View
40
Download
0
Category
Preview:
Citation preview
Viestintäviraston EPP-rajapinta
Sami Salmensuo
Erityisasiantuntija
|
EPP - Extensible Provisioning Protocol
EPP on XML- pohjainen protokolla
EPP:llä tarkoitetaan RFC-dokumenteissa määriteltyä tapaa liittyä rekisterin (registry) ylläpitäjän järjestelmään.
EPP on muodostunut alan standardiksi ja on hyvin yleisessä käytössä.
EPP on määritelty RFC-dokumenteissa RFC 3375 ja RFC 3735. Määrittelyjä on tarkennettu useissa muissa dokumenteissa.
Korvaa Web Service rajapinnan 5.9.2016 alkaen
27.10.2015 2 Sami Salmensuo
|
EPP Web Service
<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/" xmlns:dom="http://domainws.ficora.fi.operations" xmlns:dom1="http://domainws.ficora.fi.schemas" xmlns:arr="http://schemas.microsoft.com/2003/10/Serialization/Arrays"> <soapenv:Header/> <soapenv:Body> <dom:Apply> <!--Optional:--> <dom:webDomainRequest> <dom1:name>?</dom1:name> <dom1:valid_applicant_confirmation>?</dom1:valid_applicant_confirmation> <dom1:based_on_person_name>?</dom1:based_on_person_name> <dom1:person_name_registration_id>?</dom1:person_name_registration_id> <dom1:person_name_registration_number>?</dom1:person_name_registration_number> <dom1:domain_name_holder_company_type>?</dom1:domain_name_holder_company_type> <dom1:domain_name_holder_business_id>?</dom1:domain_name_holder_business_id> ...
EPP <?xml version="1.0" encoding="UTF-8" standalone="no"?> <epp xmlns="urn:ietf:params:xml:ns:epp-1.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"> <command> <create> <domain:create xmlns:domain="urn:ietf:params:xml:ns:domain-1.0"> <domain:name>esimerkki.fi</domain:name> <domain:period unit="y">2</domain:period> <domain:ns> <domain:hostObj>ns1.esimerkki.fi</domain:hostObj> <domain:hostObj>ns2.esimerkki.fi</domain:hostObj> </domain:ns> <domain:registrant>haltijantunnus</domain:registrant> <domain:contact type="admin">admin</domain:contact> <domain:contact type="tech">tekninen</domain:contact> <domain:authInfo> <domain:pw>salasana</domain:pw> </domain:authInfo> </domain:create> </create> ...
27.10.2015 Sami Salmensuo 3
|
EPP
Vaikka EPP toteutus on määritelty RFC dokumenteissa, eroavat rekistereiden EPP-toteutukset merkittävästi toisistaan
Yksi EPP-client ei toimi kaikilla rekistereillä, vaaditaan rekisterikohtaisia muutoksia
Viestintäviraston EPP-toteutus on RFC-dokumenttien mukainen siltä osin kuin mahdollista
» Merkittäviä muutoksia contact create toiminnossa
Sisältää Viestintäviraston laajennuksia
» Check Balance
» Auto renew
27.10.2015 Sami Salmensuo 4
|
EPP
Poikkeamat RFC dokumenteista kuvataan EPP rajapintakuvauksessa
Myös RFC:t antavat liikkumavaraa toteutukselle
» MAY
» SHOULD
» RECOMMENDED
27.10.2015 Sami Salmensuo 5
|
EPP
Turvamekanismit: » EPP Salasana
» HTTPS
» IP Whitelist
» Välittäjäkohtainen palvelinvarmenne
Luotetut CA:t (ainakin): » Verisign
» Symantec
» GeoTrust
» GlobalSign
» Thawte
» CACert
» Comodo
.pem, .crt, .cer, .key
27.10.2015 Sami Salmensuo 6
|
EPP – Hyväksytyt CA:t
Periaatteessa kaikki CA:t käyvät, kunhan juurivarmenteen julkinen avain on ladattavissa
