Viestintäviraston EPP-rajapinta Sami Salmensuo Erityisasiantuntija
EPP - Extensible Provisioning Protocol EPP on XML- pohjainen protokolla EPP:llä tarkoitetaan RFC-dokumenteissa määriteltyä tapaa liittyä rekisterin (registry) ylläpitäjän järjestelmään. EPP on muodostunut alan standardiksi ja on hyvin yleisessä käytössä. EPP on määritelty RFC-dokumenteissa RFC 3375 ja RFC 3735. Määrittelyjä on tarkennettu useissa muissa dokumenteissa. Korvaa Web Service rajapinnan 5.9.2016 alkaen Sami Salmensuo 27.10.2015 2
EPP Web Service <soapenv:envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/" xmlns:dom="http://domainws.ficora.fi.operations" xmlns:dom1="http://domainws.ficora.fi.schemas" xmlns:arr="http://schemas.microsoft.com/2003/10/serialization/arra ys"> <soapenv:header/> <soapenv:body> <dom:apply> <!--Optional:--> <dom:webdomainrequest> <dom1:name>?</dom1:name> <dom1:valid_applicant_confirmation>?</dom1:valid_applicant_confir mation> <dom1:based_on_person_name>?</dom1:based_on_person_name> <dom1:person_name_registration_id>?</dom1:person_name_registr ation_id> <dom1:person_name_registration_number>?</dom1:person_name_r egistration_number> <dom1:domain_name_holder_company_type>?</dom1:domain_nam e_holder_company_type> <dom1:domain_name_holder_business_id>?</dom1:domain_name_ holder_business_id>... EPP <?xml version="1.0" encoding="utf-8" standalone="no"?> <epp xmlns="urn:ietf:params:xml:ns:epp-1.0" xmlns:xsi="http://www.w3.org/2001/xmlschema-instance"> <command> <create> <domain:create xmlns:domain="urn:ietf:params:xml:ns:domain-1.0"> <domain:name>esimerkki.fi</domain:name> <domain:period unit="y">2</domain:period> <domain:ns> <domain:hostobj>ns1.esimerkki.fi</domain:hostobj> <domain:hostobj>ns2.esimerkki.fi</domain:hostobj> </domain:ns> <domain:registrant>haltijantunnus</domain:registrant> <domain:contact type="admin">admin</domain:contact> <domain:contact type="tech">tekninen</domain:contact> <domain:authinfo> <domain:pw>salasana</domain:pw> </domain:authinfo> </domain:create> </create>... Sami Salmensuo 27.10.2015 3
EPP Vaikka EPP toteutus on määritelty RFC dokumenteissa, eroavat rekistereiden EPP-toteutukset merkittävästi toisistaan Yksi EPP-client ei toimi kaikilla rekistereillä, vaaditaan rekisterikohtaisia muutoksia Viestintäviraston EPP-toteutus on RFC-dokumenttien mukainen siltä osin kuin mahdollista» Merkittäviä muutoksia contact create toiminnossa Sisältää Viestintäviraston laajennuksia» Check Balance» Auto renew Sami Salmensuo 27.10.2015 4
EPP Poikkeamat RFC dokumenteista kuvataan EPP rajapintakuvauksessa Myös RFC:t antavat liikkumavaraa toteutukselle» MAY» SHOULD» RECOMMENDED Sami Salmensuo 27.10.2015 5
EPP Turvamekanismit:» EPP Salasana» HTTPS» IP Whitelist» Välittäjäkohtainen palvelinvarmenne Luotetut CA:t (ainakin):» Verisign» Symantec» GeoTrust» GlobalSign» Thawte» CACert» Comodo.pem,.crt,.cer,.key Sami Salmensuo 27.10.2015 6
