TEOPKI MÄÄRITYS 31.10.2007 TEOPKI - T3 Varmennehakemistomääritys v0.9 Terveydenhuollon oikeusturvakeskus (TEO) Varmennepalvelut PL 265 00531 Helsinki Suomi http://www.valtteri.fi
TEOPKI - T3 /v0.9 i Tekijät Nimi Nimikirjaimet Organisaatio Sähköposti Antti Partanen AP TEO antti.partanen@teo.fi Versiohistoria Versio Pvm Tekijä Muutokset ja huomautukset Tila 0.9 31.10.2007 AP Ensimmäinen julkinen versio Luonnos
TEOPKI - T3 /v0.9 ii Sisällys 1. Esipuhe... 1 2. Varmennehakemisto... 2 2.1. Lähdeaineistot...3 3. TEO-varmennehierarkia (CA-malli)... 4 4. Varmennehakemiston perusasetukset... 5 5. Varmennehakemiston rakenne ja sisältö... 5 5.1. TEOPKI-hakemistomääritykset... 6 5.2. TEOPKI-attribuutit... 6 5.3. TEOPKI-objektiluokat... 7 5.4. Hakemistorakenne... 9 5.5. Varmentajan varmenteet... 12 5.6. Terveydenhuollon ammattihenkilöiden varmenteet... 20 5.7. Terveydenhuollon muun henkilöstön varmenteet... 22 5.8. Terveydenhuollon palveluvarmenteet... 24 5.9. Palveluiden antajien henkilötoimijoiden varmenteet... 27 5.10. Sulkulistat... 29
TEOPKI - T3 /v0.9 iii Lyhenteet Lyhenne Pitkä muoto Suomeksi AKI Authority Key Identifier Varmentajan avaimen tunniste ARL Authority Revocation List Varmentajan varmenteiden sulkulista CA Certification Authority Varmentaja CA Cert CA Certificate Varmentajan varmenne CDP CRL Distribution Point Sulkulistan julkaisupaikka CERT Certificate Varmenne CP Certificate Policy Varmennepolitiikka CPS Certification Practice Statement Varmennekäytäntö(lausuma) CRL Certificate Revocation List Sulkulista DN Distinguished Name Yksilöivä nimi EKU Extended Key Usage Laajennettu avaimen käyttökohde OID Object IDentifier Objektin tai attribuutin yksilöivä tunnus PKI Public Key Infrastructure Julkisen avaimen infrastruktuuri PDS PKI Disclosure Statement Varmennekuvaus QC Qualified Certificate Laatuvarmenne QCP Qualified Certificate Profile ETSI laatuvarmenneprofiili ETSI TS 101 862 QCS Qualified Certificate Statements Laatuvarmennelausumat RFC Request For Comments IETF:n määritys (http://www.ietf.org/rfc) ROOT CA Root Certification Authority Juurivarmentaja ROOT Cert Root Certificate Juurivarmenne SKI Subject Key Identifier Varmennetun avaimen tunniste TEO/NAMA National Authority of Medicolegal Affairs TEOPKI Valtteri Terveydenhuollon oikeusturvakeskus TEO:n varmennepalveluinfrastruktuuri Valtakunnallinen terveydenhuollon varmennerekisteri Sanasto Issuer Subject Varmenteen myöntäjä (CA) Varmenteen haltija/varmennettu kohde
TEOPKI - T3 /v0.9 iv
TEOPKI - T3 / v0.9 1(29) 1. Esipuhe Kaikki TEOPKI-määritykset perustuvat kansainvälisiin ja kansallisiin standardeihin ja määrityksiin. Tämä dokumentti kuvaa TEO:n julkisen varmennehakemiston rakenteen sekä tietosisällön. Varmennehakemisto sisältää TEO:n tuottamat varmentajan varmenteet, loppukäyttäjävarmenteet sekä sulkulistat. Julkiset TEOPKI-määritykset koostuvat: TEOPKI P1 - Varmennepolitiikka- ja käytäntölausuma-asiakirjat TEOPKI T2 - TEO:n CA-malli ja varmenteiden tietosisältö, v0.9 TEOPKI T3 - Varmennehakemistomääritys, v0.9 TEOPKI T4 - Electronic Identity Application, vx.x TEOPKI T5 - TEOPKI-kortin siruprofiili, vx.x TEOPKI-dokumentaatio on saatavilla osoitteesta: http://www.valtteri.fi IETF PKIX -dokumentaatio on saatavilla osoitteesta: http://www.ietf.org/rfc ETSI:n dokumentaatio on saatavilla osoitteesta: http://portal.etsi.org PKCS-määritykset ovat saatavilla osoitteesta: http://www.rsa.com/rsalabs Kansallinen terveydenhuollon OID-koodisalvelu on osoitteessa: http://koodisalvelu.stakes.fi JHS-suositukset ovat saatavilla osoitteesta: http://www.jhs-suositukset.fi
