Innehållsförteckning
Expandera | ||||||||
---|---|---|---|---|---|---|---|---|
| ||||||||
|
Bakgrund
Som en del av ny lösning för SITHS pågår just nu projektet NLS PKI. Projektets mål är att förnya SITHS tjänsten genom att migrera befintliga PKI-strukturen från Telia Cygate till en Ineras egen drift och förvaltning. Primära syftet med en migrering är att minimera påverkan på existerande kunder och användare.Kunden behöver endast göra följande insatser innan 12 oktober 2022. Dessa förändringar är en nödvändighet för att kunna nyttja SITHS eID Portal som lanseras för ansvariga utgivare runt årsskiftet 2022/2023 och för övriga användare våren 2023befintliga förlitande parter, organisationer som använder SITHS idag.
I och med lanseringen av nya spärrtjänsten kommer några infrastrukturfunktioner inom SITHS att byta IP-adresser.
Vi förbereder även miljöerna för IPv6-adresser. Detta kommer dock att konfigureras i DNS vid ett senare tillfälle.
Info |
---|
Kunden behöver därmed göra nedanstående insatser snarast: Observera att:
Fram tills flytten av dessa funktioner äger rum. |
Målgrupp
Målgruppen för denna information är förlitande parter, ansvariga utgivare och it-organisationer där i synnerhet ansvariga för nätverk och brandväggar inom respektive organisation.
Det här behöver din organisation göra
...
Observera att denna information gäller endast kunder med Sjunetuppkoppling
I och med lanseringen av SITHS eID Portal nya spärrtjänsten kommer följande infrastruktur funktioner inom SITHS certifikatutfärdare att byta IP-adresser:
Spärrlistor (CRL)
Används för att kontrollera om certifikat är spärrade eller ej mot en lista som innehåller alla spärrade certifikat
Online certifikatstatus protokoll (OCSP)
Länkar för att automatiskt bygga tillit till certifkatkedjan (AIA)
Används främst av Microsoft-system
Detta innebär att system som idag använder något av:
SITHS Funktionscertifikat
SITHS-certifikat för användare (främst vid autentiseringsmetoden Mutual TLS)
Måste se över följande:
...
Routing för trafik Brandväggsöppningar i rätt brandvägg beroende på hur man routar sin trafik
Om routingen för trafiken för dessa funktioner ska gå över Internet eller Sjunet (endast kunder med Sjunet)
Se till att Source-NAT adressen vid trafik till dessa funktioner
Brandväggsöppningar i rätt brandvägg beroende på hur man routar sin trafik
...
title | Innan flytten gäller följande logik: |
---|
matchar det val man gjort om trafiken ska gå över Internet eller Sjunet (endast kunder med Sjunet)
Brandväggsöppningar
Ankare | ||||
---|---|---|---|---|
|
Samtliga organisationer måste säkerställa att man har brandväggsöppningar för följande IP-adresser.
Samtliga brandväggsöppningar ska göras för:
Protokoll: HTTP
Port: 80
Riktning: Utgående nätverkstrafik
Info |
---|
För kunder som har Sjunet bör man även se över sin logik för DNS-uppslag och routing, se DNS-uppslag och routinglogik för Sjunet |
Olika funktioners DNS-namn och Gamla vs. nya IP-adresser
Produktion
Gammal IPv4: 194.237.208.239
Ny IPv4: 82.136.183.246
Ny IPv6: 2a01:58:6106:5a01::246 (konfigureras i DNS vid ett senare tillfälle)
Gammal IPv4: 194.237.208.174
Ny IPv4: 82.136.183.247
Ny IPv6: 2a01:58:6106:5a01::247 (konfigureras i DNS vid ett senare tillfälle)
Gammal IP; 194.237.208.239
Ny IPv4: 82.136.183.248
Ny IPv6: 2a01:58:6106:5a01::248 (konfigureras i DNS vid ett senare tillfälle)
QA (tidigare SITHS Preprod)
Gammal IP: 194.237.208.238
Ny IPv4: 82.136.183.150
Ny IPv6: 2a01:58:6106:3a05::150 (konfigureras i DNS vid ett senare tillfälle)
Gammal IP: 194.237.208.170
Ny IP: 82.136.183.151
Ny IPv6: 2a01:58:6106:3a05::151 (konfigureras i DNS vid ett senare tillfälle)
Gammal IP: 194.237.208.238
Ny IP: 82.136.183.152
Ny IPv6: 2a01:58:6106:3a05::152 (konfigureras i DNS vid ett senare tillfälle)
DNS-uppslag och routinglogik för Sjunet
Ankare | ||||
---|---|---|---|---|
|
Observera |
---|
Observera att denna information gäller endast kunder med Sjunetuppkoppling |
Schematisk skiss för DNS-uppslag och routinglogik
Lucidchart | ||||||||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
|
Expandera | ||
---|---|---|
| ||
Innan flytt
2. Beroende på vilken IP-adress man får enligt ovan tar nätverkstrafiken olika vägar antingen
3. Beroende på vilket nätverk trafiken tar enligt ovan måste organisationen se till att trafiken Source-NAT:as bakom en IP-adress som SITHS-tjänsten förknippar med samma nätverk. Detta för att förhindra asynkron routing.
