sithscrl.carelink.sjunet.org (ldap://sithscrl.carelink.sjunet.org:389/cn=SITHS CA CrossBorder TEST v3, o=SITHS CA, c=se?certificateRevocationList;binary)
Borttag av information om SITHS Root CA v1 och tillägg av information om nya IP-adresser efter flytten av SITHS Certifikatutfärdare som ska ske under 2023.
...
1.31
...
...
SITHS Förvaltning
...
Lade till schematisk skiss över DNS-uppslag och routinlogik
...
1.4
...
...
SITHS Förvaltning
...
Borttag av all data om SITHS Root CA v1 och dess adresser.
...
1.5
...
...
SITHS Förvaltning
...
Lade till information om SYSTEMTEST SITHS e-id Root CA v2 som kommer användas av SITHS eID Portalens nya DEV- och TEST-miljöer
...
1.51
...
...
SITHS Förvaltning
...
Uppdaterat med information om att brandväggar ska öppnas för utgående nätverkstrafik.
...
1.52
...
...
SITHS Förvaltning
...
Revisionshistorik
Klicka nedan för att visa revisisonshistorik
Expandera
title
Visa revisionshistorik
Version
Datum
Författare
Kommentar
1.0
2021-02-02
SITHS Förvaltning
Fastställande av sida och komplettering för SITHS eID och Mobilt SITHS
1.01
2021-02-03
SITHS Förvaltning
Justerat länk till Nätverksinställningar för SITHS eID och Mobilt SITHS
1.1
2021-02-04
SITHS Förvaltning
Konsoliderat all information om nätverksinställningar till en sida samt städat gammal information
1.11
2021-03-09
SITHS Förvaltning
Tillägg av sökvägar för API:er
1.2
SITHS Förvaltning
Tog bort referenser till OCS/CRL för CrossBorder i:
sithscrl.carelink.sjunet.org (ldap://sithscrl.carelink.sjunet.org:389/cn=SITHS CA CrossBorder TEST v3, o=SITHS CA, c=se?certificateRevocationList;binary)
Borttag av information om SITHS Root CA v1 och tillägg av information om nya IP-adresser efter flytten av SITHS Certifikatutfärdare som ska ske under 2023.
1.31
SITHS Förvaltning
Lade till schematisk skiss över DNS-uppslag och routinlogik
1.4
SITHS Förvaltning
Borttag av all data om SITHS Root CA v1 och dess adresser.
1.5
SITHS Förvaltning
Lade till information om SYSTEMTEST SITHS e-id Root CA v2 som kommer användas av SITHS eID Portalens nya DEV- och TEST-miljöer
1.51
SITHS Förvaltning
Uppdaterat med information om att brandväggar ska öppnas för utgående nätverkstrafik.
1.52
SITHS Förvaltning
Lade till information om generella öppningar för nya SITHS eID-lösningen och SITHS eID Portal.
1.6
SITHS Förvaltning
Kompletterade med med specifik information om sökvägar och nätverksinställningar för kommande SITHS eID Portal
1.61
SITHS Förvaltning
Justerade DNS-namn för CRL, OCSP och AIA utfärdade från DEV/TEST-miljö (internt för Inera/NMT)
Lade till IP-adress för QA-miljön för Websocket som behöver vara öppen från alla klientnätverk som ska jobba mot SITHS eID Portal i QA-miljö (tidigare Preprod)
1.62
SITHS Förvaltning
Borttag av IPv6 för nya CRL, OCSP och AIA, samt justering i och med att QA nu är driftsatt för PKI
1.63
SITHS Förvaltning
Lade tillbaka information om IPv6 för QA och Produktion, men med information om att dessa pekas ut i DNS vid ett senare tillfälle.
1.64
SITHS Förvaltning
Lade till information om att det kan föreligga behov av att vitlista domännamn eller helt stänga av funktioner såsom proxy och trafikinspektion för åtkomst till Ineras tjänster.
Justering av länk till Nätverksinställningar för tjänster inom identitet och åtkomst i och med migrering av data från leverantörens Confluence till Ineras.
Borttag av länkar till gamla sökvägar och ip-adresser hos Telia
Innehållsförteckning
Klicka nedan för att visa Innehållsförteckning
...
Observera
Vi rekommenderar att ni öppnar era nätverk för följande C-nät över antingen Internet eller Sjunet oavsett hur ni valt att routar er trafik:
82.136.182.0/24
82.136.183.0/24 och 2a01:58:6106::/48
:
82.136.182.0/24
82.136.183.0/24 och 2a01:58:6106::/48
Proxy och TLS-inspektion
Ineras IAM-tjänster är inte tänkta att användas via verktyg för inspektion av nätverkstrafik, t ex. proxy, TLS-inspektion eller annan teknik som riskerar att manipulera/påverka anropen från användarnas datorer till SITHS eID Portal, Mina sidor, Certificate Services, IdP och Autentiseringstjänsten.