TEOPKI - T3 / v0.9 2(29) 2. Varmennehakemisto Tämä dokumentti on kuvaa TEO:n varmennehakemiston hakemistorakenteen, käytetyt tietotyypit ja tietosisällön. Varmennehakemiston toteutus perustuu kansainvälisiin standardeihin ja määrityksiin. Näitä ovat esimerkiksi IETF:n RFC-määritykset. Varmennehakemiston toteutus pohjautuu pääasiassa IETF:n RFC 4519 sekä RFC 4523 määrityksiin. Jotta hakemisto palvelee mahdollisimman monipuolisesti terveydenhuollon varmentamiseen liittyviä tarpeita, on ollut tarpeen määrittää varmennehakemistokohtaisia hakemisto-attribuutteja sekä -objektiluokkia. Tiedon haku ja hakutulosten nouto varmennehakemistosta tapahtuu LDAP-protokollalla. Hakemisalvelu tukee sekä LDAP v3 että vanhempaa LDAP v2 -protokollaa. Jälkimmäinen on käytettävissä vain taaksepäin yhteensopivuuden vuoksi. Sen käyttö uusissa sovelluksissa ei ole suositeltavaa. Jokainen yksittäinen varmenne julkaistaan omaan hakemistohaaraansa (hakemisto-entryyn). Hakemisto-entryn nimi muodostetaan CA:n nimestä ja yksittäisen varmenteen sarjanumeron yhdistelmästä. Kaikissa varmennehakemistoon tallennetuissa merkkijonoissa käytetään ISO/IEC 8859-1 (Latin-1) merkistöä ja merkistökoodauksena UTF8String-koodausta. Varmenteet sekä sulkulistat tallennetaan hakemistoon binäärimuodossa. Julkisen avaimen menetelmään pohjautuvaan tiedon salaamiseen tarkoitetut varmenteet julkaistaan varmennehakemistoon. Jotta yksittäinen varmenne on tarvittaessa helposti löydettävissä varmennehakemistosta, tallennetaan hakemisto-entryyn jokaisesta julkaistusta varmenteesta itse varmenteen lisäksi myös siinä esiintyviä tietoja. Näitä tietoja ovat esim. varmenteen haltijan sukunimi, etunimi ja yksilöivä tunniste. Nämä tiedot tallennetaan hakemistoon käyttäen samaa merkkikokoa ja kirjoitusasua jolla kyseiset tiedot on esitetty itse varmenteessa. Allekirjoitusvarmenteita ei julkaista varmennehakemistoon. Varmennehakemiston käyttö on maksutonta eikä sen käyttö vaadi käyttäjätunnuksia. Hakemiston käytössä tarvittavat perusasetukset on kuvattu tässä asiakirjassa. Varmennehakemiston julkisen luonteen johdosta sinne ei tallenneta luottamuksellisia tai salassa pidettäviä tietoja. Kaikissa varmenteissa on viittaus myöntäjänsä sulkulistan sijaintipaikkaan. Sulkulistat julkaistaan TEO:n julkiseen varmennehakemistoon josta ne ovat vapaasti ladattavissa. Tässä asiakirjassa lyhennettä CA käytetään viitattaessa tietyntyyppisiä varmenteita tuottavaan CA-järjestelmän osaan (ns. looginen CA). CA-järjestelmä koostuu useista itsenäisistä CA:ista jotka on kuvattu kappaleessa 3. Jokaisella CA:lla on omat varmennepolitiikkansa.
TEOPKI - T3 / v0.9 3(29) 2.1. Lähdeaineistot Tämä määritys perustuu seuraaviin määrityksiin: IETF: RFC 2798 - Definition of the inetorgperson LDAP Object Class, April 2000 http://www.ietf.org/rfc/rfc2798.txt?number=2798 IETF: RFC 4519 - Lightweight Directory Access Protocol (LDAP): Schema for User Applications, June 2006 http://www.ietf.org/rfc/rfc4519.txt?number=4519 IETF: RFC 4523 - Lightweight Directory Access Protocol (LDAP): Schema Definitions for X.509 Certificates, June 2006 http://www.ietf.org/rfc/rfc4523.txt?number=4523 TEO: TEOPKI T2 - TEO:n CA-malli ja varmenteiden tietosisältö, v0.9, Lokakuu 2007 http://www.valtteri.fi Tämän määrityksen sisältöön on lisäksi vaikuttanut seuraavat määritykset: IETF: RFC 4512 - Lightweight Directory Access Protocol (LDAP): Directory Information Models, June 2006 http://www.ietf.org/rfc/rfc4512.txt?number=4512 VRK: FINEID - S5 Directory Specification, v2.1, Lokakuu 2004 http://www.fineid.fi
