Innehållsförteckning
Expandera | ||||||||
---|---|---|---|---|---|---|---|---|
| ||||||||
|
Bakgrund
Som en del av ny lösning för SITHS pågår just nu projektet NLS PKI. Projektets mål är att migrera befintliga PKI-strukturen från Telia Cygate till Ineras egen drift och förvaltning. Primära syftet med en migrering är att minimera påverkan på befintliga förlitande parter, organisationer som använder SITHS idag.
...
Info |
---|
Kunden behöver därmed göra nedanstående insatser senast 12 oktober 2022. Observera att:
Fram tills flytten av dessa funktioner som planeras äga rum våren 2023. |
Målgrupp
Målgruppen för denna information är förlitande parter, ansvariga utgivare och it-organisationer där i synnerhet ansvariga för nätverk och brandväggar inom respektive organisation.
Det här behöver din organisation göra
I och med lanseringen av nya spärrtjänsten kommer följande infrastruktur funktioner inom SITHS certifikatutfärdare att byta IP-adresser:
...
Brandväggsöppningar i rätt brandvägg beroende på hur man routar sin trafik
Om routingen för trafiken för dessa funktioner ska gå över Internet eller Sjunet (endast kunder med Sjunet)
Se till att Source-NAT adressen vid trafik till dessa funktioner matchar det val man gjort om trafiken ska gå över Internet eller Sjunet (endast kunder med Sjunet)
Brandväggsöppningar
Ankare | ||||
---|---|---|---|---|
|
Samtliga organisationer måste säkerställa att man har brandväggsöppningar för följande IP-adresser.
...
Info |
---|
För kunder som har Sjunet bör man även se över sin logik för DNS-uppslag och routing, se DNS-uppslag och routinglogik för Sjunet |
Olika funktioners DNS-namn och Gamla vs. nya IP-adresser
Produktion
Gammal IPv4: 194.237.208.239
Ny IPv4: 82.136.183.246
Ny IPv6: 2a01:58:6106:5a01::246
Gammal IPv4: 194.237.208.174
Ny IPv4: 82.136.183.247
Ny IPv6: 2a01:58:6106:5a01::247
Gammal IP; 194.237.208.239
Ny IPv4: 82.136.183.248
Ny IPv6: 2a01:58:6106:5a01::248
QA (tidigare SITHS Preprod)
Gammal IP: 194.237.208.238
Ny IPv4: 82.136.183.150
Ny IPv6: 2a01:58:6106:3a05::150
Gammal IP: 194.237.208.170
Ny IP: 82.136.183.151
Ny IPv6: 2a01:58:6106:3a05::151
Gammal IP: 194.237.208.238
Ny IP: 82.136.183.152
Ny IPv6: 2a01:58:6106:3a05::152
DNS-uppslag och routinglogik för Sjunet
Ankare | ||||
---|---|---|---|---|
|
Observera |
---|
Observera att denna information gäller endast kunder med Sjunetuppkoppling |
Schematisk skiss för DNS-uppslag och routinglogik
Lucidchart | ||||||||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
|
Expandera | ||
---|---|---|
| ||
Innan flytt
2. Beroende på vilken IP-adress man får enligt ovan tar nätverkstrafiken olika vägar antingen
3. Beroende på vilket nätverk trafiken tar enligt ovan måste organisationen se till att trafiken Source-NAT:as bakom en IP-adress som SITHS-tjänsten förknippar med samma nätverk. Detta för att förhindra asynkron routing.
Exempel på fel som kan uppstå: 4. Brandväggsöppningar måste finnas i rätt brandvägg beroende på vilken väg trafiken tar enligt ovan logik för de Gamla IP-adresserna i listan över Brandväggsöppningar |
Expandera | ||
---|---|---|
| ||
Efter flytt
4. Beroende på vilket nätverk trafiken tar enligt ovan beslut måste organisationen se till att trafiken Source-NAT:as bakom en IP-adress som SITHS-tjänsten förknippar med samma nätverk. Detta för att förhindra asynkron routing.
Exempel på fel som kan uppstå: 5. Brandväggsöppningar måste finnas i rätt brandvägg beroende på vilken väg trafiken tar enligt ovan logik för de Nya IP-adresserna i listan över Brandväggsöppningar TesterRoutingFrån den server, klientdator etc. som vill kontrollera ett SITHS-certifikat mha. ovan funktioner kan man göra en trace route för att följa trafiken på väg mot målet
Åtkomst och Source-NAT
|
Informationsmöte 2022-10-03
...
Hur verifierar ni brandväggsändringarna?
Ni har möjlighet att testa era brandväggsändringar genom att navigera till någon av nedanstående länkar.
...