Innehållsförteckning

...

Informationsmöte 2022-10-03

...

Hur verifierar ni brandväggsändringarna?

Ni har möjlighet att testa era brandväggsändringar genom att navigera till någon av nedanstående länkar.

Respektive sida visar vilken miljö och funktion ni har nått, samt information om vilken utgående IP-adress (Source NAT) ni har från ert nätverk.

 Observera Tänk på att ni, vid behov av test, behöver testa åtkomst både från

• Klientnätverk där ni har användarnas datorer

• Servernätverk där ni har servrar som ska kontrollera SITHS-certifikat

...

• http://connectivity-test-crl.test.siths.se

• http://connectivity-test-ocsp.test.siths.se

• http://connectivity-test-aia.test.siths.se

QA (avvecklades i samband med lanseringen av spärrkontrollstjänster i QA 2023-11-16)

• http://connectivity-test-crl1pp.siths.se

• http://connectivity-test-ocsp1pp.siths.se

• http://connectivity-test-aiapp.siths.se

Produktion

• http://connectivity-test-crl1.siths.se

• http://connectivity-test-ocsp1.siths.se

• http://connectivity-test-aia.siths.se

För kunder med Sjunet

Informationen om utgående ip-adress (Source-NAT) hjälpa kunder med Sjunet att avgöra om man har routat trafiken korrekt. Ligger den utgående IP-adressen inom något av följande spann går trafiken sannolikt över Sjunet:

 81.89.144.0/20

• 213.189.96.0/19

• 82.136.128.0/18

 Om man har problem att nå testsidorna kan detta bero på att man routar trafiken över Sjunet/Internet, men använder en utgående IP-adress (Source NAT) för fel nätverk, vilket gör att nätverkstrafiken inte hittar tillbaka.

Lokala anpassningar

En del organisationer har lokala anpassningar och lokal DNS-infrastruktur och det är därför viktigt att tänka på följande:

...

Inera rekommenderar att alltid använda DNS för att hämta AIA- och spärrinformation, att alltid uppdatera loka DNS enligt central TTL samt att låta TTL på lokala poster vara samma som central TTL.

Förändringar av Authority Information Access (AIA)

AIA-tillägget i certifikatet används för att specificera vitala resurser för SITHS. Exempelvis publiceras utfärdarcertifikat under SITHS e-id Root CA v2. I den nuvarande lösningen har dessa utfärdarcertifikat presenterats i PEM-format (base64) vilket inte är i överensstämmelse med standarden RFC-5280. Standarden uttrycker att utfärdarcertifikat ska presenterats i DER-format (binärt) varför en ändring görs av AIA i samband med migreringen. Om det finns tillämpningar som inte följer standarden kan dessa få problem. Vi har ännu inte identifierat något sådant exempel, men utesluter inte att det kan finnas.

...