RevisionshistorikRevisionshistorik
Klicka nedan för att visa revisisonshistorik
Expandera | ||||||||||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| ||||||||||||||||||||||||||||
|
Innehållsförteckning
Klicka nedan för att visa Innehållsförteckning
Expandera | ||
---|---|---|
| ||
|
Inledning
Denna sida innehåller information för tekniker om vilka nätverskinställningar som behöver säkerställas vid:
Utfärdande av SITHS e-legitimation till SITHS-kort i SITHS Admin och SITHS Mina sidor
Kontroll av att certifikat är giltiga (ej revokerade/spärrade)
Info |
---|
Kunder med Sjunetuppkoppling ska ha tagit del av avsnittet: |
Nätverksinställningar
IP-adresser, portar & protokoll per miljö
Nedan hittar du information för SITHS Certifikatsutfärdare. Dessa IP-adresser, portar och protokoll
Info |
---|
För motsvarande information kopplat till:
|
Produktion
Klicka nedan för att visa revisisonshistorik
...
title | Visa revisionshistorik |
---|
...
Version
...
Datum
...
Författare
...
Kommentar
...
1.0
...
2021-02-02
...
Team SITHS
...
Fastställande av sida och komplettering för SITHS eID och Mobilt SITHS
...
1.01
...
2021-02-03
...
Team SITHS
...
Justerat länk till Nätverksinställningar för SITHS eID och Mobilt SITHS
...
1.1
...
2021-02-04
...
Team SITHS
...
Konsoliderat all information om nätverksinställningar till en sida samt städat gammal information
...
1.11
...
2021-03-09
...
Team SITHS
...
Tillägg av sökvägar för API:er
...
1.2
...
...
SITHS Förvaltning
...
Tog bort referenser till OCS/CRL för CrossBorder i:
Preprod
sithscrl.carelink.sjunet.org (ldap://sithscrl.carelink.sjunet.org:389/cn=SITHS CA CrossBorder TEST v3, o=SITHS CA, c=se?certificateRevocationList;binary)
Produktion
sithscrl.carelink.sjunet.org (ldap://sithscrl.carelink.sjunet.org/cn=SITHS CA CrossBorder ,o=SITHS CA,c=SE?certificateRevocationList;binary)
Innehållsförteckning
Klicka nedan för att visa Innehållsförteckning
Expandera | ||
---|---|---|
| ||
|
Inledning
Denna sida innehåller information för tekniker om vilka nätverskinställningar som behöver säkerställas vid:
Utfärdande av SITHS e-legitimation till SITHS-kort i SITHS Admin och SITHS Mina sidor
Kontroll av att certifikat är giltiga (ej revokerade/spärrade)
Info |
---|
Kunder med Sjunetuppkoppling ska ha tagit del av avsnittet: |
Nätverksinställningar
IP-adresser, portar & protokoll per miljö
Nedan hittar du information för SITHS Certifikatsutfärdare. Dessa IP-adresser, portar och protokoll
Info |
---|
För motsvarande information kopplat till SITHS eID och Mobilt SITHS, se: Nätverksinställningar för IAM-tjänster |
Produktion
Klicka nedan för att visa information för Produktionsmiljön
Användargränssnitt
...
title | Visa information om IP-adresser och portar för Produktionsmiljöns användargränssnitt |
---|
...
Syfte
...
URL
...
Befintlig IP-adress (destination)
...
Protokoll/Port (destination)
...
Nätverk (source/hos kunden)
...
Kommentar
...
Internet
...
Inloggning för id-administratörer till SITHS Admin
...
https://cve.trust.telia.com/ccat
...
194.237.208.172
...
HTTPS/TCP port 443
...
Klientnätverk
...
...
Inloggning för användare till ”Mina sidor”
...
...
194.237.208.172
...
HTTPS/TCP port 443
...
Klientnätverk
...
...
Testsida för SITHS
...
...
82.99.53.161
...
HTTPS/TCP port 443
...
Klientnätverk
...
Sjunet
...
Inloggning för id-administratörer till SITHS Admin
...
https://ccat.trust.telia.com/ccat
...
82.136.160.41
...
HTTPS/TCP port 443
...
Klientnätverk
...
...
Inloggning föranvändare till ”Mina sidor” (tidigare Självadmin)
...
https://ccu.trust.telia.com/ccu
...
82.136.160.40
...
HTTPS/TCP port 443
...
Klientnätverk
...
...
Testsida för SITHS
...
...
82.99.53.161
...
HTTPS/TCP port 443
...
Klientnätverk
...
DNS-värde kan slås upp över Sjunet, men tjänsten levereras bara över Internet.
...
information för Produktionsmiljön
Användargränssnitt
Expandera | ||||||||||||||||||||||||||||||||||||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| ||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
CRL, AIA och OCSP
Expandera | |||||||||||||||||||||||||||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| |||||||||||||||||||||||||||||||||||||||||||||
|
API:er
Expandera | ||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|
| ||||||||||||
|
Preproduktion
Användargränssnitt
Expandera | |||||||||||||||||||||||||||||||||||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| |||||||||||||||||||||||||||||||||||||||||||||||||||||
Kommentar Internet | crl1Kontroll av om certifikat är spärrade (CRL) Bygga tillitskedja för certifikat (AIA) Policydokument 194.237.208.239 HTTP/TCP port 80 Servernätverk och klientnätverk (alla användare) | ocsp1Kontroll av om certifikat är spärrade (OCSP)
| SjunetServernätverk och klientnätverk (alla användare)
|
CRL, AIA och OCSP
Expandera | ||||||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| ||||||||||||||||||||||||
Bygga tillitskedja för certifikat (AIA)
82.136.160.44 HTTP/TCP port 80 Servernätverk och klientnätverk (alla användare)
| ocsp1Kontroll av om certifikat är spärrade (OCSP)
HTTP/TCP port 80 Servernätverk och klientnätverk (alla användare) |
API:er
...
title | Visa information om IP-adresser och portar för Produktionsmiljöns API:er |
---|
Info |
---|
Dessa är endast nåbara via Internet |
...