EPP Hyväksytyt CA:t Periaatteessa kaikki CA:t käyvät, kunhan juurivarmenteen julkinen avain on ladattavissa CA:lla on useita varmenteita, joille on omat juurivarmenteet» Kaikkia ei löydy järjestelmästä» Jos varmennetta ladattaessa tulee virheilmoitus Eihyväksyttävästä varmenteesta, viesti fi-domaintech@ficora.fi osoitteeseen» Viestiin linkki mistä CA:n juurivarmenne on haettavissa» Testiympäristössä käytössä olevat juurivarmenteet kopioidaan myös tuotantoon» Ei Self-signed varmenteita Sami Salmensuo 27.10.2015 7
EPP Toteutuksessa käytetyt RFC dokumentit:» RFC 3375 - Generic Registry-Registrar Protocol Requirements» RFC 3735 - Guidelines for Extending EPP» RFC 5730 - Extensible Provisioning Protocol» RFC 5731 - Extensible Provisioning Protocol (EPP) Domain Name Mapping» RFC 5732 - Extensible Provisioning Protocol (EPP) Host Mapping» RFC 5733 - Extensible Provisioning Protocol (EPP) Contact Mapping» RFC 5734 - Extensible Provisioning Protocol (EPP) Transport over TCP» RFC 5910 - Domain Name System (DNS) Security Extensions Mapping for the Extensible Provisioning Protocol Sami Salmensuo 27.10.2015 8
EPP Vaatimukset Verkkotunnusvälittäjän tulee täyttää määräyksen vaatimukset:» Välittäjällä on Viestintäviraston EPP testaus / kehitysympäristössä toimiva asiakasohjelma» Verkkotunnusvälittäjän on täytettävä Kansallisen turvallisuusauditointikriteeristön (KATAKRI) kulloinkin voimassaolevan version I-osion mukaiset perustason (IV) vaatimukset Tietoliikenneturvallisuus Tietojärjestelmäturvallisuus Sami Salmensuo 27.10.2015 9
EPP Testaus & kehitys EPP korvaa Web Service rajapinnan ilman päällekkäistä siirtymäaikaa Viestintävirasto tarjoaa EPP:lle täysin tuotantoversiota vastaavan kehitysympäristön, jossa voi kokeilla muutoksia vapaasti Ympäristö on täysin valmis käytettäväksi Käytettävissä EPP-rajapinta sekä selainkäyttöliittymä Sami Salmensuo 27.10.2015 10
EPP Kehitysympäristön käyttöönotto Sami Salmensuo 27.10.2015 11
EPP - Ilmoittautumislomake Sami Salmensuo 12.3.2015 12
EPP - Ilmoittautumislomake Sami Salmensuo 27.10.2015 13
EPP - Vahvistus Sami Salmensuo 27.10.2015 14
EPP Salasanan toimittaminen Sami Salmensuo 27.10.2015 15
EPP testiweb etusivu Sami Salmensuo 27.10.2015 16
EPP tilinhallinta Sami Salmensuo 27.10.2015 17
EPP sallitut IP-osoitteet Sami Salmensuo 27.10.2015 18
EPP sallitut IP-osoitteet Sallittujen IP-osoitteiden julkaisu on tällä hetkellä manuaalinen prosessi IP-lisäysten tai muutosten jälkeen ilmoitus fidomain-tech@ficora.fi osoitteeseen Automatisoitu prosessi sallittujen IP-osoitteiden julkaisemiseksi Korkeintaan viisi yksittäistä IP-osoitetta» Ei sallittuja IP-osoitteita ovat IETF:n muuhun käyttöön varaamat IP-osoitteet kuten: 0.0.0.0/8, 10.0.0.0/8, 127.0.0.0/8, 169.254.0.0/16... Sami Salmensuo 27.10.2015 19
EPP Välittäjän loki Sami Salmensuo 27.10.2015 20
EPP testaus & kehitysympäristö Kertauksena:» "Ilmoittaudu välittäjäksi" Kehitysympäristöön. Käytännössä rekisteröityy kehitysympäristön käyttäjäksi.» Ilmoita Viestintävirastolle sähköpostitse fi-domaintech@ficora.fi osoitteeseen että rekisteröidyit käyttäjäksi. [nimi, rekisterinumero].» Lähetämme selainkäyttöliittymän salasanan sähköpostitse» Määritä selainkäyttöliittymässä: EPP-salasana, palvelinvarmenne, sallitut IP-osoitteet Sami Salmensuo 27.10.2015 21