TEOPKI - T3 / v0.9 4(29) 3. TEO-varmennehierarkia (CA-malli) TEO CA-malli v1.1 CN=TEO Gov. Root CA OU=Varmennepalvelut O=TEO CA C=FI CN=TEO Professionals CA OU=Terveydenhuollon ammattivarmenne O=TEO CA C=FI CN=TEO Personnel CA OU=Terveydenhuollon henkilovarmenne O=TEO CA C=FI CN=TEO Assistant CA OU=Toimijavarmenne O=TEO CA C=FI Todentamis- ja salaus varmenne Todentamis- ja salaus varmenne Todentamis- ja salaus varmenne CN=TEO Services CA OU=Terveydenhuollon palveluvarmenne O=TEO CA C=FI Palvelinvarmenne (SSL/TLS) TEO Testi CA -malli v1.1 CN=TEO TEST Root CA OU=Varmennepalvelut O=TEO TEST C=FI CN=TEO TEST CA OU=Terveydenhuollon testivarmenne O=TEO TEST C=FI CN=TEO TEST Services CA OU=Terveydenhuollon testipalveluvarmenne O=TEO TEST C=FI Todentamis- ja salaus varmenne Sähköpostivarmenne Allekirjoitusvarmenne Allekirjoitusvarmenne Allekirjoitusvarmenne Järjestelmäallekirjoitusvarmenne Allekirjoitusvarmenne Palvelinvarmenne (SSL/TLS) Sähköpostivarmenne Järjestelmäallekirjoitusvarmenne
TEOPKI - T3 / v0.9 5(29) 4. Varmennehakemiston perusasetukset Hakemiston perusasetukset: Palvelimen nimi (ldap-host): ldap.teo.fi LDAP-portti (port) 389 Hakuperusta (search base) O=TEO CA,C=FI Hakuperusta on myös mahdollista valita käyttötarpeen mukaan jolloin haut voidaan kohdistaa vain tiettyihin tai tiettyyn varmennetyyppiin, esim. OU=Terveydenhuollon ammattivarmenne,o=teo CA,C=FI (vain terveydenhuollon ammattihenkilöiden varmenteet) tai O=TEO TEST,C=FI (vain kaikki testivarmenteet). Hakuperustalla C=FI voidaan hakea kaikkea varmennehakemiston sisältöä. Tällöin haku kohdistuu myös eräiden sairaanhoiiirien myöntämiin varmenteisiin. 5. Varmennehakemiston rakenne ja sisältö Varmennehakemiston rakenne perustuu puurakenteeseen joka koostuu päähaarasta ja sen hakemistohaaroista. Rakenne on yhtenevä eri varmentajan varmenteissa ilmoitettuihin rakenteisiin. Tämä mahdollistaa suorat haut tietyn tyyppisiin (tietyn CA:n) julkaisemiin varmenteisiin. TEO:n myöntämien varmenteiden luonteen johdosta puurakenne ei perustu yksittäisten varmenteen haltijoiden työnantajaan tai muuhun organisaatioon eikä maantieteelliseen sijaintiin vaan varmenteet on julkaistu hakemistoon CA-kohtaisesti, ts. ryhmiteltynä varmennetyypeittäin. Jokaiselle hakemiston haaralle on määritetty tietyt objektiluokat (ns. LDAP-schema) joiden sisältämiä attribuutteja on mahdollista tallentaa kyseiseen hakemistohaaraan (hakemistoentryyn). Tallennettavat tiedot muodostetaan CA-järjestelmässä, pois lukien ns. operatiiviset attribuutit (operational attributes) jotka muodostetaan varmennehakemistojärjestelmän toimesta ja joiden pääasiallinen käyttökohde on TEOPKI-ympäristön sisäinen ylläpito. Tyypillisiä operatiivisia attribuutteja ovat yksittäisen hakemistohaaran luonti- ja muokkausajankohdat. Hakemistohaaroille on määritetty useita, osin päällekkäisiä objektiluokkia mahdollisimman laajan valmisohjelmistoyhteensopivuuden saavuttamiseksi.
TEOPKI - T3 / v0.9 6(29) 5.1. TEOPKI-hakemistomääritykset TEOPKI- hakemistoattribuuttien ja -objektiluokkien yhteenveto: OID Nimi/kuvaus Huom. 1. ISO 1.2 member body 1.2.246 Finland 1.2.246.551 Terveydenhuollon oikeusturvakeskus (TEO) 1.2.246.551.1 TEOPKI 1.2.246.551.1.3 teopkidirectory 1.2.246.551.1.3.1 teopkiattribute 1.2.246.551.1.3.1.1 teopkicertnotbefore 1.2.246.551.1.3.1.2 teopkicertnotafter 1.2.246.551.1.3.1.3 teopkicertkeyusagestring 1.2.246.551.1.3.1.4 teopkicertificateserialnumber 1.2.246.551.1.3.1.5 teopkismartcardserialnumber Varattu 1.2.246.551.1.3.1.6 teopkipublickeysha1hash 1.2.246.551.1.3.2 teopkiobjectclass 1.2.246.551.1.3.2.1 teopkicertificationauthority 1.2.246.551.1.3.2.2 teopkiusercertificate Yllä olevassa taulukossa on mainittu myös ne varatut attribuutit jotka saatetaan ottaa käyttöön myöhemmin. 5.2. TEOPKI-attribuutit teopkicertnotbefore ( 1.2.246.551.1.3.1.1 NAME 'teopkicertnotbefore' EQUALITY caseignorematch SYNTAX 1.3.6.1.4.1.1466.115.121.1.24{15} ) Sisältää varmenteen voimassaolon UTC-koodatun alkamisajankohdan muunnettuna UTC Time muodosta Generalized Time muotoon.
