Innehållsförteckning

Revisionshistorik

Bakgrund

I och med Windowsuppdateringen KB5014011 som släpptes den 10 maj 2022 införde Microsoft ett skydd mot användning av förfalskade certifikat vid inloggning till Windows Active Directory (AD).

Ändringen innebär att certifikatet på SITHS-kortet kommer att kontrolleras mot uppgifter som ni själva måste registrera på användarens konto i Active DirectoryAD.

Förändringen kommer att bli obligatorisk senast 9 maj 2023, men är frivillig fram tills dess, se KB5014754 för mer information från Microsoft.

Inera har med hjälp av VGR och Östergötland tagit fram följande instruktion för åtgärder i lokalt AD för att fortsatt kunna logga in till Windows med redan utfärdade SITHS-certifikat.

Vi utreder möjligheten att lägga till den ”Object SID” (OID) som Microsoft pekar på i sin dokumentation för certifikat som utfärdas i framtiden.

Övergångslösning

Ankare
overgangslosning overgangslosning

OM Användarens konto är nyare än datumet då SITHS-certifikatet utfärdades när uppdateringen KB5014011 installeras kommer inloggningen att sluta fungera för användaren.

Som övergångslösning fram till 9 maj 2023 kan man göra följande registerändring på sina domänkontrollanter för att tillåta inloggning även för dessa användare.

• Registernyckel: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc

• REG_DWORD: CertificateBackdatingCompensation

• Värde: 0x12CC0300 (vilket motsvarar 10 år enligt KB5014754)

Instruktion för tillägg av information på användares AD-konto

Nedan följer instruktionen för vilken information som behöver läggas till på användarens AD-konto.

Olika sätt att lägga till informationen

Organisation med synkronisering mot HSA

Om din organisation har en synkronisering mot nationella HSA till lokal katalog, så kan ni även automatisera nedan omvandling av namn på certifikatutfärdare och serienummer vid synkronisering till ert lokala AD.

Organisation utan synkronisering mot HSA

OM din organisation saknar synkronisering mot nationella HSA måste ni själva lägga in dessa värden på användarens AD-konto.

När behöver informationen uppdateras på användarens AD-konto

Innehållet måste skapas och synkas till AD senast när användaren:

• får ett nytt SITHS-kort

• hämtar certifikat till ett SITHS-kort via Mina sidor (för både ordinarie kort och reservkort)

Vilka certifikat ska hanteras

De certifikat som ska hanteras är SITHS legitimeringscertifikat. Dvs certifikat med

Nyckelanvändning: Digital signatur, Nyckelchiffrering (a0)

Key usage: digitalSignature, keyEncipherment (a0)

...

Exempel

För SITHS innebär det legitimeringscertifikat utgivna av
C=SE,O=Inera AB,CN=SITHS e-id Person HSA-id 3 CA v1 (ordinarie kort)
eller
C=SE,O=Inera AB,CN=SITHS e-id Person HSA-id 2 CA v1 (reservkort)

Nytt attribut i lokal katalog

Ett nytt attribut skapas i lokalt AD och/eller lokal Användarkatalog (HSA-katalog). De flesta egenskaperna hämtar vi ifrån Microsofts attributdefinition.

Exempel

Innehållet i attributet ska vara:

X509:<I>Utgivande CA i omvänd ordning<SR>Serienummer i omvänd ordning

Dvs.

X509:<I>C=SE,O=Inera AB,CN=SITHS e-id Person HSA-id 3 CA v1<SR>7b37c8b81bda6f7cc63d2f194f7c01

Utgivande CA

Utgivande CA hämtas från fältet Utfärdare (Issuer) i certifikatet och skrivs in i omvänd ordning i det nya attributet “altSecurityIdentities”:

...

Exempel

CN=SITHS e-id Person HSA-id 3 CA v1,O=Inera AB,C=SE

blir:

C=SE,O=Inera AB,CN=SITHS e-id Person HSA-id 3 CA v1

Serienummer

Serienumret hämtas från fältet Serienummer (Serial number) i certifikatet och skrivs in i omvänd ordning i det nya attributet “altSecurityIdentities”:

...

Exempel

01772941ce29b3ec999d657f0e0174

Ska bli

74010e7f659d99ecb329ce41297701