TEOPKI - T2 TEO:n CA-malli ja varmenteiden tietosisältö

Transkriptio

1 TEOPKI-MÄÄRITYS TEOPKI - T2 TEO:n CA-malli ja varmenteiden tietosisältö v0.95 Terveydenhuollon oikeusturvakeskus (TEO) Varmennepalvelut PL Helsinki Suomi

2 TEOPKI - T2 /v0.95 i Tekijät Nimi Nimikirjaimet Organisaatio Sähköposti Antti Partanen AP Valvira antti.partanen@valvira.fi Antti Partanen AP TEO antti.partanen@teo.fi Versiohistoria Versio Pvm Tekijä Muutokset ja huomautukset Tila AP Versionumero- ja dokumenttiviittauspäivitykset, muutoksia palvelinvarmenteen määrittelyyn, päivitetty varmenne-esimerkit, päivitetty sulkulistaesimerkki, muutettu termin yksilöintitunnus tilalle rekisteröintinumero, poistettu kaikista henkilöallekirjoitusvarmenteista viittaukset sähköpostiosoitteeseen, tekstikorjauksia ja selvennyksiä Luonnos AP Versionumero- ja dokumenttiviittauspäivitykset, muutoksia palvelinvarmenteen määrittelyyn, järjestelmäallekirjoitusvarmenteen avainpituus oltava 2048 bittiä, tekstikorjauksia ja selvennyksiä Luonnos (ei julkaistu) AP Ensimmäinen julkinen versio Luonnos

3 TEOPKI - T2 /v0.95 ii Sisällys 1. Esipuhe TEO-varmenteet Lähdeaineistot TEO-varmennehierarkia (CA-malli) TEO:n varmentajan varmenteet Terveydenhuollon ammattihenkilöiden varmenteet Terveydenhuollon muun henkilöstön varmenteet Terveydenhuollon palveluvarmenteet Palveluiden antajien henkilötoimijoiden varmenteet Sulkulistat Esimerkit Juurivarmenne Varmentajan varmenne Todentamis- ja salausvarmenne (ammattihenkilö) Allekirjoitusvarmenne (ammattihenkilö) Todentamis- ja salausvarmenne (muu henkilöstö) Allekirjoitusvarmenne (muu henkilöstö) Palvelinvarmenne Järjestelmäallekirjoitusvarmenne Sähköpostipalveluvarmenne Sulkulista... 61

4 TEOPKI - T2 /v0.95 iii Lyhenteet Lyhenne Pitkä muoto Suomeksi AKI Authority Key Identifier Varmentajan avaimen tunniste ARL Authority Revocation List Varmentajan varmenteiden sulkulista CA Certification Authority Varmentaja CA Cert CA Certificate Varmentajan varmenne CDP CRL Distribution Point Sulkulistan julkaisupaikka CERT Certificate Varmenne Cert Extension Certificate Extension Varmennelaajennus CP Certificate Policy Varmennepolitiikka CPS Certification Practice Statement Varmennekäytäntö(lausuma) CRL Certificate Revocation List Sulkulista EKU Extended Key Usage Laajennettu avaimen käyttökohde OID Object IDentifier Objektin tai attribuutin yksilöivä tunnus PKI Public Key Infrastructure Julkisen avaimen infrastruktuuri PDS PKI Disclosure Statement Varmennekuvaus QC Qualified Certificate Laatuvarmenne QCP Qualified Certificate Profile ETSI laatuvarmenneprofiili ETSI TS QCS Qualified Certificate Statements Laatuvarmennelausumat RFC Request For Comments IETF:n määritys ( ROOT CA Root Certification Authority Juurivarmentaja ROOT Cert Root Certificate Juurivarmenne SKI Subject Key Identifier Varmennetun avaimen tunniste TEO/NAMA National Authority of Medicolegal Affairs TEOPKI Valtteri Terveydenhuollon oikeusturvakeskus TEO:n varmennepalveluinfrastruktuuri Valtakunnallinen terveydenhuollon varmennerekisteri Valvira National Supervisory Authority for Welfare and Health Sosiaali- ja terveysalan lupa- ja valvontavirasto

5 TEOPKI - T2 /v0.95 iv Sanasto Issuer Subject Varmenteen myöntäjä (CA) Varmenteen haltija/varmennettu kohde Mandatory Pakollinen tietokenttä varmenteessa Critical Optional Not used Kriittiseksi määritetty, pakollinen tietokenttä varmenteessa Valinnainen tietokenttä varmenteessa Määritetty tietokenttä jota ei kuitenkaan käytetä varmenteessa

6 TEOPKI - T2 / v0.95 1(1) 1. Esipuhe Kaikki TEOPKI-määritykset perustuvat kansainvälisiin ja kansallisiin standardeihin ja määrityksiin. Tämä dokumentti kuvaa TEO:n CA-mallin sekä TEO:n tuottaminen varmentajan varmenteiden, loppukäyttäjävarmenteiden sekä sulkulistojen tietosisällön. Julkiset TEOPKI-määritykset koostuvat: TEOPKI P1 - Varmennepolitiikka- ja käytäntölausuma-asiakirjat TEOPKI T2 TEO:n CA-malli ja varmenteiden tietosisältö, v0.95 TEOPKI T3 - Varmennehakemistomääritys, v0.95 TEOPKI T4 - Electronic Identity Application, vx.x TEOPKI T5 - TEOPKI-kortin siruprofiili, v0.95 TEOPKI-dokumentaatio on saatavilla osoitteesta: IETF PKIX -dokumentaatio on saatavilla osoitteesta: ETSI:n dokumentaatio on saatavilla osoitteesta: PKCS-määritykset ovat saatavilla osoitteesta: Kansallinen terveydenhuollon OID-koodistopalvelu on osoitteessa: JHS-suositukset ovat saatavilla osoitteesta:

7 TEOPKI - T2 / v0.95 2(2) 2. TEO-varmenteet Tämä dokumentti on kuvaa TEO:n varmennehierarkian sekä varmenteiden ja sulkulistojen tietosisällön. Varmenteet ja sulkulistat perustuvat kansainvälisiin standardeihin ja määrityksiin. Näitä ovat esimerkiksi IETF:n RFC-määritykset sekä ETSI:n standardit. Varmenteiden ja sulkulistojen osalta noudatetaan dokumentissa IETF RFC 3280 kuvattuja tietorakenteita. Laatuvarmenteiden osalta käytetään ETSI:n QClaajennuksia (extensions) jotka on kuvattu asiakirjassa ETSI Qualified Certificate profile specification ETSI TS Näiden lisäksi todentamisvarmenteissa käytetään Microsoft:n määrityksiin perustuvaa laajennusta jolla mahdollistetaan Windows Active Directory -verkkokirjautuminen. Yleisperiaatteena kaikissa varmenteiden tietokentissä käytetään ISO/IEC (Latin-1) merkistöä ja merkistökoodauksena joko PrintableString koodausta tai mikäli sen merkistö ei riitä, koodausta. Kaikki merkkijonot joissa esiintyy ns. skandinaavisia merkkejä koodataan UTF8-muodossa. Sähköpostiosoitteet sekä eräät muut laajennukset sisältävät IA5String ja VisibleString merkistöjen mukaisia merkkijonoja. Merkistökoodaus noudattaa IETF RFC 3280 määritystä. Henkilöiden, organisaatioiden, paikkakuntien sekä palveluiden nimet tallennetaan varmenteisiin pienillä kirjaimilla käyttäjen isoja alkukirjaimia (esim. Testilä Teppo, Terveydenhuollon oikeusturvakeskus, Kuopio ). Organisaatioiden nimilyhenteissä käytetään vakiintunutta kirjoitusasua, tyypillisesti isoja kirjaimia (esim. TEO, HUS, VSSHP ). Allekirjoitusvarmenteissa mainitut ammattinimikkeet suomeksi ja ruotsiksi tallennetaan pienillä kirjaimilla. Terveydenhuollon varmenteita käsittelevien järjestelmien ja ohjelmistojen on tuettava em. merkistökoodauksia. Kaikissa varmenteissa on viittaus myöntäjänsä sulkulistan sijaintipaikkaan. Sulkulistat sekä todentamis- ja salausvarmenteet julkaistaan TEO:n julkiseen varmennehakemistoon josta ne ovat vapaasti ladattavissa. Allekirjoitusvarmenteita ei julkaista varmennehakemistoon. Varmennehakemiston rakenne ja sisältö on kuvattu tarkemmin TEOPKI T3 varmennehakemistomäärityksessä. Kaikissa varmenteissa ja sulkulistoissa ajankohdat ilmaistaan UTC-koodattuina. Suomen paikallinen aika muodostetaan lisäämällä UTC-koodattuun ajankohtaan normaaliaikana kaksi tuntia ja kesäaikana kolme tuntia. Tässä asiakirjassa lyhennettä CA käytetään viitattaessa tietyntyyppisiä varmenteita tuottavaan CA-järjestelmän osaan (ns. looginen CA). CA-järjestelmä koostuu useista itsenäisistä CA:ista jotka on kuvattu kappaleessa 3. Jokaisella CA:lla on omat varmennepolitiikkansa.

