Jämförda versioner

Gammal version 2

changes.mady.by.user Frank Grundin

Sparat den

jämfört med

Ny version 3

changes.mady.by.user Frank Grundin

Sparat den

Nyckel

  • Dessa rader lades till.
  • Denna rad togs bort.
  • Formateringen ändrades.

...

De godkända certifikatutfärdare som listas nedan gäller för SDK Öppen testmiljö.

Säkerhetsområde

Certifikatutfärdare

Målgrupper

Anskaffa / Förnya

Revokera

Säkerhet i eDelivery transportinfrastruktur - skydd mellan accesspunkter - Transportkryptering

Transportlager (TLS):

  • Accesspunkt →
    Termineringspunkt (Accesspunkt)

Godkända (enligt IT-säkerhetsbilaga till regelverk för anslutning till SDK, se Informationssäkerhet):

  • SITHS e-id funktionscertifikat (Inera)

Tjänsteleverantörens AP-operatör som ska ansluta accesspunkt till DIGG eDelivery transportinfrastruktur och SDK-federationens miljöer.

Tjänsteleverantörens AP-operatör anskaffar i första hand via ombud (tredjepartsanslutning) eller själv (direktanslutning) ett nytt SITHS funktionscertifikat (för ytterligare info, se /wiki/spaces/OISDK/pages/2710896795 - ‘Anskaffa SITHS funktionscertifikat’).

  • Kontakta certifikatsutgivare

Säkerhet i eDelivery transportinfrastruktur

Används i följande gränssnitt:

  • Accesspunkt -> Accesspunkt

  • SMP -> Accesspunkt

  • Certifikatpubliceringstjänst -> Meddelandetjänst

DIGG

Tjänsteleverantörens Accesspunktsoperatör som ska ansluta accesspunkt till DIGGs Test-miljö.

Användarorganisationens Tjänsteleverantörens Accesspunktsoperatör genererar en CSR för accesspunkten som bifogas till DIGGs 'Anmälan om anslutning av Accesspunktsoperatör till Testmiljö’.

Om ansökan godkänns, returneras ett publikt certifikat baserat på PKI som beskrivs i DIGGs ‘eDelivery - PKI för Accesspunkter Tjänstebeskrivning’.

Kontakta DIGG

O2O-kryptering och signering inom infrastrukturen för SDK

Används i följande gränssnitt:

  • Meddelandetjänst -> Meddelandetjänst

Godkända tills vidare (enligt IT-säkerhetsbilaga till regelverk för anslutning till SDK, se Informationssäkerhet):

  • SITHS e-id funktionscertifikat (Inera)

  • E-identitet för offentlig sektor - Efos (Försäkringskassan)

  • ExpiTrust EID V4 (Expisoft AB)

Tjänsteleverantören som ska ansluta till SDK Öppen testmiljö där tjänsteleverantörens certifikat behöver registreras i DIGGs Certifikatspubliceringstjänst.

Tjänsteleverantören anskaffar ett O2O-certifikat. Detta kan göras genom att:

  • SITHS: Användarorganisationen Tjänsteleverantören anskaffar själv eller via ombud ett nytt SITHS e-id-certifikat och bifogar i anslutningsblanketten Beställ och ändra

  • Efos: Kontakta Försäkringskassan

  • ExpiTrust: Kontakta Expisoft

Om anslutningen godkänns registreras O2O-certifikatet i DIGGs Certifikatspubliceringstjänst av DIGG.

  • Kontakta certifikatsutgivare

  • Kontakta DIGG för att avregistrera tjänsteleverantörens certifikat i DIGGs Certifikatpubliceringstjänst.

...

  • Tjänsteleverantörens Accesspunktsoperatör behöver generera en CSR för accesspunkten som bifogas till DIGGs 'Anmälan om anslutning av Accesspunktsoperatör till Testmiljö’. Blanketten är ej publicerad. Kontakta info@digg.se.

  • Tjänsteleverantörens Accesspunktsoperatör behöver uppdatera accesspunktens truststore med DIGG PKI kedja (både intermediär CA och rot CA behöver inkluderas). Certifikatkedjan är ej publicerad. Kontakta info@digg.se.

  • Tjänsteleverantörens Accesspunktsoperatör behöver för utgående trafik konfigurera privat nyckel och certifikat i den komponent som agerar klient på transportlager (accesspunkt / proxy)

  • Tjänsteleverantörens Accesspunktsoperatör behöver uppdatera termineringspunktens truststore på transportlager med SITHS CA kedja (både intermediär CA och rot CA behöver inkluderas)

  • Tjänsteleverantören behöver uppdatera meddelandetjänstens truststore med DIGG PKI kedja för SMP (både intermediär CA och rot CA behöver inkluderas). Certifikatkedjan är ej publicerad. Kontakta info@digg.se.

  • Tjänsteleverantören behöver anskaffa ett O2O-certifikat (testfunktionscertifikat) som är organisationens certifikat som ska bifogas i SDK Anslutningsblankett (se /wiki/spaces/OISDK/pages/2718204360 )För HTTPS/TLS ska endast utgivare av TLS-certifikat som finns på ”Mozilla Network Security Services” lista ”List of preloaded CA-certificates”) användas.

  • Tjänsteleverantören kan ta hjälp av en översikt på hur olika certifikat används (se /wiki/spaces/OISDK/pages/2710896795, kap. 5)

Certifikatutfärdare

Certifikat

Kommentar

eDelivery transportinfrastruktur (DIGG) - skydd mellan accesspunkter - transportkryptering

PKI-struktur och rotcertifikat

  • SITHS: Certifikaten basera på följande intermediär CA och rot CA:

    • TEST SITHS e-id Root CA v2

    • TEST SITHS e-id Function CA v1

eDelivery transportinfrastruktur (DIGG) - meddelandekryptering

Certifikatkedjan är ej publicerad, kontakt info@digg.se.

DIGG Test Certifikatkedja AP:

  • Rot CA eDelivery Accesspunkt-TEST.cer

  • Accesspunkt CA-TESTFEDERATION-TEST.cer

O2O-kryptering och signering inom infrastrukturen för SDK (O2O-certifikat)

PKI-struktur och rotcertifikat

(O2O-certifikatets CA behöver inte inkluderas i någon truststore)

  • SITHS: Certifikaten basera på följande intermediär CA och rot CA:

    • TEST SITHS e-id Root CA v2

    • TEST SITHS e-id Function CA v1

  • Efos: TBD

  • ExpiTrust: TBD

...

SDK Öppen testmiljö för tjänsteleverantörer

...

Systemkomponent

Hostnamn

IP-adress

Port för inkommande anrop

URL

Domibus AP

otm-sdk.inera.se

193.234.91.196 (inkommande)
193.234.91.193 (utgående)

443

https://otm-ap-sdk.inera.se/domibus/services/msh

SDK Adressbok

otm-sdk.inera.se

193.234.91.196

443

https://otm-sdk.inera.se/addressbook/

https://otm-sdk.inera.se/addressbook/api/documentation

https://otm-sdk.inera.se/codesystem/

https://otm-sdk.inera.se/codesystem/api/documentation

https://otm-sdk.inera.se/addressbook/actuator/health

SDK Testklient

otm-sdk.inera.se

193.234.91.196

443

https://otm-sdk.inera.se/testclient/

https://otm-sdk.inera.se/testclient/actuator/health

...