CA:lla on useita varmenteita, joille on omat juurivarmenteet
» Kaikkia ei löydy järjestelmästä
» Jos varmennetta ladattaessa tulee virheilmoitus Ei-hyväksyttävästä varmenteesta, viesti fi-domain-tech@ficora.fi osoitteeseen
» Viestiin linkki mistä CA:n juurivarmenne on haettavissa
» Testiympäristössä käytössä olevat juurivarmenteet kopioidaan myös tuotantoon
» Ei Self-signed varmenteita
27.10.2015 Sami Salmensuo 7
|
EPP
Toteutuksessa käytetyt RFC dokumentit:
» RFC 3375 - Generic Registry-Registrar Protocol Requirements
» RFC 3735 - Guidelines for Extending EPP
» RFC 5730 - Extensible Provisioning Protocol
» RFC 5731 - Extensible Provisioning Protocol (EPP) Domain Name Mapping
» RFC 5732 - Extensible Provisioning Protocol (EPP) Host Mapping
» RFC 5733 - Extensible Provisioning Protocol (EPP) Contact Mapping
» RFC 5734 - Extensible Provisioning Protocol (EPP) Transport over TCP
» RFC 5910 - Domain Name System (DNS) Security Extensions Mapping for the Extensible Provisioning Protocol
27.10.2015 Sami Salmensuo 8
|
EPP – Vaatimukset
Verkkotunnusvälittäjän tulee täyttää määräyksen vaatimukset:
» Välittäjällä on Viestintäviraston EPP testaus / kehitysympäristössä toimiva asiakasohjelma
» Verkkotunnusvälittäjän on täytettävä Kansallisen turvallisuusauditointikriteeristön (KATAKRI) kulloinkin voimassaolevan version I-osion mukaiset perustason (IV) vaatimukset
Tietoliikenneturvallisuus
Tietojärjestelmäturvallisuus
27.10.2015 Sami Salmensuo 9
|
EPP – Testaus & kehitys
EPP korvaa Web Service rajapinnan ilman päällekkäistä siirtymäaikaa
Viestintävirasto tarjoaa EPP:lle täysin tuotantoversiota vastaavan kehitysympäristön, jossa voi kokeilla muutoksia vapaasti
Ympäristö on täysin valmis käytettäväksi
Käytettävissä EPP-rajapinta sekä selainkäyttöliittymä
27.10.2015 Sami Salmensuo 10
|
EPP – Kehitysympäristön käyttöönotto
27.10.2015 Sami Salmensuo 11
|
EPP - Ilmoittautumislomake
12.3.2015 Sami Salmensuo 12
|
EPP - Ilmoittautumislomake
27.10.2015 Sami Salmensuo 13
|
EPP - Vahvistus
27.10.2015 Sami Salmensuo 14
|
EPP – Salasanan toimittaminen
27.10.2015 Sami Salmensuo 15
|
EPP testiweb etusivu
27.10.2015 Sami Salmensuo 16
|
EPP tilinhallinta
27.10.2015 Sami Salmensuo 17
|
EPP sallitut IP-osoitteet
27.10.2015 Sami Salmensuo 18
|
EPP sallitut IP-osoitteet
27.10.2015 Sami Salmensuo 19
Sallittujen IP-osoitteiden julkaisu on tällä hetkellä manuaalinen prosessi
IP-lisäysten tai muutosten jälkeen ilmoitus fi-domain-tech@ficora.fi osoitteeseen
Automatisoitu prosessi sallittujen IP-osoitteiden julkaisemiseksi
Korkeintaan viisi yksittäistä IP-osoitetta
» Ei sallittuja IP-osoitteita ovat IETF:n muuhun käyttöön varaamat IP-osoitteet kuten:
0.0.0.0/8, 10.0.0.0/8, 127.0.0.0/8, 169.254.0.0/16 ...
|
EPP – Välittäjän loki
27.10.2015 Sami Salmensuo 20
|
EPP testaus & kehitysympäristö
Kertauksena:
» "Ilmoittaudu välittäjäksi" Kehitysympäristöön. Käytännössä rekisteröityy kehitysympäristön käyttäjäksi.
» Ilmoita Viestintävirastolle sähköpostitse fi-domain-tech@ficora.fi osoitteeseen että rekisteröidyit käyttäjäksi. [nimi, rekisterinumero] .