8 TEOPKI - T2 / v0.95 3(3) 2.1. Lähdeaineistot IETF: RFC Internet X.509 Public Key Infrastructure: Certificate and Certificate Revocation List (CRL) Profile, April IETF: RFC Internet X.509 Public Key Infrastructure: Qualified Certificates Profile, March ETSI: Qualified Certificate profile specification ETSI TS V1.3.3., January Microsoft Corporation: Article KB Guidelines for enabling smart card logon with third-party certification authorities, Revision 5.3, February Juhta: JHS ISO OID-yksilöintitunnuksen soveltaminen julkishallinnossa, Maaliskuu Stakes: ISO OID-yksilöintitunnuksen käytön kansalliset periaatteet sosiaali- ja terveysalalla versio 1.0, Helmikuu

9 TEOPKI - T2 / v0.95 4(4) 3. TEO-varmennehierarkia (CA-malli) TEO CA-malli v1.1 CN=TEO Gov. Root CA OU=Varmennepalvelut O=TEO CA C=FI CN=TEO Professionals CA OU=Terveydenhuollon ammattivarmenne O=TEO CA C=FI CN=TEO Personnel CA OU=Terveydenhuollon henkilovarmenne O=TEO CA C=FI CN=TEO Assistant CA OU=Toimijavarmenne O=TEO CA C=FI Todentamis- ja salaus varmenne Todentamis- ja salaus varmenne Todentamis- ja salaus varmenne CN=TEO Services CA OU=Terveydenhuollon palveluvarmenne O=TEO CA C=FI Palvelinvarmenne (SSL/TLS) TEO Testi CA -malli v1.1 CN=TEO TEST Root CA OU=Varmennepalvelut O=TEO TEST C=FI CN=TEO TEST CA OU=Terveydenhuollon testivarmenne O=TEO TEST C=FI CN=TEO TEST Services CA OU=Terveydenhuollon testipalveluvarmenne O=TEO TEST C=FI Todentamis- ja salaus varmenne Sähköpostivarmenne Allekirjoitusvarmenne Allekirjoitusvarmenne Allekirjoitusvarmenne Järjestelmäallekirjoitusvarmenne Allekirjoitusvarmenne Palvelinvarmenne (SSL/TLS) Sähköpostivarmenne Järjestelmäallekirjoitusvarmenne

10 TEOPKI - T2 / v0.95 5(5) 3.1. TEO:n varmentajan varmenteet Juurivarmenteen tietosisältö: KENTTÄ SISÄLTÖ/ARVO KOODAUS KRIIT- TISYYS Varmenteen tyyppi self signed trust anchor X.509 v3 Sarjanumero 3AFA (15098) INTEGER Issuer commonname CN=TEO Gov. Root CA Printable organizationalunitname OU=Varmennepalvelut Printable organizationname O=TEO CA Printable countryname C=FI Printable Subject commonname CN=TEO Gov. Root CA Printable organizationalunitname OU=Varmennepalvelut Printable organizationname O=TEO CA Printable countryname C=FI Printable RSA-avain 2048 bittiä, exponentti BIT STRING Voimassaoloaika 21 vuotta Alkaa Z UTC Time Loppuu Z UTC Time Allekirjoitusalgoritmi sha1withrsaencryption Laajennukset basicconstraints CA=TRUE, maxpathlen=none critical keyusage 0x06 keycertsign, crlsign BIT STRING critical certificatepolicies CP-OID CPSuri unotice crldistributionpoints ldap://ldap.teo.fi:389/cn=teo%20gov.%20root %20CA,OU=Varmennepalvelut,O=TEO%20CA,C=FI?c ertificaterevocationlist ei varmenteessa ei varmenteessa authoritykeyidentifier sha1 (160 bittiä/20 tavua, AKI=SKI) subjectkeyidentifier sha1 (160 bittiä/20 tavua, SKI=AKI) VARMENTEEN TIIVISTE/FINGERPRINT MD5 SHA-1 D4:40:BD:1D:81:0A:E1:2D:67:19:2E:B7:33:AB:5E:94 1B:73:DC:88:75:DF:57:93:50:9C:97:B4:15:CC:5B:F3:C5:B8:34:A5

11 TEOPKI - T2 / v0.95 6(6) Terveydenhuollon ammattihenkilöiden varmentajan varmenteen tietosisältö: KENTTÄ SISÄLTÖ/ARVO KOODAUS KRIIT- TISYYS Varmenteen tyyppi 2 X.509 v3 Sarjanumero 552F (21807) INTEGER Issuer commonname CN=TEO Gov. Root CA Printable organizationalunitname OU=Varmennepalvelut Printable organizationname O=TEO CA Printable countryname C=FI Printable Subject commonname CN=TEO Professionals CA Printable organizationalunitname OU=Terveydenhuollon ammattivarmenne Printable organizationname O=TEO CA Printable countryname C=FI Printable RSA-avain 2048 bittiä, exponentti BIT STRING Voimassaoloaika 16 vuotta Alkaa Z UTC Time Loppuu Z UTC Time Allekirjoitusalgoritmi sha1withrsaencryption Laajennukset basicconstraints CA=TRUE, maxpathlen=0 critical keyusage 0x06 keycertsign, crlsign BIT STRING critical certificatepolicies CPS-OID CPSuri unotice crldistributionpoints Varmennepolitiikka on saatavilla ldap://ldap.teo.fi:389/cn=teo%20gov.%20root %20CA,OU=Varmennepalvelut,O=TEO%20CA,C=FI?c ertificaterevocationlist OID IA5String Visible String Root:n julkaisema CDP-url authoritykeyidentifier sha1 (160 bittiä/20 tavua, Root:n SKI) subjectkeyidentifier sha1 (160 bittiä/20 tavua) authorityinfoaccess caissuers ldap://ldap.teo.fi:389/cn=teo%20gov.%20root %20CA,OU=Varmennepalvelut,O=TEO%20CA,C=FI?c ACertificate Juurivarmenteen sijainti VARMENTEEN TIIVISTE/FINGERPRINT MD5 SHA-1 B7:45:8A:3E:0F:1D:9C:AE:50:8E:EE:02:8E:3C:98:BB CD:90:80:3E:6E:E0:E2:AC:2F:3C:76:D3:0A:F3:0A:11:A9:60:5C:1F