Exempel på fel som kan uppstå: 4. Brandväggsöppningar måste finnas i rätt brandvägg beroende på vilken väg trafiken tar enligt ovan logik för de Gamla IP-adresserna i listan över Brandväggsöppningar |
Expandera | ||
---|---|---|
| ||
Efter flytt
4. Beroende på vilket nätverk trafiken tar enligt ovan beslut måste organisationen se till att trafiken Source-NAT:as bakom en IP-adress som SITHS-tjänsten förknippar med samma nätverk. Detta för att förhindra asynkron routing.
Exempel på fel som kan uppstå: 5. Brandväggsöppningar måste finnas i rätt brandvägg beroende på vilken väg trafiken tar enligt ovan logik för de Nya IP-adresserna i listan över Brandväggsöppningar TesterRoutingFrån den server, klientdator etc. som vill kontrollera ett SITHS-certifikat mha. ovan funktioner kan man göra en trace route för att följa trafiken på väg mot målet
Åtkomst och Source-NAT
|
Informationsmöte 2022-10-03
...
Lokala anpassningar
En del organisationer har lokala anpassningar och lokal DNS-infrastruktur och det är därför viktigt att tänka på följande:
Lokal DNS-infrastruktur eller DNS-cahce
Om din organisation har egen DNS-infrastruktur eller använder lokal cache av DNS-information måste ni;
Uppdateras informationen minst så ofta som TTL-vädet i central DNS anger (60 minuter) så att spärrinformation och AIA-information kan hämtas från de nya IP-adresserna när DNS pekas om till dessa.
Sätta högst 60 minuter TTL på era egna DNS-records.
Hämta via IP-adress
Om din organisation hämtar AIA- eller spärrinformation baserat på IP-adress måste ni;
i första hand ändra detta till URL och göra namnuppslag enligt ovan,
i andra hand uppdatera IP-adresserna för AIA- och spärrinformation.
Inera rekommenderar att alltid använda DNS för att hämta AIA- och spärrinformation samt att alltid uppdatera loka DNS enligt central TTL.
Namnuppslag i hosts-filer
Om din organisation hämtar AIA- eller spärrinformation baserat information i lokala hosts-filer måste ni;
i första hand ändra detta till URL och göra namnuppslag enligt ovan,
i andra hand uppdatera IP-adresserna för AIA- och spärrinformation i hosts-filerna.
Inera rekommenderar att alltid använda DNS för att hämta AIA- och spärrinformation, att alltid uppdatera loka DNS enligt central TTL samt att låta TTL på lokala poster vara samma som central TTL.
Förändringar av Authority Information Access (AIA)
AIA-tillägget i certifikatet används för att specificera vitala resurser för SITHS. Exempelvis publiceras utfärdarcertifikat under SITHS e-id Root CA v2. I den nuvarande lösningen har dessa utfärdarcertifikat presenterats i PEM-format (base64) vilket inte är i överensstämmelse med standarden RFC-5280. Standarden uttrycker att utfärdarcertifikat ska presenterats i DER-format (binärt) varför en ändring görs av AIA i samband med migreringen. Om det finns tillämpningar som inte följer standarden kan dessa få problem. Vi har ännu inte identifierat något sådant exempel, men utesluter inte att det kan finnas.
Vid eventuella problem relaterat till denna förändringar finns här tre förslag på väg fram:
Tillse att leverantörer som inte följer standarden RFC-5280 att anpassar sig till den.
Ändra lokalt i det aktuella systemet, exempelvis genom att ändra hostfilen, så att en temporär AIA används (http://pem.aia.siths.se) där de gamla formaten på utfärdarcertifikaten fortsatt presenteras.
Skapa en lokal cache av AIA-informationen med önskat format på utfärdarcertifikaten. Verktyget openssl kan användas för formatkonvertering av utfärdacertifikat.
Alternativ 2 och 3 bör ses som temporära lösningar som kan användas till dess att det aktuella systemet uppdaterats till att följa RFC-5280.
Tänk på att många system cache-lagrar AIA-information lokalt och kanske därför inte direkt kommer att uppvisa några symptom.