Jämförda versioner

Gammal version 12

changes.mady.by.user Hasanein Alyassiri

Sparat den

jämfört med

Ny version 13

changes.mady.by.user Christoffer Johansson

Sparat den

Nyckel

  • Dessa rader lades till.
  • Denna rad togs bort.
  • Formateringen ändrades.

Bakgrund

Projektets mål är att förnya SITHS tjänsten genom att migrera befintliga PKI strukturen från Telia Cygate till en egen drift och förvaltning. Primära syftet med en migrering är att minimera påverkan på befintliga organisationer som använder SITHS idag.

Kunden behöver därmed endast göra nedanstående insatser innan 12 oktober 2022. Dessa förändringar är en nödvändighet för att kunna nyttja SITHS eID Portal som lanseras för ansvariga utgivare runt årsskiftet 2022/2023 och för övriga användare våren 2023.

Målgrupp

Målgruppen för denna information är förlitande parter, ansvariga utgivare och it-organisationer där i synnerhet ansvariga för nätverk och brandväggar inom respektive organisation.

Det här behöver din organisation göra innan 12 oktober 2022

Observera att denna information gäller endast kunder med Sjunetuppkoppling

I och med lanseringen av nya spärrtjänsten kommer följande infrastruktur funktioner inom SITHS certifikatutfärdare att byta IP-adresser:

  1. Spärrlistor (CRL)

    1. Används för att kontrollera om certifikat är spärrade eller ej mot en lista som innehåller alla spärrade certifikat

  2. Online certifikatstatus protokoll (OCSP)

  3. Länkar för att automatiskt bygga tillit till certifkatkedjan (AIA)

    1. Används främst av Microsoft-system

Detta innebär att system som idag använder något av:

  • SITHS Funktionscertifikat

  • SITHS-certifikat för användare (främst vid autentiseringsmetoden Mutual TLS)

Måste se över följande:

  • Routing för trafik för dessa funktioner

  • Source-NAT vid trafik till dessa funktioner

  • Brandväggsöppningar i rätt brandvägg beroende på hur man routar sin trafik

Brandväggsöppningar
Ankare
brandvaggsoppningar
brandvaggsoppningar

Samtliga organisationer måste säkerställa att man har brandväggsöppningar för följande IP-adresser.

Samtliga brandväggsöppningar ska göras för:

  • Protokoll: HTTP

  • Port: 80

Info

För kunder som har Sjunet bör man även se över sin logik för DNS-uppslag och routing, se DNS-uppslag och routinglogik för Sjunet

Expandera
title

...

Olika funktioners DNS-namn och Gamla vs. nya IP-adresser

Produktion

  • crl1.siths.se

    • Gammal IPv4: 194.237.208.239

    • Ny IPv4: 82.136.183.246

    • Ny IPv6: 2a01:58:6106:5a01::246

  • ocsp1.siths.se

    • Gammal IPv4: 194.237.208.174

    • Ny IPv4: 82.136.183.247

    • Ny IPv6: 2a01:58:6106:5a01::247

  • aia.siths.se

    • Gammal IP; 194.237.208.239

    • Ny IPv4: 82.136.183.248

    • Ny IPv6: 2a01:58:6106:5a01::248

QA (tidigare SITHS Preprod)

  • crl1pp.siths.se

    • Gammal IP: 194.237.208.238

    • Ny IPv4: 82.136.183.150

    • Ny IPv6: 2a01:58:6106:3a05::150

  • ocsp1pp.siths.se

    • Gammal IP: 194.237.208.170

    • Ny IP: 82.136.183.151

    • Ny IPv6: 2a01:58:6106:3a05::151

  • aiapp.siths.se

    • Gammal IP: 194.237.208.238

    • Ny IP: 82.136.183.152

    • Ny IPv6: 2a01:58:6106:3a05::152

DNS-uppslag och routinglogik för Sjunet
Ankare
DNS-uppslag
DNS-uppslag

Observera

Observera att denna information gäller endast kunder med Sjunetuppkoppling

Expandera
titleINNAN flytten gäller följande logik för DNS-uppslag och routing:

  1. Organisationens tjänster slår upp nedan funktioners DNS-värden och får olika IP-adresser beroende på om man ställer sin DNS-fråga över Internet eller Sjunet.

  • Ställer man DNS-frågan över Internet får man en Internet IP-adress.