12 TEOPKI - T2 / v0.95 7(7) Terveydenhuollon muun henkilöstön varmentajan varmenteen tietosisältö: KENTTÄ SISÄLTÖ/ARVO KOODAUS KRIIT- TISYYS Varmenteen tyyppi 2 X.509 v3 Sarjanumero 60F8 (24824) INTEGER Issuer commonname CN=TEO Gov. Root CA Printable organizationalunitname OU=Varmennepalvelut Printable organizationname O=TEO CA Printable countryname C=FI Printable Subject commonname CN=TEO Personnel CA Printable organizationalunitname OU=Terveydenhuollon henkilovarmenne Printable organizationname O=TEO CA Printable countryname C=FI Printable RSA-avain 2048 bittiä, exponentti BIT STRING Voimassaoloaika 16 vuotta Alkaa Z UTC Time Loppuu Z UTC Time Allekirjoitusalgoritmi sha1withrsaencryption Laajennukset basicconstraints CA=TRUE, maxpathlen=0 critical keyusage 0x06 keycertsign, crlsign BIT STRING critical certificatepolicies CPS-OID CPSuri unotice crldistributionpoints Varmennepolitiikka on saatavilla ldap://ldap.teo.fi:389/cn=teo%20gov.%20root %20CA,OU=Varmennepalvelut,O=TEO%20CA,C=FI?c ertificaterevocationlist OID IA5String Visible String Root:n julkaisema CDP-url authoritykeyidentifier sha1 (160 bittiä/20 tavua, Root:n SKI) subjectkeyidentifier sha1 (160 bittiä/20 tavua) authorityinfoaccess caissuers ldap://ldap.teo.fi:389/cn=teo%20gov.%20root %20CA,OU=Varmennepalvelut,O=TEO%20CA,C=FI?c ACertificate Juurivarmenteen sijainti VARMENTEEN TIIVISTE/FINGERPRINT MD5 SHA-1 8C:AA:87:CB:78:FB:EE:84:D9:12:04:A5:B5:92:D6:61 9A:43:74:70:60:1E:E2:79:A8:56:81:5C:D4:20:63:20:B5:43:23:BC

13 TEOPKI - T2 / v0.95 8(8) Terveydenhuollon palveluvarmenteiden varmentajan varmenteen tietosisältö: KENTTÄ SISÄLTÖ/ARVO KOODAUS KRIIT- TISYYS Varmenteen tyyppi 2 X.509 v3 Sarjanumero 6673 (26227) INTEGER Issuer commonname CN=TEO Gov. Root CA Printable organizationalunitname OU=Varmennepalvelut Printable organizationname O=TEO CA Printable countryname C=FI Printable Subject commonname CN=TEO Services CA Printable organizationalunitname OU=Terveydenhuollon palveluvarmenne Printable organizationname O=TEO CA Printable countryname C=FI Printable RSA-avain 2048 bittiä, exponentti BIT STRING Voimassaoloaika 16 vuotta Alkaa Z UTC Time Loppuu Z UTC Time Allekirjoitusalgoritmi sha1withrsaencryption Laajennukset basicconstraints CA=TRUE, maxpathlen=0 critical keyusage 0x06 keycertsign, crlsign BIT STRING critical certificatepolicies CPS-OID CPSuri unotice crldistributionpoints Varmennepolitiikka on saatavilla ldap://ldap.teo.fi:389/cn=teo%20gov.%20root %20CA,OU=Varmennepalvelut,O=TEO%20CA,C=FI?c ertificaterevocationlist OID IA5String Visible String Root:n julkaisema CDP-url authoritykeyidentifier sha1 (160 bittiä/20 tavua, Root:n SKI) subjectkeyidentifier sha1 (160 bittiä/20 tavua) authorityinfoaccess caissuers ldap://ldap.teo.fi:389/cn=teo%20gov.%20root %20CA,OU=Varmennepalvelut,O=TEO%20CA,C=FI?c ACertificate Juurivarmenteen sijainti VARMENTEEN TIIVISTE/FINGERPRINT MD5 SHA-1 DB:5D:E4:95:70:7C:D8:8A:BC:00:D4:29:34:9E:97:15 95:6B:50:1C:3F:C2:67:A6:C4:18:C0:31:4A:3E:27:11:3A:E1:A2:65

14 TEOPKI - T2 / v0.95 9(9) Palveluiden antajien henkilötoimijoiden varmentajan varmenteen tietosisältö: KENTTÄ SISÄLTÖ/ARVO KOODAUS KRIIT- TISYYS Varmenteen tyyppi 2 X.509 v3 Sarjanumero 7655 (30293) INTEGER Issuer commonname CN=TEO Gov. Root CA Printable organizationalunitname OU=Varmennepalvelut Printable organizationname O=TEO CA Printable countryname C=FI Printable Subject commonname CN=TEO Assistant CA Printable organizationalunitname OU=Toimijavarmenne Printable organizationname O=TEO CA Printable countryname C=FI Printable RSA-avain 2048 bittiä, exponentti BIT STRING Voimassaoloaika 16 vuotta Alkaa Z UTC Time Loppuu Z UTC Time Allekirjoitusalgoritmi sha1withrsaencryption Laajennukset basicconstraints CA=TRUE, maxpathlen=0 critical keyusage 0x06 keycertsign, crlsign BIT STRING critical certificatepolicies CPS-OID CPSuri unotice crldistributionpoints Varmennepolitiikka on saatavilla ldap://ldap.teo.fi:389/cn=teo%20gov.%20root %20CA,OU=Varmennepalvelut,O=TEO%20CA,C=FI?c ertificaterevocationlist OID IA5String Visible String Root:n julkaisema CDP-url authoritykeyidentifier sha1 (160 bittiä/20 tavua, Root:n SKI) subjectkeyidentifier sha1 (160 bittiä/20 tavua) authorityinfoaccess caissuers ldap://ldap.teo.fi:389/cn=teo%20gov.%20root %20CA,OU=Varmennepalvelut,O=TEO%20CA,C=FI?c ACertificate Juurivarmenteen sijainti VARMENTEEN TIIVISTE/FINGERPRINT MD5 SHA-1 1C:8E:EE:9F:5A:4E:91:90:11:61:24:52:53:24:6E:75 93:32:27:74:62:0B:3F:32:96:D8:84:9E:93:02:B9:63:DD:28:C7:D7

15 TEOPKI - T2 / v (10) Testijuurivarmenteen tietosisältö: KENTTÄ SISÄLTÖ/ARVO KOODAUS KRIIT- TISYYS Varmenteen tyyppi self signed trust anchor X.509 v3 Sarjanumero 21AE (8622) INTEGER Issuer commonname CN=TEO TEST Root CA Printable organizationalunitname OU=Varmennepalvelut Printable organizationname O=TEO TEST Printable countryname C=FI Printable Subject commonname CN=TEO TEST Root CA Printable organizationalunitname OU=Varmennepalvelut Printable organizationname O=TEO TEST Printable countryname C=FI Printable RSA-avain 2048 bittiä, exponentti BIT STRING Voimassaoloaika 21 vuotta Alkaa Z UTC Time Loppuu Z UTC Time Allekirjoitusalgoritmi sha1withrsaencryption Laajennukset basicconstraints CA=TRUE, maxpathlen=none critical keyusage 0x06 keycertsign, crlsign BIT STRING critical certificatepolicies CP-OID CPSuri unotice crldistributionpoints ldap://ldap.teo.fi:389/cn=teo%20test%20root %20CA,OU=Varmennepalvelut,O=TEO%20TEST,C=FI?certificateRevocationList ei varmenteessa ei varmenteessa authoritykeyidentifier sha1 (160 bittiä/20 tavua, AKI=SKI) subjectkeyidentifier sha1 (160 bittiä/20 tavua, SKI=AKI) VARMENTEEN TIIVISTE/FINGERPRINT MD5 SHA-1 6D:BC:C1:7E:6D:05:5F:97:A0:6A:06:5C:54:E6:A9:C9 27:34:06:9B:09:45:E9:4A:86:65:5C:09:2B:60:D3:58:EF:14:37:05