TEOPKI - T3 / v0.9 7(29) teopkicertnotafter ( 1.2.246.551.1.3.1.2 NAME 'teopkicertnotafter' EQUALITY caseignorematch SYNTAX 1.3.6.1.4.1.1466.115.121.1.24{15} ) Sisältää varmenteen voimassaolon UTC-koodatun päättymisajankohdan muunnettuna UTC Time muodosta Generalized Time muotoon. Seuraavien attribuuttien sisältö ja käyttötarkoitus on FINEID S5 määritystä vastaava. Huomaa erot attribuuttien nimennässä ja OID-tunnisteissa sekä käytetyssä syntaksissa (Directory String vs. Printable String). teopkicertkeyusagestring ( 1.2.246.551.1.3.1.3 NAME 'teopkicertkeyusagestring' EQUALITY caseignorematch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15{16} ) teopkicertificateserialnumber ( 1.2.246.551.1.3.1.4 NAME 'teopkicertificateserialnumber' EQUALITY caseignorematch SUBSTR caseignoresubstringsmatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15{64} SINGLE-VALUE ) teopkismartcardserialnumber ( 1.2.246.551.1.3.1.5 NAME 'teopkismartcardserialnumber' EQUALITY caseignorematch SUBSTR caseignoresubstringsmatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15{64} SINGLE-VALUE ) teopkipublickeysha1hash ( 1.2.246.551.1.3.1.6 NAME 'teopkipublickeysha1hash' EQUALITY caseignorematch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15{40} SINGLE-VALUE ) 5.3. TEOPKI-objektiluokat teopkicertificationauthority ( 1.2.246.551.1.3.2.1 NAME 'teopkicertificationauthority' SUP STRUCTURAL MUST ( cn $ cacertificate ) MAY ( certificaterevocationlist $ authorityrevocationlist $ deltarevocationlist $ crosscertificatepair $ serialnumber $ c $ st $ o $ ou $ l $ postaladdress $ postalcode $ postofficebox $ street $ mail $ telephonenumber $ facsimiletelephonenumber $ description $ labeleduri $ seealso ) )
TEOPKI - T3 / v0.9 8(29) teopkiusercertificate ( 1.2.246.551.1.3.2.2 NAME 'teopkiusercertificate' SUP STRUCTURAL MUST ( usercertificate $ teopkicertificateserialnumber ) MAY ( cn $ sn $ givenname $ initials $ title $ serialnumber $ c $ st $ o $ ou $ l $ mobile $ postaladdress $ postalcode $ postofficebox $ street $ mail $ telephonenumber $ facsimiletelephonenumber $ description $ labeleduri $ seealso $ teopkicertnotbefore $ teopkicertnotafter $ teopkicertkeyusagestring $ teopkismartcardserialnumber $ teopkipublickeysha1hash ) )
TEOPKI - T3 / v0.9 9(29) 5.4. Hakemistorakenne Hakemiston juuri: C=FI country Attribuutit c FI description Suomi-Finland createtimestamp 2006kkppttmmssZ Generalized Time modifytimestamp 2006kkppttmmssZ Generalized Time Organisaatiotaso: O=TEO CA,C=FI organization Attribuutit o TEO CA createtimestamp 2007kkppttmmssZ Generalized Time modifytimestamp 2007kkppttmmssZ Generalized Time
TEOPKI - T3 / v0.9 10(29) Organisaatioyksikkötaso: OU=Varmennepalvelut,O=TEO CA,C=FI OU=Terveydenhuollon ammattivarmenne,o=teo CA,C=FI OU=Terveydenhuollon henkilovarmenne,o=teo CA,C=FI OU=Terveydenhuollon palveluvarmenne,o=teo CA,C=FI OU=Toimijavarmenne,O=TEO CA,C=FI organizationalunit Attribuutit ou Varmennepalvelut Terveydenhuollon ammattivarmenne Terveydenhuollon henkilovarmenne Terveydenhuollon palveluvarmenne Toimijavarmenne createtimestamp 2007kkppttmmssZ Generalized Time modifytimestamp 2007kkppttmmssZ Generalized Time Organisaatioyksikkötasoja on useita, jokaiselle CA:lle omansa. Nämä on lueteltu em. taulukossa.
TEOPKI - T3 / v0.9 11(29) Organisaatiotaso (testivarmenteet): O=TEO TEST,C=FI organization Attribuutit o TEO TEST createtimestamp 2007kkppttmmssZ Generalized Time modifytimestamp 2007kkppttmmssZ Generalized Time Organisaatioyksikkötaso (testivarmenteet): OU=Varmennepalvelut,O=TEO TEST,C=FI OU=Terveydenhuollon testivarmenne,o=teo TEST,C=FI OU=Terveydenhuollon testipalveluvarmenne,o=teo TEST,C=FI organizationalunit Attribuutit ou Varmennepalvelut Terveydenhuollon testivarmenne Terveydenhuollon testipalveluvarmenne createtimestamp 2007kkppttmmssZ Generalized Time modifytimestamp 2007kkppttmmssZ Generalized Time Organisaatioyksikkötasoja on useita, jokaiselle CA:lle omansa. Nämä on lueteltu em. taulukossa.