  • Ställer man DNS-frågan över Sjunet får man en Sjunet IP-adress.

2. Beroende på vilken IP-adress man får enligt ovan tar nätverkstrafiken olika vägar antingen

  • Internet IP-adress --> Trafiken går över Internet

  • Sjunet IP-adress --> Trafiken går över Sjunet.

3. Beroende på vilket nätverk trafiken tar enligt ovan måste organisationen se till att trafiken Source-NAT:as bakom en IP-adress som SITHS-tjänsten förknippar med samma nätverk. Detta för att förhindra asynkron routing.

  • Om trafiken går över Internet måste trafiken Source NAT:as bakom en Internet IP-adress

  • Om trafiken går över Sjunet måste trafiken Source NAT:as bakom en Sjunet IP-adress

Exempel på fel som kan uppstå:
Organisationen skickar trafiken via Sjunet, MEN med en Source-IP som pekar på Internet. Vilket gör att SITHS försöker skicka tillbaka anropet via Internet och svaret når aldrig frågande part.

4. Brandväggsöppningar måste finnas i rätt brandvägg beroende på vilken väg trafiken tar enligt ovan logik

...

för de Gamla IP-adresserna i listan över Brandväggsöppningar

Expandera
title

...

EFTER flytten gäller följande logik för DNS-uppslag och routing

  1. Organisationens tjänster slår upp nedan funktioners DNS-värden och får SAMMA IP-adresser oavsett om man ställer sin DNS-fråga över Internet eller Sjunet

  2. Respektive IP-adress går att nå BÅDE via Internet och Sjunet

  3. Organisationen måste bestämma OM man vill att trafiken ska gå över Internet eller Sjunet

  • Observera! För organisationer med Sjunetuppkoppling - Det IP-spann som används har tidigare kommunicerats som att det ska trafikeras över Sjunet. Därav måste organisationen med största sannolikhet se till att IP-spannet 82.136.183.0/24 routas över Internet om man INTE villa att trafiken ska gå över Sjunet.

4. Beroende på vilket nätverk trafiken tar enligt ovan beslut måste organisationen se till att trafiken Source-NAT:as bakom en IP-adress som SITHS-tjänsten förknippar med samma nätverk. Detta för att förhindra asynkron routing.

  • Om trafiken går över Internet måste trafiken Source NAT:as bakom en Internet IP-adress

  • Om trafiken går över Sjunet måste trafiken Source NAT:as bakom en Sjunet IP-adress

Exempel på fel som kan uppstå:
Organisationen skickar trafiken via Sjunet, MEN med en Source-IP som pekar på Internet. Vilket gör att SITHS försöker skicka tillbaka anropet via Internet och svaret når aldrig frågande part.

5. Brandväggsöppningar måste finnas i rätt brandvägg beroende på vilken väg trafiken tar enligt ovan logik

...

Ovanstående finns även publicerad sedan tidigare under denna länk: https://confluence.cgiostersund.se/x/7K30Cw

Expandera
titleOlika funktioners DNS-namn och Gamla vs. nya IP-adresser

Produktion

  • **crl1.siths.se **

  • Gammal IPv4: 194.237.208.239

  • Ny IPv4: 82.136.183.246

  • Ny IPv6: 2a01:58:6106:5a01::246

  • **ocsp1.siths.se **

  • Gammal IPv4: 194.237.208.174

  • Ny IPv4: 82.136.183.247

  • Ny IPv6: 2a01:58:6106:5a01::247

  • **aia.siths.se **

  • Gammal IP; 194.237.208.239

  • Ny IPv4: 82.136.183.248

  • Ny IPv6: 2a01:58:6106:5a01::248

QA (tidigare SITHS Preprod)

  • crl1pp.siths.se

  • Gammal IP: 194.237.208.238

  • Ny IPv4: 82.136.183.150

  • Ny IPv6: 2a01:58:6106:3a05::150

  • ocsp1pp.siths.se

  • Gammal IP: 194.237.208.170

  • Ny IP: 82.136.183.151

  • Ny IPv6: 2a01:58:6106:3a05::151

  • aiapp.siths.se

  • Gammal IP: 194.237.208.238

  • Ny IP: 82.136.183.152

  • Ny IPv6: 2a01:58:6106:3a05::152

Beroenden

...

för de Nya IP-adresserna i listan över Brandväggsöppningar