign) år 2025 förlängdes till två år tills vidare i samband med deras nästa förnyelse.

I de ACME-anvisningar som publiceras senare kan man hänvisa till klientprogramvara (ACME client). Användare av Informationsleden behöver inte installera någon separat klient, eftersom nödvändig ACME-funktionalitet är integrerad i X-Road-programvaran.

• Obs! Om organisationen använder ACME-certifikat utfärdade av MDB även utanför Informationsleden kan en separat klientprogramvara behövas.
• Mer information om tjänsten och dess praxis finns på MDB:s webbplats: ACME | Myndigheten för digitalisering och befolkningsdataÖppnas i ett nytt fönster.. Sidan uppdateras i takt med att omläggningen framskrider.

Förändringar i underhållet

Användningen av ACME-certifikat förenklar underhållet av anslutningsservrar:

• Manuell förnyelse av certifikat försvinner.
• Man behöver inte längre manuellt övervaka tidtabellen för certifikatförnyelser.
• Risken för att certifikat förfaller och orsakar serviceavbrott minskar.

När en X-Road-version som stöder full automatisering används behöver administratörer av anslutningsservrar inte längre förnya certifikat manuellt.

Uppgifter för anslutningsserverns administratör efter införandet av ACME

Efter ibruktagandet ansvarar administratören för:

• övervakning av att certifikaten förnyas automatiskt
• uppföljning av ACME-kontots händelser och loggar i MDB:s e-tjänst
• att reagera på aviseringar (t.ex. e-post)
• att utreda eventuella problemsituationer
• att informera organisationens administrativa kontaktperson om förändringar

Vad krävs för att ta i bruk ACME

Det finns vissa centrala förutsättningar för att ta i bruk ACME. Här beskrivs på en allmän nivå vad införandet kräver. Mer detaljerade tekniska anvisningar publiceras senare.

Införandet av ACME förutsätter:

• registrering av ett ACME-konto i MDB:s e-tjänst
  → Se närmare anvisningar: (läggs till senare)
• aktivering av ACME-funktionalitet på anslutningsservrar samt konfiguration av anslutningsservern för användning av ACME
• nödvändiga nätverks- och portöppningar
• konfigurering av e-postaviseringar för uppföljning av ACME-händelser (aviseringar förmedlas via http-anslutning)

Hur man bör förbereda inför införandet av ACME

Nedan finns exempel på sådant som organisationen bör utreda och komma överens om före införandet av ACME.

Det rekommenderas att organisationens administrativa och tekniska ansvarspersoner planerar införandet tillsammans. För de uppgifter som listas nedan är det bra att utse ansvarspersoner. Organisationen beslutar själv om ansvarsfördelningen kring certifikathantering och vilka personer som ingår.

Administrativa uppgifter

Säkerställ att följande överenskoms inom organisationen:

• vem ansvarar för certifikathanteringen
• helheten i certifikatprocessen och ansvarsfördelningen
• tidplan för införandet av ACME
• praxis för uppföljning och underhåll av certifikat
• administrativa ansvar under användningen

Tekniska uppgifter

Säkerställ att:

• ett ACME-konto skapas för organisationen och att nödvändiga användare läggs till
• anslutningsservrar konfigureras för användning av ACME
• uppföljning av certifikat och händelser sker aktivt

ACME-stöd i olika X-Road-versioner

Följande information stödjer planeringen av införandet av ACME ur ett tekniskt perspektiv.

Införandet av ACME förutsätter att anslutningsservern använder minst X-Road version 7.5.1. Beakta detta vid planering av versionsuppdateringar.

• Testmiljön för informationsleden (FI-TEST) använder för närvarande version 7.6.2.
• Centralservermiljöerna kommer att uppdateras till en nyare X-Road-version under år 2026.

Vi meddelar separat när det blir möjligt att ta i bruk ACME.

Operativsystemkrav: X-Road 7.5.1

• Ubuntu 22.04 LTS eller 24.04 LTS
• Red Hat Enterprise Linux (RHEL) 8 eller 9

ACME-stöd i olika X-Road-versioner

• 7.5.0 – hämtning av certifikat med hjälp av ACME
• 7.6.0 – automatisk förnyelse av certifikat + e-postaviseringar
• 7.7.0 – automatisk aktivering av certifikat (full automatisering med ACME)

E-postaviseringar

Från och med X-Road version 7.6.0 kan e-postaviseringar tas i bruk, vilket gör att administratören får information till exempel om certifikat som håller på att löpa ut.

• Rekommendation: använd en gemensam funktionsbrevlåda (process-e-postadress)

Mer information

Tekniska frågor: palveluvayla@palveluvayla.fi
Allmänna frågor om införande: palveluvayla-kayttoonotot@dvv.fi