TEOPKI - T3 / v0.9 12(29) 5.5. Varmentajan varmenteet Terveydenhuollon oikeusturvakeskuksen juurivarmenteen hakemistohaara: CN=TEO Gov. Root CA,OU=Varmennepalvelut,O=TEO CA,C=FI crldistributionpoint pkica organization organizationalunit teopkicertificationauthority Attribuutit cacertificate cacertificate;binary certificaterevocationlist certificaterevocationlist;binary cn TEO Gov. Root CA ou Varmennepalvelut o TEO CA c FI description Terveydenhuollon oikeusturvakeskuksen juurivarmentaja street Lintulahdenkatu 10 postaladdress Helsinki postofficebox PL 265 postalcode 00531 st Finland l HELSINKI mail kirjaamo@teo.fi telephonenumber +358 9 7729 20 facsimiletelephonenumber +358 9 7729 2138 createtimestamp 2007kkppttmmssZ Generalized Time modifytimestamp 2007kkppttmmssZ Generalized Time
TEOPKI - T3 / v0.9 13(29) Terveydenhuollon ammattihenkilöiden varmentajan varmenteen hakemistohaara: CN=TEO Professionals CA,OU=Terveydenhuollon ammattivarmenne,o=teo CA,C=FI crldistributionpoint pkica organization organizationalunit teopkicertificationauthority Attribuutit cacertificate cacertificate;binary certificaterevocationlist certificaterevocationlist;binary cn TEO Professionals CA ou Terveydenhuollon ammattivarmenne o TEO CA c FI description Terveydenhuollon ammattihenkilöiden varmentaja street Lintulahdenkatu 10 postaladdress Helsinki postofficebox PL 265 postalcode 00531 st Finland l HELSINKI mail kirjaamo@teo.fi telephonenumber +358 9 7729 20 facsimiletelephonenumber +358 9 7729 2138 createtimestamp 2007kkppttmmssZ Generalized Time modifytimestamp 2007kkppttmmssZ Generalized Time
TEOPKI - T3 / v0.9 14(29) Terveydenhuollon muun henkilöstön varmentajan varmenteen hakemistohaara: CN=TEO Personnel CA,OU=Terveydenhuollon henkilovarmenne,o=teo CA,C=FI crldistributionpoint pkica organization organizationalunit teopkicertificationauthority Attribuutit cacertificate cacertificate;binary certificaterevocationlist certificaterevocationlist;binary cn TEO Personnel CA ou Terveydenhuollon henkilovarmenne o TEO CA c FI description Terveydenhuollon muun henkilöstön varmentaja street Lintulahdenkatu 10 postaladdress Helsinki postofficebox PL 265 postalcode 00531 st Finland l HELSINKI mail kirjaamo@teo.fi telephonenumber +358 9 7729 20 facsimiletelephonenumber +358 9 7729 2138 createtimestamp 2007kkppttmmssZ Generalized Time modifytimestamp 2007kkppttmmssZ Generalized Time
TEOPKI - T3 / v0.9 15(29) Terveydenhuollon palveluvarmenteiden varmentajan varmenteen hakemistohaara: CN=TEO Services CA,OU=Terveydenhuollon palveluvarmenne,o=teo CA,C=FI crldistributionpoint pkica organization organizationalunit teopkicertificationauthority Attribuutit cacertificate cacertificate;binary certificaterevocationlist certificaterevocationlist;binary cn TEO Services CA ou Terveydenhuollon palveluvarmenne o TEO CA c FI description Terveydenhuollon palveluntuottajien varmentaja street Lintulahdenkatu 10 postaladdress Helsinki postofficebox PL 265 postalcode 00531 st Finland l HELSINKI mail kirjaamo@teo.fi telephonenumber +358 9 7729 20 facsimiletelephonenumber +358 9 7729 2138 createtimestamp 2007kkppttmmssZ Generalized Time modifytimestamp 2007kkppttmmssZ Generalized Time
TEOPKI - T3 / v0.9 16(29) Palveluiden antajien henkilötoimijoiden varmentajan varmenteen hakemistohaara: CN=TEO Assistant CA,OU=Toimijavarmenne,O=TEO CA,C=FI crldistributionpoint pkica organization organizationalunit teopkicertificationauthority Attribuutit cacertificate cacertificate;binary certificaterevocationlist certificaterevocationlist;binary cn TEO Assistant CA ou Toimijavarmenne o TEO CA c FI description Palveluiden antajien henkilötoimijoiden varmentaja street Lintulahdenkatu 10 postaladdress Helsinki postofficebox PL 265 postalcode 00531 st Finland l HELSINKI mail kirjaamo@teo.fi telephonenumber +358 9 7729 20 facsimiletelephonenumber +358 9 7729 2138 createtimestamp 2007kkppttmmssZ Generalized Time modifytimestamp 2007kkppttmmssZ Generalized Time
