...

De godkända certifikatutfärdare som listas nedan gäller för SDK Öppen testmiljö.

Säkerhetsområde

Certifikatutfärdare

Målgrupper

Anskaffa / Förnya

Revokera

Säkerhet i eDelivery transportinfrastruktur - skydd mellan accesspunkter - Transportkryptering

Transportlager (TLS):

Accesspunkt →
Termineringspunkt (Accesspunkt)

Godkända (enligt IT-säkerhetsbilaga till regelverk för anslutning till SDK, se Informationssäkerhet):

SITHS e-id funktionscertifikat (Inera)

Tjänsteleverantörens AP-operatör som ska ansluta accesspunkt till DIGG eDelivery transportinfrastruktur och SDK-federationens miljöer.

Tjänsteleverantörens AP-operatör anskaffar i första hand via ombud (tredjepartsanslutning) eller själv (direktanslutning) ett nytt SITHS funktionscertifikat (för ytterligare info, se /wiki/spaces/OISDK/pages/2710896795 - ‘Anskaffa SITHS funktionscertifikat’).

Kontakta certifikatsutgivare

Säkerhet i eDelivery transportinfrastruktur

Används i följande gränssnitt:

Accesspunkt -> Accesspunkt
SMP -> Accesspunkt
Certifikatpubliceringstjänst -> Meddelandetjänst

DIGG

Tjänsteleverantörens Accesspunktsoperatör som ska ansluta accesspunkt till DIGGs Test-miljö.

Användarorganisationens

Tjänsteleverantörens Accesspunktsoperatör genererar en CSR för accesspunkten som bifogas till DIGGs 'Anmälan om anslutning av Accesspunktsoperatör till Testmiljö’.

Om ansökan godkänns, returneras ett publikt certifikat baserat på PKI som beskrivs i DIGGs ‘eDelivery - PKI för Accesspunkter Tjänstebeskrivning’.

Kontakta DIGG

O2O-kryptering och signering inom infrastrukturen för SDK

Används i följande gränssnitt:

Meddelandetjänst -> Meddelandetjänst

Godkända tills vidare (enligt IT-säkerhetsbilaga till regelverk för anslutning till SDK, se Informationssäkerhet):

SITHS e-id funktionscertifikat (Inera)
E-identitet för offentlig sektor - Efos (Försäkringskassan)
ExpiTrust EID V4 (Expisoft AB)

Tjänsteleverantören som ska ansluta till SDK Öppen testmiljö där tjänsteleverantörens certifikat behöver registreras i DIGGs Certifikatspubliceringstjänst.

Tjänsteleverantören anskaffar ett O2O-certifikat. Detta kan göras genom att:

SITHS:

Användarorganisationen

Tjänsteleverantören anskaffar själv eller via ombud ett nytt SITHS e-id-certifikat och bifogar i anslutningsblanketten Beställ och ändra
Efos: Kontakta Försäkringskassan
ExpiTrust: Kontakta Expisoft

Om anslutningen godkänns registreras O2O-certifikatet i DIGGs Certifikatspubliceringstjänst av

DIGG

tjänsteleverantören (via SMP-admin gränssnitt).

Kontakta certifikatsutgivare
Kontakta DIGG för att avregistrera tjänsteleverantörens certifikat i DIGGs Certifikatpubliceringstjänst.

Certifikat

Följande behöver säkerställas:

...

Tjänsteleverantörens Accesspunktsoperatör behöver generera en CSR för accesspunkten som bifogas till DIGGs 'Anmälan om anslutning av Accesspunktsoperatör till Testmiljö’. Blanketten är ej publicerad. Kontakta info@digg.se.
Tjänsteleverantörens Accesspunktsoperatör behöver uppdatera accesspunktens truststore med DIGG PKI kedja (både intermediär CA och rot CA behöver inkluderas). Certifikatkedjan är ej publicerad. Kontakta info@digg.se.
Tjänsteleverantörens Accesspunktsoperatör behöver för utgående trafik konfigurera privat nyckel och certifikat i den komponent som agerar klient på transportlager (accesspunkt / proxy)
Tjänsteleverantörens Accesspunktsoperatör behöver uppdatera termineringspunktens truststore på transportlager med SITHS CA kedja (både intermediär CA och rot CA behöver inkluderas)
Tjänsteleverantören behöver uppdatera meddelandetjänstens truststore med DIGG PKI kedja för SMP (både intermediär CA och rot CA behöver inkluderas). Certifikatkedjan är ej publicerad. Kontakta info@digg.se.
Tjänsteleverantören behöver anskaffa ett O2O-certifikat (testfunktionscertifikat) som är organisationens certifikat som ska bifogas i SDK Anslutningsblankett tjänsteleverantörens accesspunktsoperatör registrerar i DIGGs certifikatspubliceringstjänst
Tjänsteleverantören kan ta hjälp av en översikt på hur olika certifikat används (se /wiki/spaces/OISDK/pages/2718204360 )
För HTTPS/TLS ska endast utgivare av TLS-certifikat som finns på ”Mozilla Network Security Services” lista ”List of preloaded CA-certificates”) användas.

...

Certifikatutfärdare

...

Certifikat

...

Kommentar

2710896795, kap. 5)

Certifikatutfärdare

Certifikat

Kommentar

eDelivery transportinfrastruktur (DIGG) - skydd mellan accesspunkter - transportkryptering

PKI-struktur och rotcertifikat

SITHS: Certifikaten basera på följande intermediär CA och rot CA:
- TEST SITHS e-id Root CA v2
- TEST SITHS e-id Function CA v1

eDelivery transportinfrastruktur (DIGG) - meddelandekryptering

Certifikatkedjan är ej publicerad, kontakt info@digg.se.

DIGG Test Certifikatkedja AP:

Rot CA eDelivery Accesspunkt-TEST.cer
Accesspunkt CA-

TESTFEDERATION

OPEN-TEST.cer

O2O-kryptering och signering inom infrastrukturen för SDK (O2O-certifikat)

PKI-struktur och rotcertifikat

(O2O-certifikatets CA behöver inte inkluderas i någon truststore)

SITHS: Certifikaten basera på följande intermediär CA och rot CA:
- TEST SITHS e-id Root CA v2
- TEST SITHS e-id Function CA v1
Efos

: TBD

ExpiTrust: TBD

...

: Swedish Social Insurance Agency - Swedish Public Sector Internal Root CA SAT v1
- Swedish Public Sector Function CA v3 SAT
  Referens: https://repository.efos.se/
ExpiTrust: ExpiTrust Test CA v8
- ExpiTrust Test CA v8
  Referens: https://eid.expisoft.se/nya-ca/expitrust-test-ca-v8/