2011.07 - SK võttis kasutusele uue juursertifikaadi

SK võttis 2011. aasta 10. juulil kasutusele uue juursertifikaadi - EE Certification Centre Root CA ja läks üle uutele sertifitseerimisahelatele.

Miks muudatused toimuvad?

Seoses 2016. aasta suvel SK tipmise sertifikaadi „Juur-SK“ aegumisega ei ole võimalik alates käesolevast suvest antud sertifitseerimisahelast välja anda 5-aastaseid ID-kaardi sertifikaate. Tulenevalt sellest võtab SK kasutusele uue sertifitseerimisahela.

Milline on selle muudatuse mõju?

Antud muudatus puudutab kõiki ID-kaarti, Digi-ID ja Mobiil-ID sertifikaate kasutavaid süsteeme ehk kõiki infosüsteeme ja rakendusi, kus on võimalik ID-kaardi, Digi-ID või Mobiil-ID’ga autentida või digitaalallkirjastada. Samuti kõiki infosüsteeme, kus on võimalik kontrollida digitaalallkirjade kehtivust.

Millal hakatakse uutest ahelatest sertifikaate väljastama?

Uus juursertifikaat ja uued alamsertfitseerija sertifikaadid on olemas ja kättesaadavad SK kodulehel - www.sk.ee/certs ning vajalikud seadistused on võimalik infosüsteemides ette ära teha.

Esimesed ID-kaardi/Digi-ID/Mobiil-ID isikusertifikaadid väljastati uuest sertifitseerimisahelast 10. juuli 2011.

Mis juhtub kui uute sertifikaatide tuge ei ole lisatud?

Kui uued sertifikaadid on serveri konfiguratsiooni lisamata siis ei ole võimalik isikutel, kelle ID-kaart /Digi-ID kaart või Mobiil-ID sertifikaadid on toodetud pärast muudatuse rakendamist või kes on muudatuse rakendumise järgselt oma ID-kaardi sertifikaate uuendanud, vastavasse e-teenusesse autentida. Ühtlasi ei ole võimalik antud isikute poolt pärast muudatuste rakendamist antud digitaalallkirju kontrollida.

Millised on muudatused sertifikaatides?

Uutes sertifikaatides on tehtud ka muudatusi võrreldes praegustega. NB! Oluline on veenduda, et uued sertifikaadid ühilduvad teie infosüsteemiga.

  • Täpitähti sisaldavad lõppkasutaja sertifikaadid (nii ID-kaart, Digi-ID kui Mobiil-ID sertifikaadid) on senise UCS2 kodeeringu asemel UTF-8 kodeeringus
  • Sertifikaatide seerianumbrid on senisest pikemad. Varem kasutatud 4 baidiste seerianumbrite asemel on kasutusel 16 baidised.
  • Kõik uued sertifitseerimisteenused kasutavad ühist kehtivuskinnitusteenuse (OCSP) sertifikaati (SK OCSP RESPONDER 2011), mis on välja antud uue tipmise sertifikaadi (EE Certification Centre Root CA) poolt. Varasemalt oli igal sertifitseerimisteenusel eraldi oma kehtivuskinnituse sertifikaadid (nt. ESTEID-SK 2007 alt eraldi välja antud ESTEID-SK 2007 OCSP RESPONDER).

SK olemasoleva sertifitseerimisahela kirjelduse leiad siit ja uue sertifitseerimisahela kirjelduse leiad siit.

Kuidas saab testida?

Selleks, et saaksite testida sertifikaatides tehtud muudatuste mõju oma teenustele on võimalik SK-st tellida uute sertifikaatidega testkaarte. Testkaarte saab tellida SK kodulehel oleva vormi kaudu.

Oleme loonud .ddoc failid, mis on allkirjastatud uuest ahelast väljastatud sertifikaatidega ja kehtivuskinnitus on signeeritud SK OCSP RESPONDER 2011 sertifikaatiga. Nende failidega saate testida, kas teie digiallkirjastamise süsteemides, teekides, dokumendihaldussüsteemides on kõik vajalikud sertifikaadid korrektselt seadistatud.

Millised on uued sertifikaadid ja kust need saab?

Kõik SK sertifikaadid on allalaaditavad www.sk.ee/certs lehelt.

  • EE Certification Centre Root CA, kehtiv alates 30.10.2010 (see on uus SK tipmine sertifikaat)
  • ESTEID-SK 2011, kehtiv alates 18.03.2011 (Siit alt hakatakse väljastama ID-kaardi, digi-ID, Mobiil-ID ja elamisloakaardi sertifikaate)
  • EID-SK 2011, kehtiv alates 18.03.2011 (Siit alt hakatakse väljastama Omniteli Mobiil-ID sertifikaate)
  • SK OCSP RESPONDER 2011, kehtiv alates 18.03.2011 (Kõik uued sertifitseerimisteenused kasutavad ühist kehtivuskinnitusteenuse (OCSP) sertifikaati)

SK olemasoleva sertifitseerimisahela kirjelduse leiad siit ja uue sertifitseerimisahela kirjelduse leiad siit.