TEOPKI - T3 / v0.9 17(29) Terveydenhuollon oikeusturvakeskuksen testijuurivarmenteen hakemistohaara: CN=TEO TEST Root CA,OU=Varmennepalvelut,O=TEO TEST,C=FI crldistributionpoint pkica organization organizationalunit teopkicertificationauthority Attribuutit cacertificate cacertificate;binary certificaterevocationlist certificaterevocationlist;binary cn TEO TEST Root CA ou Varmennepalvelut o TEO TEST c FI description Terveydenhuollon oikeusturvakeskuksen testijuurivarmentaja street Lintulahdenkatu 10 postaladdress Helsinki postofficebox PL 265 postalcode 00531 st Finland l HELSINKI mail kirjaamo@teo.fi telephonenumber +358 9 7729 20 facsimiletelephonenumber +358 9 7729 2138 createtimestamp 2007kkppttmmssZ Generalized Time modifytimestamp 2007kkppttmmssZ Generalized Time
TEOPKI - T3 / v0.9 18(29) Testihenkilövarmenteiden varmentajan varmenteen hakemistohaara: CN=TEO TEST CA,OU=Terveydenhuollon testivarmenne,o=teo TEST,C=FI crldistributionpoint pkica organization organizationalunit teopkicertificationauthority Attribuutit cacertificate cacertificate;binary certificaterevocationlist certificaterevocationlist;binary cn TEO TEST CA ou Terveydenhuollon testivarmenne o TEO TEST c FI description Terveydenhuollon testihenkilöiden varmentaja street Lintulahdenkatu 10 postaladdress Helsinki postofficebox PL 265 postalcode 00531 st Finland l HELSINKI mail kirjaamo@teo.fi telephonenumber +358 9 7729 20 facsimiletelephonenumber +358 9 7729 2138 createtimestamp 2007kkppttmmssZ Generalized Time modifytimestamp 2007kkppttmmssZ Generalized Time
TEOPKI - T3 / v0.9 19(29) Testipalveluvarmenteiden varmentajan varmenteen hakemistohaara: CN=TEO TEST Services CA,OU=Terveydenhuollon testipalveluvarmenne,o=teo TEST,C=FI crldistributionpoint pkica organization organizationalunit teopkicertificationauthority Attribuutit cacertificate cacertificate;binary certificaterevocationlist certificaterevocationlist;binary cn TEO TEST Services CA ou Terveydenhuollon testipalveluvarmenne o TEO TEST c FI description Terveydenhuollon testipalveluntuottajien varmentaja street Lintulahdenkatu 10 postaladdress Helsinki postofficebox PL 265 postalcode 00531 st Finland l HELSINKI mail kirjaamo@teo.fi telephonenumber +358 9 7729 20 facsimiletelephonenumber +358 9 7729 2138 createtimestamp 2007kkppttmmssZ Generalized Time modifytimestamp 2007kkppttmmssZ Generalized Time
TEOPKI - T3 / v0.9 20(29) 5.6. Terveydenhuollon ammattihenkilöiden varmenteet Todentamis- ja salausvarmenteet: teopkicertificateserialnumber=sarjanumero,cn=teo Professionals CA,OU=Terveydenhuollon ammattivarmenne,o=teo CA,C=FI person organizationalperson inetorgperson pkiuser strongauthenticationuser teopkiusercertificate Attribuutit (pakolliset) usercertificate usercertificate;binary cn Sukunimi Etunimi Yksilöintitunnus sn Sukunimi (virallinen) givenname Etunimi (yksi virallisista etunimistä) serialnumber TEO:n antama yksilöintitunnus (TERHIKKI-reknro), 11 merkkiä c FI teopkicertificateserialnumber CA:n luoma yksilöivä varmenteen sarjanumero teopkicertkeyusagestring 0,2,3 teopkicertnotbefore 20vvkkppttmmssZ Generalized Time teopkicertnotafter 20vvkkppttmmssZ Generalized Time teopkipublickeysha1hash Julkisesta avaimesta laskettu SHA-1 -tiiviste Attribuutit (valinnaiset) mikäli varmenteessa ou Organisaatioyksikkö o Organisaatio mail Sähköpostiosoite createtimestamp 20vvkkppttmmssZ Generalized Time modifytimestamp 20vvkkppttmmssZ Generalized Time Varmennehakemistoon voidaan tallentaa myös muita mainittujen objektiluokkien sisältämiä attribuutteja. Muita kuin mainittuja objektiluokkia ei käytetä.
TEOPKI - T3 / v0.9 21(29) Allekirjoitusvarmenteet: Allekirjoitusvarmenteita ei julkaista varmennehakemistoon.