Om ni använder detta och stöter på problem är rekommendationen att vitlista domännamn och IP-adresser för aktuell miljö och funktion.
Samma domännamn som innan övergången till SITHS eID Portal, men ny IP-adress
Uppkoppling av användares webbläsare och SITHS eID-app för certifikatadministration, aktivering av kort och upplåsning av puk med hjälp av id-administratör
wss://websocket-certificateservices.siths.se
https://
minasidor
websocket-certificateservices.siths.se
82.136.
160
183.
40
111
HTTPS
WSS/TCP port 443
Klientnätverk
Testsida för
Uppkoppling av användarens SITHS eID-app mot SITHS eID-app för upplåsning av puk med hjälp av Mobilt SITHS
Inloggning för id-administratörer till SITHS Admin
Uppkoppling av användares webbläsare och SITHS eID-app för certifikatadministration, aktivering av kort och upplåsning av puk med hjälp av id-administratör
wss://websocket-certificateservices.qa.siths.se
https://
ccat
websocket-certificateservices.
preprod
qa.
trust.telia.com/ccat
siths.se
82.136.
160
183.
51
79
HTTPS
WSS/TCP port 443
Klientnätverk
Inloggning för användare till ”Mina sidor” (tidigare Självadmin)
Uppkoppling av användarens SITHS eID-app mot SITHS eID-app för upplåsning av puk med hjälp av Mobilt SITHS
DEV och TEST-miljö är primärt till för förvaltningen på Inera. Undantaget är Mobilt SITHS där appen T SITHS eID i Appstore och Google Play används av vissa kunder vid integration till Ineras IdP i TEST-miljö. Därav kan även kundorganisationer behöva öppna brandväggarna enligt information under rubriken CRL, AIA och OCSP nedan.
SITHS eID Portal - TEST
Expandera
title
Visa information om IP-adresser och portar för TEST-miljön för SITHS eID Portal
Syfte
URL
Befintlig IP-adress (destination)
Protokoll/Port (destination)
Nätverk (source/hos kunden)
Internet OCH Sjunet
Inloggning för id-administratörer till SITHS eID Portal
Samma API som för produktion. Test hanteras genom separata kortprodukter som bara kan beställas i SITHS Admins testmiljö
DEV och TEST (SYSTEMTEST SITHS e-id Root CA v2)
Info
DEV och TEST-miljö är primärt till för förvaltningen på Inera. Undantaget är Mobilt SITHS där appen T SITHS eID i Appstore och Google Play används av vissa kunder vid integration till Ineras IdP i TEST-miljö. Därav kan även kundorganisationer behöva öppna brandväggarna enligt information under rubriken CRL, AIA och OCSP nedan.
...
42
HTTPS/TCP port 443
Klientnätverk
Uppkoppling av användares webbläsare och SITHS eID-app för certifikatadministration, aktivering av kort och upplåsning av puk med hjälp av id-administratör
Visa information om IP-adresser och portar för DEV-miljöns användargränssnittmiljön för SITHS eID Portal
Expandera
title
Visa information om IP-adresser och portar för TEST-miljöns användargränssnitt
Syfte
URL
Befintlig IP-adress (destination)
Protokoll/Port (destination)
Nätverk (source/hos kunden)
Internet OCH Sjunet
Inloggning för id-administratörer till SITHS eID Portal
https://portal.test
Syfte
URL
Befintlig IP-adress (destination)
Protokoll/Port (destination)
Nätverk (source/hos kunden)
Internet OCH Sjunet
Inloggning för id-administratörer till SITHS eID Portal
https://portal.dev.siths.se
82.136.183.57
HTTPS/TCP port 443
Klientnätverk
Inloggning föranvändare till Mina sidor
https://minasidor.dev.siths.se
82.136.183.57
HTTPS/TCP port 443
Klientnätverk
Användargränssnitt - TEST
.se
82.136.183.57
HTTPS/TCP port 443
Klientnätverk
Uppkoppling av användares webbläsare och SITHS eID-app för certifikatadministration, aktivering av kort och upplåsning av puk med hjälp av id-administratör
IPv6-adresser - Pekas ut i DNS vid senare tillfälle
2a01:58:6106:3a04::13682.136.183.136
HTTP/TCP port 80
Servernätverk och klientnätverk (alla användare)
...
