Specialtecken
De uppgifter som lämnas med certifikatbegäran får inte innehålla skandinaviska tecken (å, ä, ö) eller andra specialtecken.
Administrativ kontaktperson
Observera att när du anger en administrativ kontaktperson så måste denna person finnas tillgänglig. Detta för att kunna besvara ett telefonsamtal från oss för verifiering av lagd beställning. Om han/hon inte går att kontakta kommer certifikatleveransen att försenas.
Servernamn
Common Name (CN) eller Subject Alternative Name (SAN) har oftast formen www.foretag.se eller som en IP-adress 123.4.5.6. Adressen skall vara registrerad för aktuell server. Om man beställer ett wildcardcertifikat (*.domän.com), ska Common Name (CN) vara i formen en stjärna, en punkt och ett domännamn för vilket er organisation är ägare till (*.foretag.se). Det finns två sätt att skriva in namnet/namnen vid en certifikatbeställning:
- Genom att skapa en Certificate Signing Request (CSR) med alla CN och SAN-värden. (SSL-Portal)
- Genom att skapa Certificate Signing Request (CSR) med eller utan ett CN/SAN-värde de man kan addera fler värden i beställningsformuläret då certifikatet beställs. (Beställning via webb)
Det är inte tillåtet att använda interna namn. Domännamnet måste alltså finnas med i det officiella DNS-registret.
Tabellen nedan visar exempel på otillåtna värden:
| CN/SAN värde | Exempel | |||
| Oregistrerad domän | .local | |||
| Ingen domän | EXCHANGESERVER1 | |||
| Privat IP-adress | 10.x.x.x | 169.254.x.x | 172.16.x.x - 172.31.x.x | 192.168.x.x |
En fullständig lista över privata IP-adresser finns i IETF dokument RFC 1918 (IPv4) och RFC 4193 (IPv6)
Nyckellängd
Telias certifikattjänster supporterar RSA och ECC-nycklar. Minimum nyckellängd för RSA-nycklar är 2048 bitar. Följande elliptiska kurvor supporteras:
- prime256v1
- secp384r1
Nuvarande Telia certifikatskedja för TLS certifikat består av rot certifikat Telia Root CA v2 och två mellanliggande CAer: Telia Server CA v3 och Telia Domain Validation CA v3.
| Certifieringshierarki | Rotnivå* | Mellannivå | Utfärdande nivå | Servernivå |
| Den gamla OV-hierarki | TeliaSonera Root CA v1 → | Telia Root CA v2 (intermediate) → | Telia Server CA v3 → | server.se |
| Nuvarande OV-hierarkin | Telia Root CA v2 → | Telia Server CA v3 → | server.se | |
| Den gamla DV-hierarki | TeliaSonera Root CA v1 → | Telia Root CA v2 (intermediate) → | Telia Domain Validation CA v3 → | server.se |
| Nuvarande DV-hierarkin | Telia Root CA v2 → | Telia Domain Validation CA v3 → | server.se |
* Installation av rotcertifikaten är inte nödvändigt om serverapplikationen kan använda operativsystemets certifikatlager.
De rotcertifikat som behövs kan laddas ner från länkarna i tabellen eller här. Rotcertifikatpaketen som finns i kapitlet Instruktioner för olika servrar kan också användas.
Instruktion för CSR-innehåll
| Fält | Exampel | Krav | Information |
| (CN) Common name | www.foretag.se / *.foretag.se |
Ja | Denna adress skall vara registrerad för servern. Om certifikatet är ett wildcard-certifikat anges en stjärna, en punkt följt av domännamn |
| (OU) Organizational unit | - | Inte i bruk | Detta värde ingår inte i certifikat utfärdade av Telia Company |
| (O) Organization | Företaget AB | Ja | Organisationsnamnet måste vara det officiella registrerade namnet |
| (L) Locality | Stockholm | Ja | Huvudsäte för organisationen |
| (ST) State | - | Inte i bruk | Detta värde ingår inte i certifikat utfärdade av Telia Company |
| (C) Country | SE | Ja | Landskoden för organisationens säte i värde O. Detta värde har alltid två bokstäver |
| (E) Email | webmaster@ foretag.se |
Nej | Detta värde ingår inte i certifikat utfärdade av Telia Company |
Tomma meta-värden som "unknown","-" och " " inte är tillåtna som CSR-värden.
Om du använder å, ä, ö eller något annat icke-ASCII tecken i certifikatet, vänligen använd UTF-8. Till exempel om en request görs i OpenSSL så behöver -utf8 inkluderas vid skapande av CSR.
Alla portalkunder har ett begränsat antal ortsnamn som validerats som huvudsäte. Om värdet i L (locality) innehåller något annat än UTF-8 tecken, kommer portalen att visa ett felmeddelande när en CSR avkodas.
Sammansättning av en korrekt registrerad adress
Ett certifikat kan endast utfärdas om det lämnats fullkomliga uppgifter som stämmer överens mot uppgifterna i ett officiellt godkänt register. En korrekt CSR ska alltid innehålla fälten O, L och C. Organisationens adress och Postnummer ska anges i beställningsformuläret. De angivna adressen kan inte vara en boxadress, det måste vara en gatu/besöksadress. En fakturaadress kan dock vara en boxadress.
Sökväg till datafilen vid domänvalidering via filmetoden
När filmetoden används för att bevisa sin kontroll över en domän så behöver filen läggas till en speciell sökväg på din webbserver. Exemplet nedan visar om filen skulle heta: telia_validation_data_file20180308.
| Kontrolladdress | Exempel på hela sökvägen | |
| Linux | www.bolag.se/.well-known/pki-validation/telia_validation_data_file_20180308 | /var/www/html/.well-known/pki-validation/telia_validation_data_file_20180308 |
| Windows | www.bolag.se/.well-known/pki-validation/telia_validation_data_file_20180308 | C:\well-known\pki-validation\telia_validation_data_file_20180308 |
ANVISNINGAR FÖR OLIKA SERVRAR
ApacheMicrosoft IIS och Azure
Java
Tomcat