16 TEOPKI - T2 / v (11) Testihenkilövarmenteiden varmentajan varmenteen tietosisältö: KENTTÄ SISÄLTÖ/ARVO KOODAUS KRIIT- TISYYS Varmenteen tyyppi 2 X.509 v3 Sarjanumero 4EAC (20140) INTEGER Issuer commonname CN=TEO TEST Root CA Printable organizationalunitname OU=Varmennepalvelut Printable organizationname O=TEO TEST Printable countryname C=FI Printable Subject commonname CN=TEO TEST CA Printable organizationalunitname OU=Terveydenhuollon testivarmenne Printable organizationname O=TEO TEST Printable countryname C=FI Printable RSA-avain 2048 bittiä, exponentti BIT STRING Voimassaoloaika 16 vuotta Alkaa Z UTC Time Loppuu Z UTC Time Allekirjoitusalgoritmi sha1withrsaencryption Laajennukset basicconstraints CA=TRUE, maxpathlen=0 critical keyusage 0x06 keycertsign, crlsign BIT STRING critical certificatepolicies CPS-OID CPSuri unotice crldistributionpoints Varmennepolitiikka on saatavilla ldap://ldap.teo.fi:389/cn=teo%20test%20root %20CA,OU=Varmennepalvelut,O=TEO%20TEST,C=FI?certificateRevocationList OID IA5String Visible String Root:n julkaisema CDP-url authoritykeyidentifier sha1 (160 bittiä/20 tavua, Root:n SKI) subjectkeyidentifier sha1 (160 bittiä/20 tavua) authorityinfoaccess caissuers ldap://ldap.teo.fi:389/cn=teo%20test%20root %20CA,OU=Varmennepalvelut,O=TEO%20TEST,C=FI?cACertificate Juurivarmenteen sijainti VARMENTEEN TIIVISTE/FINGERPRINT MD5 SHA-1 51:CC:89:9C:6F:75:5F:A7:5F:D7:EF:43:8E:58:AF:06 C9:31:64:6E:95:79:40:47:78:74:1D:97:83:18:A7:5C:93:6D:65:F7

17 TEOPKI - T2 / v (12) Testipalveluvarmenteiden varmentajan varmenteen tietosisältö: KENTTÄ SISÄLTÖ/ARVO KOODAUS KRIIT- TISYYS Varmenteen tyyppi 2 X.509 v3 Sarjanumero 457B (17787) INTEGER Issuer commonname CN=TEO TEST Root CA Printable organizationalunitname OU=Varmennepalvelut Printable organizationname O=TEO TEST Printable countryname C=FI Printable Subject commonname CN=TEO TEST Services CA Printable organizationalunitname OU=Terveydenhuollon testipalveluvarmenne Printable organizationname O=TEO TEST Printable countryname C=FI Printable RSA-avain 2048 bittiä, exponentti BIT STRING Voimassaoloaika 16 vuotta Alkaa Z UTC Time Loppuu Z UTC Time Allekirjoitusalgoritmi sha1withrsaencryption Laajennukset basicconstraints CA=TRUE, maxpathlen=0 critical keyusage 0x06 keycertsign, crlsign BIT STRING critical certificatepolicies CPS-OID CPSuri unotice crldistributionpoints Varmennepolitiikka on saatavilla ldap://ldap.teo.fi:389/cn=teo%20test%20root %20CA,OU=Varmennepalvelut,O=TEO%20TEST,C=FI?certificateRevocationList OID IA5String Visible String Root:n julkaisema CDP-url authoritykeyidentifier sha1 (160 bittiä/20 tavua, Root:n SKI) subjectkeyidentifier sha1 (160 bittiä/20 tavua) authorityinfoaccess caissuers ldap://ldap.teo.fi:389/cn=teo%20test%20root %20CA,OU=Varmennepalvelut,O=TEO%20TEST,C=FI?cACertificate Juurivarmenteen sijainti VARMENTEEN TIIVISTE/FINGERPRINT MD5 SHA-1 45:C4:21:CF:F3:CC:9C:F4:75:B9:22:16:58:D8:56:2D 38:01:CD:2F:2A:F7:F2:0E:07:68:EC:B9:7F:71:F2:D0:B9:69:51:82

18 TEOPKI - T2 / v (13) 3.2. Terveydenhuollon ammattihenkilöiden varmenteet Todentamis- ja salausvarmenne: KENTTÄ SISÄLTÖ/ARVO KOODAUS KRIIT- TISYYS Varmenteen tyyppi 2 X.509 v3 Sarjanumero CA:n antama yksilöivä numero INTEGER Issuer commonname CN=TEO Professionals CA Printable organizationalunitname OU=Terveydenhuollon ammattivarmenne Printable organizationname O=TEO CA Printable countryname C=FI Printable Subject commonname CN=Sukunimi Etunimi rekisteröintinumero Printable/ surname SN=Sukunimi (virallinen) Printable/ givenname GN=Etunimi (yksi virallisista etunimistä) Printable/ serialnumber TEO:n antama rekisteröintinumero (Terhikkireknro), 11 merkkiä Printable countryname C=FI Printable RSA-avain 1024 tai 2048 bittiä, exponentti BIT STRING Voimassaoloaika 5 vuotta (tai lyhyempi määräaika) Alkaa vvkkppttmmssz UTC Time Loppuu vvkkpp215959z UTC Time Allekirjoitusalgoritmi sha1withrsaencryption Laajennukset basicconstraints CA=FALSE, maxpathlen=none critical keyusage extendedkeyusage certificatepolicies CPS-OID CPSuri unotice 0xB0 digitalsignature, keyencipherment, dataencipherment Client Authentication Protection Smartcard Logon vuosi.kk Varmennepolitiikka on saatavilla subjectaltname ntprincipalname - rekisteröintinumero@teonet.fi rfc822name[1] - sähköpostiosoite crldistributionpoints ldap://ldap.teo.fi:389/cn=teo%20professiona ls%20ca,ou=terveydenhuollon%20ammattivarmen ne,o=teo%20ca,c=fi?certificaterevocationlis t BIT STRING OID IA5String Visible String IA5String CA:n julkaisema CDP-url critical not used

19 TEOPKI - T2 / v (14) authoritykeyidentifier sha1 (160 bittiä/20 tavua, CA:n SKI) subjectkeyidentifier sha1 (160 bittiä/20 tavua) authorityinfoaccess caissuers ldap://ldap.teo.fi:389/cn=teo%20professiona ls%20ca,ou=terveydenhuollon%20ammattivarmen ne,o=teo%20ca,c=fi?cacertificate Varmentajan varmenteen sijainti Allekirjoitusvarmenne: KENTTÄ SISÄLTÖ/ARVO KOODAUS KRIIT- TISYYS Varmenteen tyyppi 2 X.509 v3 Sarjanumero CA:n antama yksilöivä numero INTEGER Issuer commonname CN=TEO Professionals CA Printable organizationalunitname OU=Terveydenhuollon ammattivarmenne Printable organizationname O=TEO CA Printable countryname C=FI Printable Subject commonname CN=Sukunimi Etunimi rekisteröintinumero Printable/ surname SN=Sukunimi (virallinen) Printable/ givenname GN=Etunimi (yksi virallisista etunimistä) Printable/ serialnumber title pseudonym TEO:n antama rekisteröintinumero (Terhikkireknro), 11 merkkiä Ammattioikeusnimike (AmHakoodi+suomeksi,ruotsiksi) Esimerkki: 035 erikoishammaslääkäri, specialtandläkare SV-numero (lääkäreiden varmenteissa) Esimerkki: Printable Printable/ Printable optional countryname C=FI Printable RSA-avain 2048 bittiä, exponentti BIT STRING Voimassaoloaika 5 vuotta (tai lyhyempi määräaika) Alkaa vvkkppttmmssz UTC Time Loppuu vvkkpp215959z UTC Time Allekirjoitusalgoritmi sha1withrsaencryption Laajennukset basicconstraints CA=FALSE, maxpathlen=none critical keyusage 0x40 nonrepudiation BIT STRING critical certificatepolicies CPS-OID CPSuri unotice vuosi.kk Varmennepolitiikka on saatavilla OID IA5String Visible String crldistributionpoints ldap://ldap.teo.fi:389/cn=teo%20professiona CA:n

20 TEOPKI - T2 / v (15) ls%20ca,ou=terveydenhuollon%20ammattivarmen ne,o=teo%20ca,c=fi?certificaterevocationlis t julkaisema CDP-url authoritykeyidentifier sha1 (160 bittiä/20 tavua, CA:n SKI) subjectkeyidentifier sha1 (160 bittiä/20 tavua) authorityinfoaccess caissuers ldap://ldap.teo.fi:389/cn=teo%20professiona ls%20ca,ou=terveydenhuollon%20ammattivarmen ne,o=teo%20ca,c=fi?cacertificate Varmentajan varmenteen sijainti Niissä allekirjoitusvarmenteissa jotka täyttävät laatuvarmenteiden myöntämiselle asetetut vaatimukset on edellä mainittujen laajennusten lisäksi laatuvarmenteesta kertova laajennus: qcstatements qccompliance (esi4-qcstatement-1) Muita laatuvarmennelausumalaajennuksia ei käytetä. Lisätietoja laatuvarmenneprofiilista löytyy ETSI:n julkaisusta Qualified Certificate profile specification ETSI TS V1.3.3 Laatuvarmenteiden myöntämistä Suomessa säätelee Laki sähköisistä allekirjoituksista (14/2003) sekä laatuvarmentajien toimintaa ohjaavan ja valvovan Viestintäviraston määräykset ja suositukset.

