Bakgrund
Projektets mål är att förnya SITHS tjänsten genom att migrera befintliga PKI strukturen från Telia Cygate till en egen drift och förvaltning. Primära syftet med en migrering är att minimera påverkan på befintliga organisationer som använder SITHS idag.
Kunden behöver därmed endast göra nedanstående insatser innan 12 oktober 2022. Dessa förändringar är en nödvändighet för att kunna nyttja SITHS eID Portal som lanseras för ansvariga utgivare runt årsskiftet 2022/2023 och för övriga användare våren 2023.
Målgrupp
Målgruppen för denna information är förlitande parter, ansvariga utgivare och it-organisationer där i synnerhet ansvariga för nätverk och brandväggar inom respektive organisation.
Det här behöver din organisation göra innan 12 oktober 2022
Observera att denna information gäller endast kunder med Sjunetuppkoppling
I och med lanseringen av nya spärrtjänsten kommer följande infrastruktur funktioner inom SITHS certifikatutfärdare att byta IP-adresser:
Spärrlistor (CRL)
Används för att kontrollera om certifikat är spärrade eller ej mot en lista som innehåller alla spärrade certifikat
Online certifikatstatus protokoll (OCSP)
Länkar för att automatiskt bygga tillit till certifkatkedjan (AIA)
Används främst av Microsoft-system
Detta innebär att system som idag använder något av:
SITHS Funktionscertifikat
SITHS-certifikat för användare (främst vid autentiseringsmetoden Mutual TLS)
Måste se över följande:
Routing för trafik för dessa funktioner
Source-NAT vid trafik till dessa funktioner
Brandväggsöppningar i rätt brandvägg beroende på hur man routar sin trafik
Brandväggsöppningar
Ankare | ||||
---|---|---|---|---|
|
Samtliga organisationer måste säkerställa att man har brandväggsöppningar för följande IP-adresser.
Samtliga brandväggsöppningar ska göras för:
Protokoll: HTTP
Port: 80
Info |
---|
För kunder som har Sjunet bör man även se över sin logik för DNS-uppslag och routing, se DNS-uppslag och routinglogik för Sjunet |
Expandera | |
---|---|
|
...
| ||
Produktion
QA (tidigare SITHS Preprod)
|
DNS-uppslag och routinglogik för Sjunet
Ankare | ||||
---|---|---|---|---|
|
Observera |
---|
Observera att denna information gäller endast kunder med Sjunetuppkoppling |
Expandera | ||
---|---|---|
| ||
2. Beroende på vilken IP-adress man får enligt ovan tar nätverkstrafiken olika vägar antingen
3. Beroende på vilket nätverk trafiken tar enligt ovan måste organisationen se till att trafiken Source-NAT:as bakom en IP-adress som SITHS-tjänsten förknippar med samma nätverk. Detta för att förhindra asynkron routing.
Exempel på fel som kan uppstå: 4. Brandväggsöppningar måste finnas i rätt brandvägg beroende på vilken väg trafiken tar enligt ovan logik |
...
för de Gamla IP-adresserna i listan över Brandväggsöppningar |
Expandera | |
---|---|
|
...
| |
4. Beroende på vilket nätverk trafiken tar enligt ovan beslut måste organisationen se till att trafiken Source-NAT:as bakom en IP-adress som SITHS-tjänsten förknippar med samma nätverk. Detta för att förhindra asynkron routing.
Exempel på fel som kan uppstå: 5. Brandväggsöppningar måste finnas i rätt brandvägg beroende på vilken väg trafiken tar enligt ovan logik |
...
Ovanstående finns även publicerad sedan tidigare under denna länk: https://confluence.cgiostersund.se/x/7K30Cw
Expandera | ||
---|---|---|
| ||
Produktion
QA (tidigare SITHS Preprod)
|
Beroenden
...
för de Nya IP-adresserna i listan över Brandväggsöppningar |