» Lähetämme selainkäyttöliittymän salasanan sähköpostitse
» Määritä selainkäyttöliittymässä:
EPP-salasana, palvelinvarmenne, sallitut IP-osoitteet
27.10.2015 Sami Salmensuo 21
|
EPP - testaus & kehitysympäristö
Muutokset ovat mahdollisia
Kehitysympäristön käyttäjän ei tarvitse olla välittäjä, ei nykyinen eikä tuleva
Palvelun osoite on epptest.ficora.fi, EPP rajapinnalla on sama osoite, mutta portti on TCP 700.
Lisätietoja: » https://domain.fi/info/index/fi_uudistuu/valittajalle/teknisetrajap
innat/epp-rajapinta.html
» fi-domain-tech@ficora.fi
Kysyttävää?
27.10.2015 Sami Salmensuo 22
Tulevan verkkotunnuspalvelun merkittäviä muutoksia
Sami Salmensuo
Erityisasiantuntija
|
2-vaiheinen kirjautuminen
Välittäjän käyttäjillä on henkilökohtaiset tunnukset joilla kirjautuvat välittäjän tilille
Vähintään 1 pääkäyttäjä, jolla on oikeus lisätä uusia käyttäjiä
Käyttäjätunnus, salasana ja kertakäyttösalasana (SMS tai OTP salasanalista)
27.10.2015 24 Sami Salmensuo
|
2-vaiheinen kirjautuminen
Pääkäyttäjä(t) voivat lisätä uusia käyttäjiä
Vähintään 1 pääkäyttäjä, jolla on oikeus lisätä uusia käyttäjiä, muokata käyttäjien rooleja ja puhelinnumeroa
Käyttäjät voivat muokata omia tietojaan
Ei mahdollista asettaa käyttäjäkohtaisia oikeuksia verkkotunnuspalveluun
27.10.2015 25 Sami Salmensuo
|
Yhteystieto Objektit
Yksi "Contact object" voidaan linkittää yhteen tai useampaan verkkotunnukseen
Nykyjärjestelmässä on jokaisella palveluntarjoajan rekisteröimällä verkkotunnuksella verkkotunnuskohtaiset yhteystiedot. Yhteystietojen muuttuessa pitää uusi yhteystieto päivittää jokaiselle verkkotunnukselle erikseen
Uudessa järjestelmässä asiakkaalla voi olla yksi yhteystieto "olio", joka linkitetään kaikkiin asiakkaan verkkotunnuksiin
Neljä roolia: » Käyttäjä (Holder) -> pakollinen jokaisella verkkotunnuksella
» Billing
» Technical
» Admin
27.10.2015 26 Sami Salmensuo
|
Automaattinen uusiminen
Välittäjä voi asettaa verkkotunnukselle automaattisen uusimisen päälle
45 päivää ennen verkkotunnuksen vanhenemista generoidaan Poll ja / tai sähköpostiviesti siitä että verkkotunnuksen voimassaoloaikaa tullaan jatkamaan jos saldo riittää voimassaoloajan jatkamiseen. Tämän ilmoituksen ja uusimisajankohdan välissä voidaan automaattinen voimassaoloajan jatkaminen vielä poistaa käytöstä.
30 päivää ennen verkkotunnuksen vanhenemista verkkotunnuksen voimassaoloaikaa jatketaan, JOS saldo riittää voimassaoloajan jatkamiseen.
Jos välittäjän EPP-tilin saldo ei riitä ensimmäisellä uusimiskerralla, yritetään uusimista uudelleen kerran vuorokaudessa kunnes verkkotunnuksen voimassaoloaikaa onnistutaan jatkamaan, tai verkkotunnus vanhenee.
27.10.2015 27 Sami Salmensuo
|
Tapahtumaloki
Välittäjä näkee lokista kaikki välittäjää koskevat tapahtumat
27.10.2015 28 Sami Salmensuo
|
Maksaminen
Verkkotunnusmaksujen maksaminen tapahtuu välittäjän ennakkomaksutililtä
» EPP:n kautta tapahtuvat maksulliset tapahtumat
» Selainkäyttöliittymän maksut
» Automaattiset uusimiset
Ennakkomaksutilille rahan siirto voi tapahtua kahdella tavalla:
» Online maksuna (Verkkopankit, luottokortit)
» Tilisiirtona
Ennakkomaksutilin saldon hälytysraja on välittäjän itse määriteltävissä
27.10.2015 29 Sami Salmensuo
Recommended