21 TEOPKI - T2 / v (16) 3.3. Terveydenhuollon muun henkilöstön varmenteet Todentamis- ja salausvarmenne: KENTTÄ SISÄLTÖ/ARVO KOODAUS KRIIT- TISYYS Varmenteen tyyppi 2 X.509 v3 Sarjanumero CA:n antama yksilöivä numero INTEGER Issuer commonname CN=TEO Personnel CA Printable organizationalunitname OU=Terveydenhuollon henkilovarmenne Printable organizationname O=TEO CA Printable countryname C=FI Printable Subject commonname CN=Sukunimi Etunimi rekisteröintinumero Printable/ surname SN=Sukunimi (virallinen) Printable/ givenname GN=Etunimi (yksi virallisista etunimistä) Printable/ serialnumber TEO:n antama rekisteröintinumero, 11 merkkiä Printable organizationalunitname OU=Organisaatioyksikön nimi Printable/ organizationname O=Organisaation nimi Printable/ optional countryname C=FI Printable RSA-avain 1024 tai 2048 bittiä, exponentti BIT STRING Voimassaoloaika 5 vuotta (tai lyhyempi määräaika) Alkaa vvkkppttmmssz UTC Time Loppuu vvkkpp215959z UTC Time Allekirjoitusalgoritmi sha1withrsaencryption Laajennukset basicconstraints CA=FALSE, maxpathlen=none critical keyusage extendedkeyusage certificatepolicies CPS-OID CPSuri unotice 0xB0 digitalsignature, keyencipherment, dataencipherment Client Authentication Protection Smartcard Logon vuosi.kk Varmennepolitiikka on saatavilla subjectaltname ntprincipalname - rekisteröintinumero@teonet.org rfc822name[1] - sähköpostiosoite BIT STRING OID IA5String Visible String IA5String critical optional

22 TEOPKI - T2 / v (17) crldistributionpoints ldap://ldap.teo.fi:389/cn=teo%20personnel%2 0CA,OU=Terveydenhuollon%20henkilovarmenne,O =TEO%20CA,C=FI?certificateRevocationList CA:n julkaisema CDP-url authoritykeyidentifier sha1 (160 bittiä/20 tavua, CA:n SKI) subjectkeyidentifier sha1 (160 bittiä/20 tavua) authorityinfoaccess caissuers ldap://ldap.teo.fi:389/cn=teo%20personnel%2 0CA,OU=Terveydenhuollon%20henkilovarmenne,O =TEO%20CA,C=FI?cACertificate Varmentajan varmenteen sijainti Allekirjoitusvarmenne: KENTTÄ SISÄLTÖ/ARVO KOODAUS KRIIT- TISYYS Varmenteen tyyppi 2 X.509 v3 Sarjanumero CA:n antama yksilöivä numero INTEGER Issuer commonname CN=TEO Personnel CA Printable organizationalunitname OU=Terveydenhuollon henkilovarmenne Printable organizationname O=TEO CA Printable countryname C=FI Printable Subject commonname CN=Sukunimi Etunimi rekisteröintinumero Printable/ surname SN=Sukunimi (virallinen) Printable/ givenname GN=Etunimi (yksi virallisista etunimistä) Printable/ serialnumber TEO:n antama rekisteröintinumero, 11 merkkiä Printable title Ammatti/Virka/Asema (998+suomeksi,ruotsiksi) Esimerkki: 998 järjestelmäasiantuntija, system specialist Printable/ organizationalunitname OU=Organisaatioyksikön nimi Printable/ organizationname O=Organisaation nimi Printable/ optional optional countryname C=FI Printable RSA-avain 2048 bittiä, exponentti BIT STRING Voimassaoloaika 5 vuotta (tai lyhyempi määräaika) Alkaa vvkkppttmmssz UTC Time Loppuu vvkkpp215959z UTC Time Allekirjoitusalgoritmi sha1withrsaencryption Laajennukset basicconstraints CA=FALSE, maxpathlen=none critical keyusage 0x40 nonrepudiation BIT STRING critical certificatepolicies CPS-OID vuosi.kk OID

23 TEOPKI - T2 / v (18) CPSuri IA5String unotice crldistributionpoints Varmennepolitiikka on saatavilla ldap://ldap.teo.fi:389/cn=teo%20personnel%2 0CA,OU=Terveydenhuollon%20henkilovarmenne,O =TEO%20CA,C=FI?certificateRevocationList Visible String CA:n julkaisema CDP-url authoritykeyidentifier sha1 (160 bittiä/20 tavua, CA:n SKI) subjectkeyidentifier sha1 (160 bittiä/20 tavua) authorityinfoaccess caissuers ldap://ldap.teo.fi:389/cn=teo%20personnel%2 0CA,OU=Terveydenhuollon%20henkilovarmenne,O =TEO%20CA,C=FI?cACertificate Varmentajan varmenteen sijainti Niissä allekirjoitusvarmenteissa jotka täyttävät laatuvarmenteiden myöntämiselle asetetut vaatimukset on edellä mainittujen laajennusten lisäksi laatuvarmenteesta kertova laajennus: qcstatements qccompliance (esi4-qcstatement-1) Muita laatuvarmennelausumalaajennuksia ei käytetä. Lisätietoja laatuvarmenneprofiilista löytyy ETSI:n julkaisusta Qualified Certificate profile specification ETSI TS V1.3.3 Laatuvarmenteiden myöntämistä Suomessa säätelee Laki sähköisistä allekirjoituksista (14/2003) sekä laatuvarmentajien toimintaa ohjaavan ja valvovan Viestintäviraston määräykset ja suositukset.

24 TEOPKI - T2 / v (19) 3.4. Terveydenhuollon palveluvarmenteet Palvelinvarmenne: KENTTÄ SISÄLTÖ/ARVO KOODAUS KRIIT- TISYYS Varmenteen tyyppi X.509 v3 Sarjanumero CA:n antama yksilöivä numero INTEGER Issuer commonname CN=TEO Services CA Printable organizationalunitname OU=Terveydenhuollon palveluvarmenne Printable organizationname O=TEO CA Printable countryname C=FI Printable Subject commonname CN=dns-nimi tai ip-osoite Printable serialnumber Organisaation (terveydenhuollon palvelujen antajan, apteekin, valtakunnallisen tietojärjestelmäpalvelun ylläpitäjän, tms.) yksilöivä OID-tunniste Printable organizationalunitname OU=Organisaatioyksikön nimi Printable/ organizationname O=Organisaation nimi Printable/ optional countryname C=FI Printable RSA-avain 1024 tai 2048 bittiä, exponentti BIT STRING Voimassaoloaika 1-5 vuotta Alkaa vvkkppttmmssz UTC Time Loppuu vvkkpp215959z UTC Time Allekirjoitusalgoritmi sha1withrsaencryption Laajennukset basicconstraints CA=FALSE, maxpathlen=none critical keyusage 0xA0 digitalsignature, keyencipherment BIT STRING critical certificatepolicies CPS-OID CPSuri unotice vuosi.kk Varmennepolitiikka on saatavilla OID IA5String Visible String subjectaltname rfc822name[1] - sähköpostiosoite IA5String optional crldistributionpoints ldap://ldap.teo.fi:389/cn=teo%20services%20 CA,OU=Terveydenhuollon%20palveluvarmenne,O= TEO%20CA,C=FI?certificateRevocationList CA:n julkaisema CDP-url authoritykeyidentifier sha1 (160 bittiä/20 tavua, CA:n SKI) subjectkeyidentifier sha1 (160 bittiä/20 tavua) authorityinfoaccess caissuers ldap://ldap.teo.fi:389/cn=teo%20services%20 CA,OU=Terveydenhuollon%20palveluvarmenne,O= TEO%20CA,C=FI?cACertificate Varmentajan varmenteen sijainti