EPP - testaus & kehitysympäristö Muutokset ovat mahdollisia Kehitysympäristön käyttäjän ei tarvitse olla välittäjä, ei nykyinen eikä tuleva Palvelun osoite on epptest.ficora.fi, EPP rajapinnalla on sama osoite, mutta portti on TCP 700. Lisätietoja:» https://domain.fi/info/index/fi_uudistuu/valittajalle/teknisetrajap innat/epp-rajapinta.html» fi-domain-tech@ficora.fi Kysyttävää? Sami Salmensuo 27.10.2015 22
Tulevan verkkotunnuspalvelun merkittäviä muutoksia Sami Salmensuo Erityisasiantuntija
2-vaiheinen kirjautuminen Välittäjän käyttäjillä on henkilökohtaiset tunnukset joilla kirjautuvat välittäjän tilille Vähintään 1 pääkäyttäjä, jolla on oikeus lisätä uusia käyttäjiä Käyttäjätunnus, salasana ja kertakäyttösalasana (SMS tai OTP salasanalista) Sami Salmensuo 27.10.2015 24
2-vaiheinen kirjautuminen Pääkäyttäjä(t) voivat lisätä uusia käyttäjiä Vähintään 1 pääkäyttäjä, jolla on oikeus lisätä uusia käyttäjiä, muokata käyttäjien rooleja ja puhelinnumeroa Käyttäjät voivat muokata omia tietojaan Ei mahdollista asettaa käyttäjäkohtaisia oikeuksia verkkotunnuspalveluun Sami Salmensuo 27.10.2015 25
Yhteystieto Objektit Yksi "Contact object" voidaan linkittää yhteen tai useampaan verkkotunnukseen Nykyjärjestelmässä on jokaisella palveluntarjoajan rekisteröimällä verkkotunnuksella verkkotunnuskohtaiset yhteystiedot. Yhteystietojen muuttuessa pitää uusi yhteystieto päivittää jokaiselle verkkotunnukselle erikseen Uudessa järjestelmässä asiakkaalla voi olla yksi yhteystieto "olio", joka linkitetään kaikkiin asiakkaan verkkotunnuksiin Neljä roolia:» Käyttäjä (Holder) -> pakollinen jokaisella verkkotunnuksella» Billing» Technical» Admin Sami Salmensuo 27.10.2015 26
Automaattinen uusiminen Välittäjä voi asettaa verkkotunnukselle automaattisen uusimisen päälle 45 päivää ennen verkkotunnuksen vanhenemista generoidaan Poll ja / tai sähköpostiviesti siitä että verkkotunnuksen voimassaoloaikaa tullaan jatkamaan jos saldo riittää voimassaoloajan jatkamiseen. Tämän ilmoituksen ja uusimisajankohdan välissä voidaan automaattinen voimassaoloajan jatkaminen vielä poistaa käytöstä. 30 päivää ennen verkkotunnuksen vanhenemista verkkotunnuksen voimassaoloaikaa jatketaan, JOS saldo riittää voimassaoloajan jatkamiseen. Jos välittäjän EPP-tilin saldo ei riitä ensimmäisellä uusimiskerralla, yritetään uusimista uudelleen kerran vuorokaudessa kunnes verkkotunnuksen voimassaoloaikaa onnistutaan jatkamaan, tai verkkotunnus vanhenee. Sami Salmensuo 27.10.2015 27
Tapahtumaloki Välittäjä näkee lokista kaikki välittäjää koskevat tapahtumat Sami Salmensuo 27.10.2015 28
Maksaminen Verkkotunnusmaksujen maksaminen tapahtuu välittäjän ennakkomaksutililtä» EPP:n kautta tapahtuvat maksulliset tapahtumat» Selainkäyttöliittymän maksut» Automaattiset uusimiset Ennakkomaksutilille rahan siirto voi tapahtua kahdella tavalla:» Online maksuna (Verkkopankit, luottokortit)» Tilisiirtona Ennakkomaksutilin saldon hälytysraja on välittäjän itse määriteltävissä Sami Salmensuo 27.10.2015 29