...
Övningar som behöver genomföras med jämna mellanrum för att säkerställa att funktionaliteten för spärrkontroller kan upprätthållas även vid driftstörningar av olika slag.
Testfall och scenarion
...
Testa spärrkontroller via OCSP
Spärrkontroller via OCSP ska alltid vara den föredragna metoden. Om inget annat ska testas så är det endast en konfiguration som behöver justeras.Konfigurationer som behöver justeras
Konfiguration för testfallet
| Kodblock |
|---|
inera.common.trust.prefer-crls=false |
...
Testa spärrkontroller via CRL
Spärrkontroller via CRL:er ska aldrig vara den föredragna metoden om inte under särskilda omständigheter. Om inget annat ska testas så är det endast en konfiguration som behöver justeras.Konfigurationer som behöver justeras
Konfiguration för testfallet
| Kodblock |
|---|
inera.common.trust.prefer-crls=true |
Testa otillgängliga OCSP-adresser och tillgängliga CRL-adresser
Detta test syftar till att simulera ett scenariot då OCSP-adresserna på certifikaten inte är tillgängliga eller inte går att nå. Med fördel så är OCSP den föredragna metoden för att evaluera rekoveringsstatus. På så sätt testas i detta scenario att fallback-mekanismen mot CRL:erna fungerar som tänkt. Ifall konfigurationen av spärrkontrollerna ser ut som “vanligt” är det endast blockeringar av OCSP-responders i driftleverantörernas brandväggar som behöver komma på plats för att säkerställa att tjänsterna inte ska få nå OCSP-adresserna. Ta kontakt med aktuell driftleverantör för att få hjälp med hur detta sätts upp.
För att hitta vilka adresser som ska blockeras, öppna ett certifikat som är utfärdad av aktuell utfärdare och leta fram fältet Authority Information Access. Där hittas sedan med fördel något som heter Access Method=On-line Certificate Status Protocol. Adressen som syns i det fältet behöver blockeras. Se exempel nedan.
...
Konfiguration för testfallet
| Kodblock |
|---|
inera.common.trust.prefer-crls=truefalse |
Testa tillgängliga OCSP
...
-adresser och otillgängliga CRL-adresser
Detta test syftar till att simulera att samtliga aktuella CRL-adresser är otillgängliga eller inte går att nå. I normal drift hade detta test inte haft någon effekt då OCSP alltid ska vara den föredragna metoden.
Om ett onormalt driftläge då revokeringskontroller via CRL:er är föredraget är aktivt så kan man på så sätt simulera ifall fallback-mekanismen för att nytta OCSP fungerar som tänkt. För att säkerställa att tjänsten inte kan nå CRL-adresserna är det blockeringar av CRL-adresserna i driftleverantörernas brandväggar som behöver komma på plats. Ta kontakt med aktuell driftleverantör för att få hjälp med hur detta sätts upp.
För att hitta vilka adresser som ska blockeras, öppna ett certifikat som är utfärdad av aktuell utfärdare och leta fram fältet CRL Distribution Points. Där hittas sedan med fördel en eller flera URL:er som i exemplet netdan. Adressen eller adresserna som syns i det fältet behöver blockeras. Se exempel nedan.
...
Konfiguration för testfallet
| Kodblock |
|---|
inera.common.trust.prefer-crls=true |