25 TEOPKI - T2 / v (20) Järjestelmäallekirjoitusvarmenne: KENTTÄ SISÄLTÖ/ARVO KOODAUS KRIIT- TISYYS Varmenteen tyyppi X.509 v3 Sarjanumero CA:n antama yksilöivä numero INTEGER Issuer commonname CN=TEO Services CA Printable organizationalunitname OU=Terveydenhuollon palveluvarmenne Printable organizationname O=TEO CA Printable countryname C=FI Printable Subject commonname CN=palvelun/palvelimen tyyppi Printable serialnumber Organisaation (terveydenhuollon palvelujen antajan, apteekin, valtakunnallisen tietojärjestelmäpalvelun ylläpitäjän, tms.) yksilöivä OID-tunniste Printable organizationalunitname OU=Organisaatioyksikön nimi Printable/ organizationname O=Organisaation nimi Printable/ optional countryname C=FI Printable RSA-avain 2048 bittiä, exponentti BIT STRING Voimassaoloaika 1-5 vuotta Alkaa vvkkppttmmssz UTC Time Loppuu vvkkpp215959z UTC Time Allekirjoitusalgoritmi sha1withrsaencryption Laajennukset basicconstraints CA=FALSE, maxpathlen=none critical keyusage 0xC0 digitalsignature, nonrepudiation BIT STRING critical certificatepolicies CPS-OID CPSuri unotice vuosi.kk Varmennepolitiikka on saatavilla OID IA5String Visible String subjectaltname rfc822name[1] - sähköpostiosoite IA5String optional crldistributionpoints ldap://ldap.teo.fi:389/cn=teo%20services%20 CA,OU=Terveydenhuollon%20palveluvarmenne,O= TEO%20CA,C=FI?certificateRevocationList CA:n julkaisema CDP-url authoritykeyidentifier sha1 (160 bittiä/20 tavua, CA:n SKI) subjectkeyidentifier sha1 (160 bittiä/20 tavua) authorityinfoaccess caissuers ldap://ldap.teo.fi:389/cn=teo%20services%20 CA,OU=Terveydenhuollon%20palveluvarmenne,O= TEO%20CA,C=FI?cACertificate Varmentajan varmenteen sijainti

26 TEOPKI - T2 / v (21) Sähköpostivarmenne: KENTTÄ SISÄLTÖ/ARVO KOODAUS KRIIT- TISYYS Varmenteen tyyppi X.509 v3 Sarjanumero CA:n antama yksilöivä numero INTEGER Issuer commonname CN=TEO Services CA Printable organizationalunitname OU=Terveydenhuollon palveluvarmenne Printable organizationname O=TEO CA Printable countryname C=FI Printable Subject commonname CN=Palvelun nimi Printable serialnumber Organisaation (terveydenhuollon palvelujen antajan, apteekin, valtakunnallisen tietojärjestelmäpalvelun ylläpitäjän, tms.) yksilöivä OID-tunniste Printable organizationalunitname OU=Organisaatioyksikön nimi Printable/ organizationname O=Organisaation nimi Printable/ optional countryname C=FI Printable RSA-avain 1024 tai 2048 bittiä, exponentti BIT STRING Voimassaoloaika 1-5 vuotta Alkaa vvkkppttmmssz UTC Time Loppuu vvkkpp215959z UTC Time Allekirjoitusalgoritmi sha1withrsaencryption Laajennukset basicconstraints CA=FALSE, maxpathlen=none critical keyusage 0xB0 digitalsignature, keyencipherment, dataencipherment BIT STRING critical extendedkeyusage Protection certificatepolicies CPS-OID CPSuri unotice vuosi.kk Varmennepolitiikka on saatavilla OID IA5String Visible String subjectaltname rfc822name[1] sähköpostiosoite IA5String crldistributionpoints ldap://ldap.teo.fi:389/cn=teo%20services%20 CA,OU=Terveydenhuollon%20palveluvarmenne,O= TEO%20CA,C=FI?certificateRevocationList CA:n julkaisema CDP-url authoritykeyidentifier sha1 (160 bittiä/20 tavua, CA:n SKI) subjectkeyidentifier sha1 (160 bittiä/20 tavua) authorityinfoaccess caissuers ldap://ldap.teo.fi:389/cn=teo%20services%20 CA,OU=Terveydenhuollon%20palveluvarmenne,O= TEO%20CA,C=FI?cACertificate Varmentajan varmenteen sijainti

27 TEOPKI - T2 / v (22) 3.5. Palveluiden antajien henkilötoimijoiden varmenteet Todentamis- ja salausvarmenne: KENTTÄ SISÄLTÖ/ARVO KOODAUS KRIIT- TISYYS Varmenteen tyyppi 2 X.509 v3 Sarjanumero CA:n antama yksilöivä numero INTEGER Issuer commonname CN=TEO Assistant CA Printable organizationalunitname OU=Toimijavarmenne Printable organizationname O=TEO CA Printable countryname C=FI Printable Subject commonname CN=Sukunimi Etunimi rekisteröintinumero Printable/ surname SN=Sukunimi (virallinen) Printable/ givenname GN=Etunimi (yksi virallisista etunimistä) Printable/ serialnumber TEO:n antama rekisteröintinumero, 11 merkkiä Printable organizationalunitname OU=Organisaatioyksikön nimi Printable/ organizationname O=Organisaation nimi Printable/ optional countryname C=FI Printable RSA-avain 1024 tai 2048 bittiä, exponentti BIT STRING Voimassaoloaika 5 vuotta (tai lyhyempi määräaika) Alkaa vvkkppttmmssz UTC Time Loppuu vvkkpp215959z UTC Time Allekirjoitusalgoritmi sha1withrsaencryption Laajennukset basicconstraints CA=FALSE, maxpathlen=none critical keyusage extendedkeyusage certificatepolicies CPS-OID CPSuri unotice 0xB0 digitalsignature, keyencipherment, dataencipherment Client Authentication Protection Smartcard Logon vuosi.kk Varmennepolitiikka on saatavilla subjectaltname ntprincipalname - rekisteröintinumero@teonet.org rfc822name[1] - sähköpostiosoite BIT STRING OID IA5String Visible String IA5String critical optional

28 TEOPKI - T2 / v (23) crldistributionpoints ldap://ldap.teo.fi:389/cn=teo%20assistant%2 0CA,OU=Toimijavarmenne,O=TEO%20CA,C=FI?cert ificaterevocationlist CA:n julkaisema CDP-url authoritykeyidentifier sha1 (160 bittiä/20 tavua, CA:n SKI) subjectkeyidentifier sha1 (160 bittiä/20 tavua) authorityinfoaccess caissuers ldap://ldap.teo.fi:389/cn=teo%20assistant%2 0CA,OU=Toimijavarmenne,O=TEO%20CA,C=FI?cACe rtificate Varmentajan varmenteen sijainti Allekirjoitusvarmenne: KENTTÄ SISÄLTÖ/ARVO KOODAUS KRIIT- TISYYS Varmenteen tyyppi 2 X.509 v3 Sarjanumero CA:n antama yksilöivä numero INTEGER Issuer commonname CN=TEO Assistant CA Printable organizationalunitname OU=Toimijavarmenne Printable organizationname O=TEO CA Printable countryname C=FI Printable Subject commonname CN=Sukunimi Etunimi Rekisteröintinumero Printable/ surname SN=Sukunimi (virallinen) Printable/ givenname GN=Etunimi (yksi virallisista etunimistä) Printable/ serialnumber TEO:n antama rekisteröintinumero, 11 merkkiä Printable title Ammatti/Virka/Asema (997+suomeksi,ruotsiksi) Esimerkki: 997 järjestelmäasiantuntija, system specialist Printable/ organizationalunitname OU=Organisaatioyksikön nimi Printable/ organizationname O=Organisaation nimi Printable/ optional optional countryname C=FI Printable RSA-avain 2048 bittiä, exponentti BIT STRING Voimassaoloaika 5 vuotta (tai lyhyempi määräaika) Alkaa vvkkppttmmssz UTC Time Loppuu vvkkpp215959z UTC Time Allekirjoitusalgoritmi sha1withrsaencryption Laajennukset basicconstraints CA=FALSE, maxpathlen=none critical keyusage 0x40 nonrepudiation BIT STRING critical certificatepolicies CPS-OID vuosi.kk OID

