5 593
muokkausta
Muutokset
Siirry navigaatioon
Siirry hakuun
p
<< [[Tekniikka]] '''Digiviraston''' tietoja voi hyödyntää palveluita rakentaessa. Julkisesti avoimena ovat:* varmennehakemisto josta voi tehdä kyselyitä LDAP-protokollalla* varmenteiden sulkulista jonka voi ladata HTTP-protokollalla
Asioijan tietoja tarvitaan palveluita rakentaessa, kyselyt voi tehdä LDAP- ja HTTP protokollilla.
== LDAP-hakemisto varmennehakemisto ==
LDAP-hakemiston kyselyitä voi tehdä [[Digivirasto]]n järjestelmästä anonyymisti ja osa ([[VTJ|väestötietojärjestelmä]],) vaatii sopimuksen ja pääsyoikeudet. Kyselyitä voi tehdä käyttäen SATU-tunnusta tai nimistä ja SATU:sta johdettua Common Name -attribuuttia. Jos henkilöllä ei ole henkilökorttia ja sen aktiivista varmennetta, kyselyt eivät palauta mitään.
Hakemistohierarkian ja kyselyiden kanssa avusti LDAP-asiantuntija Timo Kirves <[mailto:timo@omit.fi timo@omit.fi]>.
=== Henkilön tiedot ===
Haut kannattaa tehdä [[SATU]]-tunnuksella jos mahdollista sillä se on täysin yksilöivä ja pysyy aina samana vaikka henkilön kortti vaihtuisikin uudempaan. Hauissa on hyvä huomioida, että jokaisella on SATU olemassa, mutta kyselyt eivät palauta mitään jos ei ole aktiivista varmennetta, tämä pätee vanhentuneisiin varmenteisiin sekä henkilöihin jotka eivät ole ikinä hankkineet [[Henkilökortti|henkilökorttia]] tai [[Mobiilivarmenne|Mobiilivarmennetta]].
'''Common Name (CN) haku SATU-tunnuksella''':
B8:82:51:F3:2A:50:D0:50:E2:C6:92:9B:4F:D9:F9:A4:E3:13:78:D1
$
=== Sähköposti ===
Varemnnehakemiston suurin käyttökohde on sähköpostin salaus. Digivirasto on rakentanut varmennehakemistonsa siten, että organisaatio- ja sotevarmenteilla näkyy ''mail'' attribuutti, kansalaisvarmenteista ei - vaikka se olisi ilmoitettu valtiolle korttia hakiessa. Suurin osa sähköpostiohjelmista olettaa mail kentän olemassaolon ja käyttävät tätä hakeakseen salausvarmenteen.
Salattua viestiä lähettäessä ohjelmasta riippuen tapahtuu suunnilleen seuraavaa:
Vastaanottaja voidaan saada selville kirjoittamalla nimeä merkki kerrallaan, postiohjelmat hakua kun ensimmäiset merkit kirjoitetaan vastaanottajakenttään, esim Tuomala:
* haetaan henkilöobjekteja
* suodatetaan hakua '''mail, cn, givename, sn''' attribuutteja käyttäen TAI-operaatiolla
* haetaan attribuutteja '''cn, mail, givenname, sn, objectclass'''
LDAP-protokollssa suodatin:
(&(|(|(objectclass=person)(objectclass=groupOfNames))(mail=*))(|(|(|(cn=tuoma*)(mail=tuoma*))(givenName=tuoma*))(sn=tuoma*)))
Hakutuloksista ja niiden attribuuteista rakennetaan esimerkiksi ns dropdown-lista käyttöliittymään, josta käyttäjä valitsee tarkoittamansa vastaanottajan ja mail-attribuutti on tiedossa.
Jos vastaanottaja valitaan käyttöliittymän listasta esim osoitekirjasta tai olemassaolevasta viestistä, mail-attribuutti on tiedossa.
Kun haluttu henkilö tiedetään, tehdään toinen kysely mail-attribuuttia käyttäen jotta saadaan ''usercertificate'' attribuutin arvo eli varmennehakemiston DER-koodattu varmenne, joka sisältää vastaanottajan julkisen avaimen jolla sähköposti salataan.
Ohjelmissa yleensä pystyy itse asettamaan LDAP-hakemistopuun alkuosan, base arvon (ldapsearch -b optio) ja mahdollisesti hakusuodattimen arvoja. Mutta nämä eivät riitä korjaamaan mail-attribuutin puutetta joka on kiinteästi osa ohjelmien toimintaa.
=== Sulkulista ===
$ ldapsearch -x -h ldap.fineid.fi -b dmdName=fineid,c=fi certificaterevocationlist
== HTTP-kyselyt ==
=== Sulkulista ===
* http://proxy.fineid.fi/crl/vrkcqcc.crl ?
=== Varmennehierarkia ===
https://dvv.fineid.fi/api/v1/cas/100/people?serialNumber=10000350X
https://dvv.fineid.fi/api/v1/cas/100/people?mail=juha.tuomala%40iki.fi
[{
"dn":
"certificateSerialNumber=1002703297,
cn=VRK Gov. CA for Citizen Qualified Certificates - G2,
ou=Valtion kansalaisvarmenteet,o=Vaestorekisterikeskus CA,dmdName=FINEID,c=FI",
"givenName":"JUHA",
"sn":"TUOMALA",
"mail":"juha.tuomala@iki.fi",
"serialNumber":"10000350X",
"certificateSerialNumber":"1002703297",
"certificateSerialNumberHex":"3bc409c1"
}]
Varmenteen lataus palauttaa DER-muotoisen binäärisen varmenteen.
https://dvv.fineid.fi/api/v1/people/certificateSerialNumber%3D1002703297%2Ccn%3DVRK%20Gov.%20CA%20for%20Citizen%20Qualified%20Certificates%20-%20G2%2Cou%3DValtion%20kansalaisvarmenteet%2Co%3DVaestorekisterikeskus%20CA%2CdmdName%3DFINEID%2Cc%3DFI/certificate
== Katso myös ==
* [https://github.com/vrk-kpa github.com/vrk-kpa]
* [http://developer.fineid.fi developer.fineid.fi]
* [https://dvv.fi/en/fineid-specifications dvv.fi fineid specifications]
* [https://www.openldap.org/software/man.cgi?query=ldapsearch openldap.org - ldapsearch(1) man page]
[[Luokka:Tekniikka|D]]