Expandera
title
EFTER flytten gäller följande logik för DNS-uppslag och routing
Organisationens tjänster slår upp ovan funktioners DNS-värden och får SAMMA IP-adresser oavsett om man ställer sin DNS-fråga över Internet eller Sjunet
Respektive IP-adress går att nå BÅDE via Internet och Sjunet
Organisationen måste bestämma OM man vill att trafiken ska gå över Internet eller Sjunet
Observera! För organisationer med Sjunetuppkoppling - Det IP-spann som används har tidigare kommunicerats som att det ska trafikeras över Sjunet. Därav måste organisationen med största sannolikhet se till att IP-spannet 82.136.183.0/24 routas över Internet om man INTE villa att trafiken ska gå över Sjunet.
Beroende på vilket nätverk trafiken tar enligt ovan beslut måste organisationen se till att trafiken Source-NAT:as bakom en IP-adress som SITHS-tjänsten förknippar med samma nätverk. Detta för att förhindra asynkron routing.
Om trafiken går över Internet måste trafiken Source NAT:as bakom en Internet IP-adress
Om trafiken går över Sjunet måste trafiken Source NAT:as bakom en Sjunet IP-adress
Exempel på fel som kan uppstå: Organisationen skickar trafiken via Sjunet, MEN med en Source-IP som pekar på Internet. Vilket gör att SITHS försöker skicka tillbaka anropet via Internet och svaret når aldrig frågande part.
Brandväggsöppningar måste finnas i rätt brandvägg beroende på vilken väg trafiken tar enligt ovan logik för de
Från den server, klientdator etc. som vill kontrollera ett SITHS-certifikat mha. ovan funktioner kan man göra en trace route för att följa trafiken på väg mot måletväg mot målet
Tecken på att trafiken går över Internet
Näst sista IP-adressen är: 194.168.212.13
Image Added
Tecken på att trafiken går över InternetSjunet
Expandera
title
Visa information om Nätverksinställningar för SITHS via Sjunet innan flytten av SITHS PKI
SITHS använder Sjunets DNS som har två ”vyer”. Om man frågar på zonen siths.se:
via sjunet så får man Sjunet IP-adresser
via internet, så får man Internet IP-adresser
En organisation som har både Sjunet och Internet och vars regionala DNS-servrar har åtkomst till båda näten kan få olika IP-adresser beroende på vilka av Sjunets DNS-servrar som svarar först. Därför behöver dessa organisationer förmodligen se över sin DNS-infrastruktur enligt nedan:
Arbete pågår för att sätta upp funktioner för end-to-end tester till maskiner hos den nya driftleverantören som följer samma trafikmönster som de riktiga funktionerna.
Innan flytt av SITHS Certifikatutfärdare under 2023
Konfigurera ert lokala nätverk enligt dokumentationen för DNS-inställningar på Sjunets sida på är: 81.89.159.168
Image Added
Åtkomst och Source-NAT
Info
Arbete pågår för att sätta upp funktioner för end-to-end tester till maskiner hos den nya driftleverantören som följer samma trafikmönster som de riktiga funktionerna.
Innan flytt av SITHS Certifikatutfärdare under 2023
Expandera
title
Visa information om Nätverksinställningar för SITHS via Sjunet innan flytten av SITHS PKI
SITHS använder Sjunets DNS som har två ”vyer”. Om man frågar på zonen siths.se:
via sjunet så får man Sjunet IP-adresser
via internet, så får man Internet IP-adresser
En organisation som har både Sjunet och Internet och vars regionala DNS-servrar har åtkomst till båda näten kan få olika IP-adresser beroende på vilka av Sjunets DNS-servrar som svarar först. Därför behöver dessa organisationer förmodligen se över sin DNS-infrastruktur enligt nedan:
Konfigurera ert lokala nätverk enligt dokumentationen för DNS-inställningar på Sjunets sida på https://www.inera.se även för zonen siths.se och inte bara sjunet.org
Stöd för både SjunetochInternet för olika klienter i den lokala miljön
Det enklaste är att ha olika lokal DNS-hantering för de två olika näten.
Eventuellt kan man även lösa detta genom att skapa olika conditional forwards baserat på käll-ip för den klient som ställer frågan till den lokala DNS:en.
Webbadresser & Sökvägar
Nedan hittar du information om aktuella webbadresser per miljö och funktion
Stöd för både SjunetochInternet för olika klienter i den lokala miljön
Det enklaste är att ha olika lokal DNS-hantering för de två olika näten.
Eventuellt kan man även lösa detta genom att skapa olika conditional forwards baserat på käll-ip för den klient som ställer frågan till den lokala DNS:en.
Webbadresser & Sökvägar
Nedan hittar du information om aktuella webbadresser per miljö och funktion
Nedan hittar du sökvägar till SITHS spärrlistor som används för att kontrollera om certifikat är spärrade eller inte. Listan visar sökvägar per Rot- och utfärdare.
Nedan hittar du sökvägar till SITHS spärrlistor som används för att kontrollera om certifikat är spärrade eller inte. Listan visar sökvägar per Rot- och utfärdare.