29 TEOPKI - T2 / v (24) CPSuri IA5String unotice crldistributionpoints Varmennepolitiikka on saatavilla ldap://ldap.teo.fi:389/cn=teo%20assistant%2 0CA,OU=Toimijavarmenne,O=TEO%20CA,C=FI?cert ificaterevocationlist Visible String CA:n julkaisema CDP-url authoritykeyidentifier sha1 (160 bittiä/20 tavua, CA:n SKI) subjectkeyidentifier sha1 (160 bittiä/20 tavua) authorityinfoaccess caissuers ldap://ldap.teo.fi:389/cn=teo%20assistant%2 0CA,OU=Toimijavarmenne,O=TEO%20CA,C=FI?cACe rtificate Varmentajan varmenteen sijainti Niissä allekirjoitusvarmenteissa jotka täyttävät laatuvarmenteiden myöntämiselle asetetut vaatimukset on edellä mainittujen laajennusten lisäksi laatuvarmenteesta kertova laajennus: qcstatements qccompliance (esi4-qcstatement-1) Muita laatuvarmennelausumalaajennuksia ei käytetä. Lisätietoja laatuvarmenneprofiilista löytyy ETSI:n julkaisusta Qualified Certificate profile specification ETSI TS V1.3.3 Laatuvarmenteiden myöntämistä Suomessa säätelee Laki sähköisistä allekirjoituksista (14/2003) sekä laatuvarmentajien toimintaa ohjaavan ja valvovan Viestintäviraston määräykset ja suositukset.

30 TEOPKI - T2 / v (25) 3.6. Sulkulistat Sulkulista (CRL) on varmentajan (CA) sähköisesti allekirjoittama luettelo niistä myönnetyistä varmenteista joiden käyttöä ei peruuttamisen johdosta tule enää peruuttamisajankohdan jälkeen hyväksyä. KENTTÄ SISÄLTÖ/ARVO KOODAUS KRIIT- TISYYS Sulkulistan versio 1 X.509 CRL v2 Issuer Sulkulistan allekirjoittaja (CA) commonname CA-kohtainen Printable organizationalunitname CA-kohtainen Printable organizationname CA-kohtainen Printable countryname C=FI Printable Voimassaoloaika CA-kohtainen (48/72 tuntia) Alkaa (this update) vvkkppttmmssz (julkaisuajankohta) UTC Time Loppuu (next update) vvkkppttmmssz (seuraava julkaisuajankohta) UTC Time Sarjanumero Kasvava, CRL:n yksilöivä sarjanumero INTEGER Allekirjoitusalgoritmi sha1withrsaencryption Allekirjoitus 2048 bittiä BIT STRING Laajennukset authoritykeyidentifier sha1 (160 bittiä/20 tavua, CA:n SKI) Yksittäisestä peruutetusta varmenteesta julkaistaan seuraavat tiedot: KENTTÄ SISÄLTÖ/ARVO KOODAUS KRIIT- TISYYS Varmenteen sarjanumero CA-kohtainen, varmenteen yksilöivä sarjanumero INTEGER Peruuttamisajankohta vvkkppttmmssz UTC Time Varmenteen peruuttaminen ei mitätöi ENNEN peruuttamisajankohtaa kyseisellä varmenteella tehtyjä toimenpiteitä, kuten sähköisiä allekirjoituksia. Varmenteiden peruuttamissyitä (Reason Codes) ei ilmoiteta. Varmenteisiin luottavan osapuolen velvollisuus on tarkistaa yksittäisen varmenteen tila mahdollisen peruuttamisen varalta voimassaolevalta sulkulistalta. Sulkulistoja päivitetään ja niitä julkaistaan kerran tunnissa. Mahdollisten häiriötilanteiden varalta sulkulistojen voimassaoloaika on määritetty merkittävästi pidemmäksi kuin niiden julkaisusykli.

31 TEOPKI - T2 / v (26) 4. Esimerkit 4.1. Juurivarmenne Esimerkki TEO TEST Root CA -juurivarmenne: CONTEXT_SPECIFIC [ 0 ] { INTEGER { 2 -- x509v3, INTEGER { 8622, -- Certificate serial number OBJECT_IDENTIFIER { " ", -- SHA-1 with RSA Encryption NULL { "NULL", OBJECT_IDENTIFIER { " ", -- id-at-countryname PrintableString { "FI", OBJECT_IDENTIFIER { " ", -- id-at-organizationname PrintableString { "TEO TEST", OBJECT_IDENTIFIER { " ", -- id-at-organizationalunitname PrintableString { "Varmennepalvelut", OBJECT_IDENTIFIER { " ", -- id-at-commonname PrintableString { "TEO TEST Root CA", UTCTime { " Z", -- not before UTCTime { " Z" -- not after, OBJECT_IDENTIFIER { " ", -- id-at-countryname PrintableString { "FI",

32 TEOPKI - T2 / v (27) OBJECT_IDENTIFIER { " ", -- id-at-organizationname PrintableString { "TEO TEST", OBJECT_IDENTIFIER { " ", -- id-at-organizationalunitname PrintableString { "Varmennepalvelut", OBJECT_IDENTIFIER { " ", -- id-at-commonname PrintableString { "TEO TEST Root CA", OBJECT_IDENTIFIER { " ", -- RSA encryption NULL { "NULL", BIT_STRING [ "PRIMITIVE" ] { #00, INTEGER { #009A1727FA2439E014855FD3880D6DD71D03D842B22457CE2D60B21F0E 1E D3A5934D0169B8CB99F1B88DCEA13B662B45A61426C01 EFEE378F1FA4E16CB02CA988CD7B8225E842F13D284D97BD10844F5F3147 BD93E91E2CEDCFB1B0CDF449F3C6745F5B8C7D0F3A3147A31C96A349AA67 394F19AEFF00D087936BC ACD3AAE5FC3F0A83F2041F400BFD4105 0BDC7AEE2FB408F8833C743E01D36E2CE93C458F048A9687F624FF8ACAB5 F20144AB8EEAD5F3A0E19754FA1675B978AC41CB9D1376F9A2E C FE58A1EF3CC4A79AB1465FC A0584DE600765C4EFE89E1D1B8D DED182BD DF90A33E02304BCB0193, INTEGER { exponent, CONTEXT_SPECIFIC [ 3 ] { OBJECT_IDENTIFIER { " ", -- Authority Key Identifier CONTEXT_SPECIFIC [ 0, "IMPLICIT" ] { #BC9BB709E6984AA4F2B2C8FC5ABF8F071E8F14AD, OBJECT_IDENTIFIER { " ", -- Subject Key Identifier OCTET_STRING { #BC9BB709E6984AA4F2B2C8FC5ABF8F071E8F14AD

33 TEOPKI - T2 / v (28), OBJECT_IDENTIFIER { " ", -- Key Usage BOOLEAN { #FF -- critical, BIT_STRING { #01, #06 -- keycertsign, crlsign, OBJECT_IDENTIFIER { " ", -- Basic Constraints BOOLEAN { #FF -- critical, BOOLEAN { #FF -- CA Certificate=True, OBJECT_IDENTIFIER { " ", -- SHA-1 with RSA Encryption NULL { "NULL", BIT_STRING { #00, #6707E5E11448CD476BF543FF7F85763B0F956439DB46C0A2192D68513A 95C0B1E7F41E87D662019D60AF51F3BEBCC64ED1EC6DA05E2A42433B FF8344C62F77067FC0C0DDCC9314D7C400BFAB9B1BFB7C55CA2A2ED5E9 27E263AB31FC027975BA000BA55C51CB3AEA F 4ED4EC195652A2F6DFD74256F192AF285C000EC5ED232FEA1DF5A78A2CE F4F4FD2DC2A19FF9757F1576F2EC7718EFD821D0F07D248F60E963 4EE585BBBB13F37FA3190D6076C7E69DDF6F22BCB87ED D4D77BDA 8C933221DC738D9D95DF5A9E728BAFF0D504BAA6B8A52792C4CA7233BDA2 5FE7EEA55EB00AA1B33D1B3EE851F24974