TEOPKI - T3 / v0.9 22(29) 5.7. Terveydenhuollon muun henkilöstön varmenteet Todentamis- ja salausvarmenteet: teopkicertificateserialnumber=sarjanumero,cn=teo Personnel CA,OU=Terveydenhuollon henkilovarmenne,o=teo CA,C=FI person organizationalperson inetorgperson pkiuser strongauthenticationuser teopkiusercertificate Attribuutit (pakolliset) usercertificate usercertificate;binary cn Sukunimi Etunimi Yksilöintitunnus sn Sukunimi (virallinen) givenname Etunimi (yksi virallisista etunimistä) serialnumber TEO:n antama yksilöintitunnus, 11 merkkiä o Organisaatio c FI teopkicertificateserialnumber CA:n luoma yksilöivä varmenteen sarjanumero teopkicertkeyusagestring 0,2,3 teopkicertnotbefore 20vvkkppttmmssZ Generalized Time teopkicertnotafter 20vvkkppttmmssZ Generalized Time teopkipublickeysha1hash Julkisesta avaimesta laskettu SHA-1 -tiiviste Attribuutit (valinnaiset) mikäli varmenteessa ou Organisaatioyksikkö mail Sähköpostiosoite createtimestamp 20vvkkppttmmssZ Generalized Time modifytimestamp 20vvkkppttmmssZ Generalized Time Varmennehakemistoon voidaan tallentaa myös muita mainittujen objektiluokkien sisältämiä attribuutteja. Muita kuin mainittuja objektiluokkia ei käytetä.
TEOPKI - T3 / v0.9 23(29) Allekirjoitusvarmenteet: Allekirjoitusvarmenteita ei julkaista varmennehakemistoon.
TEOPKI - T3 / v0.9 24(29) 5.8. Terveydenhuollon palveluvarmenteet Palvelinvarmenteet: teopkicertificateserialnumber=sarjanumero,cn=teo Services CA,OU=Terveydenhuollon palveluvarmenne,o=teo CA,C=FI pkiuser strongauthenticationuser teopkiusercertificate Attribuutit (pakolliset) usercertificate cn serialnumber usercertificate;binary palvelun/palvelimen dns-nimi tai ip-osoite Terveydenhuollon palveluntuottajarekisterin mukainen palveluntuottajan tai palveluntuottajan toimipaikan tai palveluntuottajan rekisterin OID-tunnus Käytetyt koodit perustuvat Stakes:n antamaan koodistoon. Esimerkki: 1.2.246.551 Terveydenhuollon oikeusturvakeskus o Organisaation nimi c FI teopkicertificateserialnumber CA:n luoma yksilöivä varmenteen sarjanumero teopkicertkeyusagestring varmennekohtainen, tyypillisesti 0 tai 0 ja 2 teopkicertnotbefore 20vvkkppttmmssZ Generalized Time teopkicertnotafter 20vvkkppttmmssZ Generalized Time teopkipublickeysha1hash Julkisesta avaimesta laskettu SHA-1 -tiiviste Attribuutit (valinnaiset) mikäli varmenteessa ou Organisaatioyksikkö mail Sähköpostiosoite st stateorlocality (esim. Etelä-Suomen lääni, Suomi ) locality Sijantipaikka (esim. Helsinki, Äkäslompolo ) createtimestamp 20vvkkppttmmssZ Generalized Time modifytimestamp 20vvkkppttmmssZ Generalized Time Varmennehakemistoon voidaan tallentaa myös muita mainittujen objektiluokkien sisältämiä attribuutteja. Muita kuin mainittuja objektiluokkia ei käytetä.
TEOPKI - T3 / v0.9 25(29) Järjestelmäallekirjoitusvarmenteet: teopkicertificateserialnumber=sarjanumero,cn=teo Services CA,OU=Terveydenhuollon palveluvarmenne,o=teo CA,C=FI pkiuser strongauthenticationuser teopkiusercertificate Attribuutit (pakolliset) usercertificate cn serialnumber usercertificate;binary Palvelun/palvelimen dns-nimi tai ip-osoite Terveydenhuollon palveluntuottajarekisterin mukainen palveluntuottajan tai palveluntuottajan toimipaikan tai palveluntuottajan rekisterin OID-tunnus Käytetyt koodit perustuvat Stakes:n antamaan koodistoon. Esimerkki: 1.2.246.551 Terveydenhuollon oikeusturvakeskus o Organisaation nimi c FI teopkicertificateserialnumber CA:n luoma yksilöivä varmenteen sarjanumero teopkicertkeyusagestring 0 ja 1 teopkicertnotbefore 20vvkkppttmmssZ Generalized Time teopkicertnotafter 20vvkkppttmmssZ Generalized Time teopkipublickeysha1hash Julkisesta avaimesta laskettu SHA-1 -tiiviste Attribuutit (valinnaiset) mikäli varmenteessa ou Organisaatioyksikkö mail Sähköpostiosoite st stateorlocality (esim. Etelä-Suomen lääni, Suomi ) locality Sijantipaikka (esim. Helsinki, Äkäslompolo ) createtimestamp 20vvkkppttmmssZ Generalized Time modifytimestamp 20vvkkppttmmssZ Generalized Time Varmennehakemistoon voidaan tallentaa myös muita mainittujen objektiluokkien sisältämiä attribuutteja. Muita kuin mainittuja objektiluokkia ei käytetä.
