...
I och med lanseringen av nya spärrtjänsten kommer några infrastrukturfunktioner inom SITHS att byta IP-adressersamt även börja fungera över .
Vi förbereder även miljöerna för IPv6-adresser. Detta kommer dock att konfigureras i DNS vid ett senare tillfälle.
| Info |
|---|
Kunden behöver därmed göra nedanstående insatser snarast: Observera att:
Fram tills flytten av dessa funktioner äger rum. |
...
Gammal IPv4: 194.237.208.239
Ny IPv4: 82.136.183.246
Ny IPv6: 2a01:58:6106:5a01::246 (konfigureras i DNS vid ett senare tillfälle)
Gammal IPv4: 194.237.208.174
Ny IPv4: 82.136.183.247
Ny IPv6: 2a01:58:6106:5a01::247 (konfigureras i DNS vid ett senare tillfälle)
Gammal IP; 194.237.208.239
Ny IPv4: 82.136.183.248
Ny IPv6: 2a01:58:6106:5a01::248 (konfigureras i DNS vid ett senare tillfälle)
QA (tidigare SITHS Preprod)
Gammal IP: 194.237.208.238
Ny IPv4: 82.136.183.150
Ny IPv6: 2a01:58:6106:3a05::150 (konfigureras i DNS vid ett senare tillfälle)
Gammal IP: 194.237.208.170
Ny IP: 82.136.183.151
Ny IPv6: 2a01:58:6106:3a05::151 (konfigureras i DNS vid ett senare tillfälle)
Gammal IP: 194.237.208.238
Ny IP: 82.136.183.152
Ny IPv6: 2a01:58:6106:3a05::152 (konfigureras i DNS vid ett senare tillfälle)
DNS-uppslag och routinglogik för Sjunet
| Ankare | ||||
|---|---|---|---|---|
|
...
Informationsmöte 2022-10-03
...
Ni har möjlighet att testa era brandväggsändringar genom att navigera till någon av nedanstående länkar.
Respektive sida visar vilken miljö och funktion ni har nått, samt information om vilken utgående IP-adress (Source NAT) ni har från ert nätverk.
Observera Tänk på att ni, vid behov av test, behöver testa åtkomst både från
Klientnätverk där ni har användarnas datorer
Servernätverk där ni har servrar som ska kontrollera SITHS-certifikat
TEST
QA
Produktion
För kunder med Sjunet
Informationen om utgående ip-adress (Source-NAT) hjälpa kunder med Sjunet att avgöra om man har routat trafiken korrekt. Ligger den utgående IP-adressen inom något av följande spann går trafiken sannolikt över Sjunet:
81.89.144.0/20
213.189.96.0/19
82.136.128.0/18
Om man har problem att nå testsidorna kan detta bero på att man routar trafiken över Sjunet/Internet, men använder en utgående IP-adress (Source NAT) för fel nätverk, vilket gör att nätverkstrafiken inte hittar tillbaka.
Lokala anpassningar
En del organisationer har lokala anpassningar och lokal DNS-infrastruktur och det är därför viktigt att tänka på följande:
...
Inera rekommenderar att alltid använda DNS för att hämta AIA- och spärrinformation, att alltid uppdatera loka DNS enligt central TTL samt att låta TTL på lokala poster vara samma som central TTL.
Förändringar av Authority Information Access (AIA)
AIA-tillägget i certifikatet används för att specificera vitala resurser för SITHS. Exempelvis publiceras utfärdarcertifikat under SITHS e-id Root CA v2. I den nuvarande lösningen har dessa utfärdarcertifikat presenterats i PEM-format (base64) vilket inte är i överensstämmelse med standarden RFC-5280. Standarden uttrycker att utfärdarcertifikat ska presenterats i DER-format (binärt) varför en ändring görs av AIA i samband med migreringen. Om det finns tillämpningar som inte följer standarden kan dessa få problem. Vi har ännu inte identifierat något sådant exempel, men utesluter inte att det kan finnas.
Vid eventuella problem relaterat till denna förändringar finns här tre förslag på väg fram:
Tillse att leverantörer som inte följer standarden RFC-5280 att anpassar sig till den.
Ändra lokalt i det aktuella systemet, exempelvis genom att ändra hostfilen, så att en temporär AIA används (http://pem.aia.siths.se) där de gamla formaten på utfärdarcertifikaten fortsatt presenteras.
Skapa en lokal cache av AIA-informationen med önskat format på utfärdarcertifikaten. Verktyget openssl kan användas för formatkonvertering av utfärdacertifikat.
Alternativ 2 och 3 bör ses som temporära lösningar som kan användas till dess att det aktuella systemet uppdaterats till att följa RFC-5280.
Tänk på att många system cache-lagrar AIA-information lokalt och kanske därför inte direkt kommer att uppvisa några symptom.