34 TEOPKI - T2 / v (29) 4.2. Varmentajan varmenne Esimerkki TEO TEST CA varmentajan varmenne: CONTEXT_SPECIFIC [ 0 ] { INTEGER { 2 -- x509v3, INTEGER { 20140, -- Certificate serial number OBJECT_IDENTIFIER { " ", -- SHA-1 with RSA Encryption NULL { "NULL", OBJECT_IDENTIFIER { " ", -- id-at-countryname PrintableString { "FI", OBJECT_IDENTIFIER { " ", -- id-at-organizationname PrintableString { "TEO TEST", OBJECT_IDENTIFIER { " ", -- id-at-organizationalunitname PrintableString { "Varmennepalvelut", OBJECT_IDENTIFIER { " ", -- id-at-commonname PrintableString { "TEO TEST Root CA", UTCTime { " Z", -- not before UTCTime { " Z" -- not after, OBJECT_IDENTIFIER { " ", -- id-at-countryname PrintableString { "FI", OBJECT_IDENTIFIER { " ", -- id-at-organizationname PrintableString { "TEO TEST"

35 TEOPKI - T2 / v (30), OBJECT_IDENTIFIER { " ", -- id-at-organizationalunitname PrintableString { "Terveydenhuollon testivarmenne", OBJECT_IDENTIFIER { " ", -- id-at-commonname PrintableString { "TEO TEST CA", OBJECT_IDENTIFIER { " ", -- RSA encryption NULL { "NULL", BIT_STRING [ "PRIMITIVE" ] { #00, INTEGER { #00A8DFEF26F6BAA7128DA7E984DCD0A3BCDC2DE4B5AB6D41F0FE A273C8D4510C6C6C0A822D62F A1C458C57C48F8F4C82D344 38F817177C923C4511D7E07C9E0C8263FDBC55A43A073984B0E0A22C23C3 97C9AD2BA48F6CD5ACEF25A9FF0E521F057B135ABB9E19E2E91083F1C359 12AAC96BEF1E719BE02B42F93AF3A AA6631E9B10F8B085BD1C8 EAFC033AC5214DD89D37B304654C EFEE38070A29694F1807F4CB1 0352D30171DFFC37364A5DB54A56EDAC8928F35778AD8E4D618F921FAF2D C389E7AE6E11A9EECD1040E0EA84D6E21A35D568AC3DBA63C1BABB1A F70471B77AE3EDE AA08C029A59, INTEGER { exponent, CONTEXT_SPECIFIC [ 3 ] { OBJECT_IDENTIFIER { " ", -- Authority Key Identifier CONTEXT_SPECIFIC [ 0, "IMPLICIT" ] { #BC9BB709E6984AA4F2B2C8FC5ABF8F071E8F14AD, OBJECT_IDENTIFIER { " ", -- Subject Key Identifier OCTET_STRING { #2CCA7BC0811FE3C1697E43354CBFB7D4E21ACA86, OBJECT_IDENTIFIER { " ", -- Key Usage

36 TEOPKI - T2 / v (31) BOOLEAN { #FF -- critical, BIT_STRING { #01, #06 -- keycertsign, crlsign, OBJECT_IDENTIFIER { " ", -- Certificate Policies OBJECT_IDENTIFIER { " ", -- TEO TEST CA CPS OBJECT_IDENTIFIER { " ", -- User notice VisibleString { "Varmennepolitiikka on saatavilla OBJECT_IDENTIFIER { " ", -- CPS IA5String { " OBJECT_IDENTIFIER { " ", -- Basic Constraints BOOLEAN { #FF -- critical, BOOLEAN { #FF -- CA Certificate=True, INTEGER { 0 -- pathlenconstraint, OBJECT_IDENTIFIER { " ", -- CRL Distribution Points CONTEXT_SPECIFIC [ 0 ] { CONTEXT_SPECIFIC [ 0 ] { CONTEXT_SPECIFIC [ 6, "IMPLICIT" ] { "ldap://ldap.teo.fi:389/cn=teo%20test%20root%20ca,ou=varmennepalvelut,o=teo%20test,c=fi?cer tificaterevocationlist"

37 TEOPKI - T2 / v (32), OBJECT_IDENTIFIER { " ", -- Authority Info Access OBJECT_IDENTIFIER { " ", -- CA Issuers CONTEXT_SPECIFIC [ 6, "IMPLICIT" ] { "ldap://ldap.teo.fi:389/cn=teo%20test%20root%20ca,ou=varmennepalvelut,o=teo%20test,c=fi?cac ertificate", OBJECT_IDENTIFIER { " ", -- SHA-1 with RSA Encryption NULL { "NULL", BIT_STRING { #00, #6BC725EC527FC19FDB9D98D3AF79C8B54754FD81D559974A1EBA69BA6E 54B3B392985CC70DFB4690B4DBAB92A4ABA0FAC23BE48F0DEA767A3EA4DA 31D42F75605A48D6B073651E751A0BB FE52B003CEB7B54BD C5256F3D46DE9E934A721F68E9F6B69C49AE296FAF0998D4124A8 8C6FF7C329CB7C79E0525B6B4A1B52451CC42C7D52B791E4454B0C443EA D009AEC27DDE CE6D22B2209B7244DC1E3C65A6254FB10 C4EB78BD01D6F7130CD92F65BFD69CA0458C6C CE96D947BE18CFF 5AD2C03196BB9C4AFF484E35A0DC3297B07D1F4E5B971B5FAED F C742269ED0E

38 TEOPKI - T2 / v (33) 4.3. Todentamis- ja salausvarmenne (ammattihenkilö) Esimerkki terveydenhuollon ammattihenkilön testitodentamis- ja salausvarmenne: CONTEXT_SPECIFIC [ 0 ] { INTEGER { 2 -- x509v3, INTEGER { , -- Certificate serial number OBJECT_IDENTIFIER { " ", -- SHA-1 with RSA Encryption NULL { "NULL", OBJECT_IDENTIFIER { " ", -- id-at-countryname PrintableString { "FI", OBJECT_IDENTIFIER { " ", -- id-at-organizationname PrintableString { "TEO TEST", OBJECT_IDENTIFIER { " ", -- id-at-organizationalunitname PrintableString { "Terveydenhuollon testivarmenne", OBJECT_IDENTIFIER { " ", -- id-at-commonname PrintableString { "TEO TEST CA", UTCTime { " Z", -- not before UTCTime { " Z" -- not after,

39 TEOPKI - T2 / v (34) OBJECT_IDENTIFIER { " ", -- id-at-countryname PrintableString { "FI", OBJECT_IDENTIFIER { " ", -- id-at-serialnumber PrintableString { " ", OBJECT_IDENTIFIER { " ", -- id-at-givenname PrintableString { "Eino", OBJECT_IDENTIFIER { " ", -- id-at-surname PrintableString { "Apajalahti Tes", OBJECT_IDENTIFIER { " ", -- id-at-commonname PrintableString { "Apajalahti Tes Eino ", OBJECT_IDENTIFIER { " ", -- RSA encryption NULL { "NULL", BIT_STRING [ "PRIMITIVE" ] { #00, INTEGER { #00D5AD7B3B69AA25D2EE49F259AC91DA392DEF7BC0B928EB2F731D3BDD 90AE07739A79B97A8B9A9A74F6827E67B1B62BBC78EEB4A6A7BECF56B881 48C B058ACD7D18EC3A87A5866AF903F4844CBA4199D962F304D3 A2DA2585DE EFD9FA7A572EC3DDBD F68B E04EFE2 9BA2956DC A35, INTEGER { exponent, CONTEXT_SPECIFIC [ 3 ] {