Syfte
...
URL
...
Befintlig IP-adress (destination)
...
Protokoll/Port (destination)
...
Nätverk (source/hos kunden)
...
Kommentar
...
Skicka kortbeställningar till Thales med Programvaran SIS Capture Station
...
xml.setec.se
...
212.209.230.179
...
HTTPS/TCP 443
...
Klientnätverk
Preproduktion
Användargränssnitt
Expandera | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Expandera | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Syfte URL Befintlig IP-adress (destination) Protokoll/Port (destination) Nätverk (source/hos kunden) Kommentar Internet | https://cve.preprod.trust.telia.com/ccatInloggning för id-administratörer till SITHS Admin
HTTPS/TCP port 443 Klientnätverk
Inloggning föranvändare till ”Mina sidor” (tidigare Självadmin) https://cve.preprod.trust.telia.com/ccu 194.237.208.168 HTTPS/TCP port 443 Klientnätverk
Sjunet Inloggning för id-administratörer till SITHS Admin 82.136.160.51 HTTPS/TCP port 443 Klientnätverk
Inloggning föranvändare till ”Mina sidor” (tidigare Självadmin)
https://ccu.preprod.trust.telia.com/ccu https://minasidor.preprod
HTTPS/TCP port 443 Klientnätverk
|
CRL, AIA och OCSP
...
Syfte
...
URL
...
Befintlig IP-adress (destination)
...
Protokoll/Port (destination)
...
Nätverk (source/hos kunden)
...
Kommentar
...
Skicka kortbeställningar till Thales med Programvaran SIS Capture Station
...
...
212.209.230.179
...
HTTPS/TCP 443
...
Klientnätverk
...
Samma API som för produktion. Test hanteras genom separata kortprodukter som bara kan beställas i SITHS Admins testmiljö
Förvaltning - IP-adresser, portar & protokoll per miljö
Nedan sökvägar är endast relevanta för SITHS Förvaltning och har därför dolts för att inte förvirra övriga nyttjare av SITHS
...
title | Visa Förvaltningsspecifik information om IP-adresser,portar & Protokoll per miljö |
---|
...
SITHS Certifikatsutfärdare via Sjunet
Klicka nedan för att visa viktigt information för kunder som har Sjunetuppkoppling vid användning av SITHS
Expandera | ||||||||||||||||||||||||||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| ||||||||||||||||||||||||||||||||||||||||||||
SITHS Root CA v1Inom SITHS Root CA v1 finns det dubbla sökvägar för samtliga funktioner CRL, OCSP och AIA. En dator/server som ska validera ett certifikat sitter på ett nätverk som inte kommer åt en eller flera av länkarna kan då få problem med timeout vid validering av certifikat. Lösningen på detta är att aktivt öppna brandväggen mot både Sjunet och Internet alt. att blockera den av nätverken som klienten in får eller kan få tillgång till OBS! Som förberedelse inför SITHS e-id Root CA v2 flyttades siths.se. Dettaorsaka att man redan för SITHS Root CA v1 får olika IP-adresser beroende på vilken Sjunet DNS-server som svarar föst, se vidare information nedan.
|
API:er
...
title | Visa information om IP-adresser och portar för Produktionsmiljöns API:er |
---|
Info |
---|
Dessa är endast nåbara via Internet |
|
API:er
Expandera | ||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| ||||||||||||||
|
Förvaltning - IP-adresser, portar & protokoll per miljö
Nedan sökvägar är endast relevanta för SITHS Förvaltning och har därför dolts för att inte förvirra övriga nyttjare av SITHS
Expandera | ||||||
---|---|---|---|---|---|---|
| ||||||
|
SITHS Certifikatsutfärdare via Sjunet
Efter flytt av SITHS Certifikatutfärdare under 2023
Expandera | ||
---|---|---|
| ||
Exempel på fel som kan uppstå:
Nya IP-adresserna i listan över Brandväggsöppningar TesterRoutingFrån den server, klientdator etc. som vill kontrollera ett SITHS-certifikat mha. ovan funktioner kan man göra en trace route för att följa trafiken på väg mot målet
Åtkomst och Source-NAT
|
Innan flytt av SITHS Certifikatutfärdare under 2023
Expandera | ||
---|---|---|
| ||
SITHS e-id Root CA v2För SITHS e-id kommer det inte finnas separata sökvägar för Sjunet på det sätt som det funnits för SITHS. Istället använder vi Sjunets DNS som har två ”vyer”. Om man frågar på zonen siths.se:
En organisation som har både Sjunet och Internet och vars regionala DNS-servrar har åtkomst till båda näten kan få olika IP-adresser beroende på vilka av Sjunets DNS-servrar som svarar först. Därför behöver dessa organisationer förmodligen se över sin DNS-infrastruktur enligt nedan:
|
...
Expandera | ||||||||||||||||||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| ||||||||||||||||||||||||||||||||||||
SITHS Root CA v1
SITHS e-id Root CA v2
|
...
Expandera | ||||||||||||||||||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| ||||||||||||||||||||||||||||||||||||
SITHS Root CA v1
SITHS e-id Root CA v2
|
...
Expandera | ||||||||||||||||||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| ||||||||||||||||||||||||||||||||||||
SITHS Root CA v1
SITHS e-id Root CA v2
|
...
Expandera | ||||||||||||||||||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| ||||||||||||||||||||||||||||||||||||
SITHS Root CA v1
SITHS e-id Root CA v2
|
...