Mida peab tegema autentimist võimaldava infosüsteemi administraator?

ID-kaardiga isikutuvastuseks tuleb veebiserveritesse ja ID-kaardi autentimist kasutatavatesse rakendusserveritesse lisada LISAKS olemasolevatele sertifikaatidele kõigi uute sertifikaatide tugi. Uued sertifikaadid tuleb lisada aktsepteeritud sertifikaatide loetellu ning seadistada toimima ka uute CA-de poolt välja antud sertifikaatide kehtivuse kontroll kasutades selleks SK kehtivuskinnitusteenust (OCSP) või tühistusnimekirja (CRL) teenust.

Mõlema sertifitseerija - nii „ESTEID-SK 2011“ kui ka „EID-SK 2011“ puhul tuleks nende sertifitseerijate poolt välja antud sertifikaatide kehtivuse kontrolli päringute vastuseid verifitseerida „SK OCSP RESPONDER 2011“ sertifikaadiga. Näidiskonfiguratsiooni, kus on ka vajalikud täiendused seoses uute sertifikaatidega seadistatud, võib näha OCSP PHP näidisklientrakendusest.

Lisaks tuleb uued sertifikaadid seadistada muudesse süsteemidesse mis ID-kaardi sertifikaate kasutavad (VPN-i kliendid, arvutivõrku logimise lahendused).

Kui varasemalt oli osades süsteemides (nt. Microsofti Windowsi sertifikaadihoidla) Juur-SK sertifikaat automaatselt olemas, siis lisaks teenussertifikaatidele ja kehtivuskinnituse sertifikaadile tuleb süsteemi seadistada käsitsi ka uus juursertifikaat (EE Certification Centre Root CA).

Juhendid:

Mida peab tegema DigiDoc teekide kasutaja?

Digidoc-i Java ja C-teegi kasutajad peavad lisama teegi poolt kasutatavasse sertifikaatide kataloogi järgmised sertifikaadid: „EE Certification Centre Root CA“, „ESTEID-SK 2011“, „EID-SK 2011“ ning „SK OCSP RESPONDER 2011“, vajadusel võib lisada ka uued test-sertifikaadid „TEST of EE Certification Centre Root CA“ – saadaval kõik lehelt www.sk.ee/certs. Seejärel on tarvis lisada viited nendele sertifikaatidele ka teekide konfiguratsioonifailidesse.

Uued sertifikaadid ning vajalikud konfiguratsioonimuudatused on lisatud ka C-teegi ja JDigiDoc teegi viimastesse pakkidesse.

DigiDoc COM teegi kasutajatel on võimalik saada uuendatud teek kasutaja arvutisse laadides SK DigiDoc Clienti versiooni 2.7.11, mis on kättesaadav http://installer.id.ee/media/DigiDoc.msi.

Mida peab tegema DigiDocService veebiteenuse kasutaja?

DigiDocService veebiteenusesse lisab SK ise uued sertifikaadid ning seetõttu DigiDocService kasutajad ei pea oma infosüsteemis mingeid muudatusi tegema.

Milline on muudatuse mõju tavakasutajale?

Uute sertifikaatidega digitaalallkirja andmiseks DigiDoc klient tarkvaraga ja uute sertifikaatidega antud digitaalallkirjade kontrollimiseks on vajalik uuendada lõppkasutaja arvutis olevat ID-kaardi baastarkvara.

http://installer.id.ee lehelt on kättesaadav ID-tarkvara versioon (Windows, Mac ja Linux op. süsteemid), mis paigaldab automaatselt kasutaja arvutisse kõik vajalikud uued sertifikaadid. Lõppkasutaja arvutis rohkem mingeid seadistusi tegema ei pea, vajalik on vaid tarkvara uuendamine minimaalselt versioonile 3.4.

Kui tarkvara ei uuendata, siis ei ole võimalik kontrollida uuest ahelast väljastatud sertifikaatidega antud allkirjade kehtivust. Testimiseks saab kasutada eelpool nimetatud faile.

Need, kes kasutavad SK digiallkirjastamise tarkvara ehk DigiDoc Clienti, peaksid uuendama versioonile 2.7.11, mis paigaldab samuti kõik uued sertifikaadid. DigiDoc Client 2.7.11 on samuti kättesaadav http://installer.id.ee lehelt või otselingina http://installer.id.ee/media/DigiDoc.msi .

Kui mul on küsimusi, kust ma saan lisainfot?

Kõik antud muudatust puudutavad lisaküsimused saatke aadressile support[at]sk.ee.


KÜSI ABI

Kui sa ei leidnud oma küsimusele vastust, kirjuta meie meeskonnale.



  • Vaata juhendit
  • Hinda oma arvutikasutusoskust, et saaksime anda paremaid juhiseid

         

  • Kontroll ebaõnnestus

Kuidas saame artiklit parandada, et sellest rohkem abi oleks?
Saada Sulge