Tájékoztató

A Netlock Kft. által biztosított szolgáltatások interneten keresztüli eléréséhez a lenti táblázatban felsorolt domain nevek használhatók. A táblázat tartalmazza (ahol értelmezhető) a futó szolgáltatások elnevezését is.

Az AIA, OCSP és CRL válaszokhoz szükséges, hogy a táblázatban található címek elérhetőek legyenek a saját hálózatban. Ennek megfelelően a tűzfallal védett hálózatban a HTTP (80) és HTTPS (443) portok engedélyezése szükséges.

FIGYELEM!

Erősen javasolt az elérések DNS alapú biztosítása, mivel az IP címek előzetes értesítés nélkül is változhatnak.

DNS - szolgáltatás - IP összerendelési táblázat

DNS SZOLGÁLTATÁS AKTUÁLIS IP CÍM
netlock.hu főoldal, információk 80.77.125.164
www.netlock.hu tanúsítvány kezelő felület, időbélyeg URL, információk 91.120.239.74
crl1.netlock.hu visszavonási lista letöltése 185.33.53.5
crl2.netlock.hu visszavonási lista letöltése 91.120.239.74
crl3.netlock.hu visszavonási lista letöltése 91.83.236.157
aia1.netlock.hu gyökér és köztes kiadói tanúsítványok letöltése 185.33.53.5
aia2.netlock.hu gyökér és köztes kiadói tanúsítványok letöltése 91.120.239.74
aia3.netlock.hu gyökér és köztes kiadói tanúsítványok letöltése 91.83.236.157
ocsp1.netlock.hu ocsp kiszolgáló elérése 185.33.53.5
ocsp2.netlock.hu ocsp kiszolgáló elérése 91.120.239.74
ocsp3.netlock.hu ocsp kiszolgáló elérése 91.83.236.157
ts1.netlock.hu időbélyeg kiszolgáló elérése 185.33.53.5
ts2.netlock.hu időbélyeg kiszolgáló elérése 91.120.239.74
ts3.netlock.hu időbélyeg kiszolgáló elérése 91.83.236.157

IP címek ellenőrzése Nagios szoftverrel

A fenti IP címek ellenőrzésére a Nagios szoftver check_dns modulja javasolt.

A parancs formátuma: check_dns -s <névszerver> -H <URL> -a <az URL-hez tartozó IP cím>

ahol,
névszerver = a szervezete névszervere,
URL = a fenti táblázat egyik URL-je,
IP = az URL-hez tartozó IP cím

Példa:
check_dns -s <névszerver> -H crl1.netlock.hu -a 185.33.53.5

ez a példa névszerverétől kérdezi, hogy a crl1.netlock.hu IP címe a 185.33.53.5 cím-e, és jelzést ad, ha nem.

Korlátozás nélkül kiszolgált OCSP, CRL, AIA és TS forgalom

Annak érdekében, hogy visszavonási információk, köztes kiadói tanúsítványok és időbélyeg kiszolgálás folyamatosan elérhető legyen, szükség van a túlzó használat korlátozására. E korlátozások kérésre, térítés ellenében feloldhatók.

Az visszavonási információk lekérésére az alábbi korlátozások vonatkoznak:

  • Maximum 25 egyidejű kapcsolat egy IP címről
    E felett új kapcsolat nem nyitható meg.
  • Maximum 15 kérés / másodperc egy IP címről
    Ennek túllépésekor szolgáltatástól függően 30-50 kapcsolat még várakozik az e felettiek 503 hibaüzenettel elutasításra kerülnek.

TS formátum

Az időbélyegző formátuma a következő:

  • Az időbélyegző tanúsítvány az ETSI 319412-3-nak megfelelő alany adatokat tartalmaz.
  • Az időbélyeg válasz RFC 3161 szerinti Accuracy értéket 0,1 másodperc értékkel tartalmazza.
  • Az időbélyeg válasz az ETSI 319421 szerinti BTSP policy azonosítót tartalmazza.

OCSP formátum

Az OCSP formátuma a következő:

  • Az OCSP tanúsítvány az RFC 5280 szerinti adatokat tartalmaz.
  • Az OCSP válasz SSL tanúsítványokra RFC 5280 szerinti NotAfter értéket ad vissza, érvényessége 1 nap.

SSL tanúsítvány tesztelési lehetőségek

Az SSL tanúsítványok használatának teszteléséhez az alábbi címeken érhető el tanúsítvány:

  • revoked.tanusitvany.hu - visszavont tanúsítvány
  • expired.tanusitvany.hu - lejárt tanúsítvány
  • valid.tanusitvany.hu - érvényes tanúsítvány