TEOPKI - T3 / v0.9 26(29) Sähköpostivarmenteet: teopkicertificateserialnumber=sarjanumero,cn=teo Services CA,OU=Terveydenhuollon palveluvarmenne,o=teo CA,C=FI pkiuser strongauthenticationuser teopkiusercertificate Attribuutit (pakolliset) usercertificate cn serialnumber usercertificate;binary palvelun tai käyttökohteen nimi/kuvaus Terveydenhuollon palveluntuottajarekisterin mukainen palveluntuottajan tai palveluntuottajan toimipaikan tai palveluntuottajan rekisterin OID-tunnus Käytetyt koodit perustuvat Stakes:n antamaan koodistoon. Esimerkki: 1.2.246.551 Terveydenhuollon oikeusturvakeskus o Organisaation nimi c FI mail Sähköpostiosoite teopkicertificateserialnumber CA:n luoma yksilöivä varmenteen sarjanumero teopkicertkeyusagestring varmennekohtainen, tyypillisesti 0 ja 2 tai 0,2,3 teopkicertnotbefore 20vvkkppttmmssZ Generalized Time teopkicertnotafter 20vvkkppttmmssZ Generalized Time teopkipublickeysha1hash Julkisesta avaimesta laskettu SHA-1 -tiiviste Attribuutit (valinnaiset) mikäli varmenteessa ou Organisaatioyksikkö st stateorlocality (esim. Etelä-Suomen lääni, Suomi ) locality Sijantipaikka (esim. Helsinki, Äkäslompolo ) createtimestamp 20vvkkppttmmssZ Generalized Time modifytimestamp 20vvkkppttmmssZ Generalized Time Varmennehakemistoon voidaan tallentaa myös muita mainittujen objektiluokkien sisältämiä attribuutteja. Muita kuin mainittuja objektiluokkia ei käytetä.
TEOPKI - T3 / v0.9 27(29) 5.9. Palveluiden antajien henkilötoimijoiden varmenteet Todentamis- ja salausvarmenteet: teopkicertificateserialnumber=sarjanumero,cn=teo Assistant CA,OU=Toimijavarmenne,O=TEO CA,C=FI person organizationalperson inetorgperson pkiuser strongauthenticationuser teopkiusercertificate Attribuutit (pakolliset) usercertificate usercertificate;binary cn Sukunimi Etunimi Yksilöintitunnus sn Sukunimi (virallinen) givenname Etunimi (yksi virallisista etunimistä) serialnumber TEO:n antama yksilöintitunnus, 11 merkkiä o Organisaatio c FI teopkicertificateserialnumber CA:n luoma yksilöivä varmenteen sarjanumero teopkicertkeyusagestring 0,2,3 teopkicertnotbefore 20vvkkppttmmssZ Generalized Time teopkicertnotafter 20vvkkppttmmssZ Generalized Time teopkipublickeysha1hash Julkisesta avaimesta laskettu SHA-1 -tiiviste Attribuutit (valinnaiset) mikäli varmenteessa ou Organisaatioyksikkö mail Sähköpostiosoite createtimestamp 20vvkkppttmmssZ Generalized Time modifytimestamp 20vvkkppttmmssZ Generalized Time Varmennehakemistoon voidaan tallentaa myös muita mainittujen objektiluokkien sisältämiä attribuutteja. Muita kuin mainittuja objektiluokkia ei käytetä.
TEOPKI - T3 / v0.9 28(29) Allekirjoitusvarmenteet: Allekirjoitusvarmenteita ei julkaista varmennehakemistoon.
TEOPKI - T3 / v0.9 29(29) 5.10. Sulkulistat Sulkulista (CRL) on varmentajan (CA) sähköisesti allekirjoittama luettelo niistä myönnetyistä varmenteista joiden käyttöä ei peruuttamisen johdosta tule enää peruuttamisajankohdan jälkeen hyväksyä. Sulkulistat julkaistaan varmennehakemistoon kyseisen sulkulistan julkaisijan (CA) hakemistohaaraan. Nämä paikat sisältävät crldistributionpoint -objektiluokan. Varsinainen sulkulista tallennettu binäärimuotoisena hakemistoon certificaterevocationlist attribuuttiin. Varmenteen peruuttaminen ei mitätöi ENNEN peruuttamisajankohtaa kyseisellä varmenteella tehtyjä toimenpiteitä, kuten sähköisiä allekirjoituksia. Varmenteisiin luottavan osapuolen velvollisuus on tarkistaa yksittäisen varmenteen tila mahdollisen peruuttamisen varalta voimassaolevalta sulkulistalta. Normaalisti sulkulistoja päivitetään ja julkaistaan kerran tunnissa. Mahdollisten häiriötilanteiden varalta sulkulistojen voimassaoloaika on määritetty merkittävästi pidemmäksi kuin niiden julkaisusykli.
Terveydenhuollon oikeusturvakeskus 2007