Revisionshistorik

...

Expandera

title	Visa revisionshistorik

Version	Datum	Författare	Kommentar
1.0	2021-02-02	SITHS Förvaltning	Fastställande av sida och komplettering för SITHS eID och Mobilt SITHS
1.01	2021-02-03	SITHS Förvaltning	Justerat länk till Nätverksinställningar för SITHS eID och Mobilt SITHS
1.1	2021-02-04	SITHS Förvaltning	Konsoliderat all information om nätverksinställningar till en sida samt städat gammal information
1.11	2021-03-09	SITHS Förvaltning	Tillägg av sökvägar för API:er
1.2	8 nov. 2021	SITHS Förvaltning	Tog bort referenser till OCS/CRL för CrossBorder i: Preprod sithsocsp.preprod.trust.telia.com http://www.carelink.se/siths-ca/test-crl004.crl sithscrl.carelink.sjunet.org (ldap://sithscrl.carelink.sjunet.org:389/cn=SITHS CA CrossBorder TEST v3, o=SITHS CA, c=se?certificateRevocationList;binary) Produktion sithsocsp.trust.telia.com sithscrl.carelink.sjunet.org (ldap://sithscrl.carelink.sjunet.org/cn=SITHS CA CrossBorder ,o=SITHS CA,c=SE?certificateRevocationList;binary) http://www.carelink.se/siths-ca/ca004.crl
1.3	30 sep. 2022	SITHS Förvaltning	Borttag av information om SITHS Root CA v1 och tillägg av information om nya IP-adresser efter flytten av SITHS Certifikatutfärdare som ska ske under 2023.
1.31	3 okt. 2022	SITHS Förvaltning	Lade till schematisk skiss över DNS-uppslag och routinlogik

Innehållsförteckning

...

1.4

7 nov. 2022

SITHS Förvaltning

Borttag av all data om SITHS Root CA v1 och dess adresser.

Innehållsförteckning

Klicka nedan för att visa Innehållsförteckning

...

Expandera

title	Visa information om IP-adresser och portar för Produktionsmiljöns CRL, AIA och OCSP

Syfte	URL	Befintlig IP-adress (destination)	Protokoll/Port (destination)	Nätverk (source/hos kunden)
Internet
Kontroll av om certifikat är spärrade (CRL) Policydokument	crl1.siths.se cps.siths.se rpa.siths.se	194.237.208.239 Tas i bruk Q1-2023 2a01:58:6106:5a01::246 82.136.183.246	HTTP/TCP port 80	Servernätverk och klientnätverk (alla användare)
Kontroll av om certifikat är spärrade (OCSP)	ocsp1.siths.se	194.237.208.174 Tas i bruk Q1-2023 2a01:58:6106:5a01::247 82.136.183.247	HTTP/TCP port 80	Servernätverk och klientnätverk (alla användare)
Bygga tillitskedja för certifikat (AIA)	aia.siths.se	194.237.208.239 Tas i bruk Q1-2023 2a01:58:6106:5a01::248 82.136.183.248
Sjunet
Kontroll av om certifikat är spärrade (CRL) Policydokument	crl1.siths.se	82.136.160.44 Tas i bruk Q1-2023 2a01:58:6106:5a01::246 82.136.183.246	HTTP/TCP port 80	Servernätverk och klientnätverk (alla användare)
Kontroll av om certifikat är spärrade (OCSP)	ocsp1.siths.se	82.136.160.42 Tas i bruk Q1-2023 2a01:58:6106:5a01::247 82.136.183.247	HTTP/TCP port 80	Servernätverk och klientnätverk (alla användare)
Bygga tillitskedja för certifikat (AIA)	aia.siths.se	82.136.160.44 Tas i bruk Q1-2023 2a01:58:6106:5a01::248 82.136.183.248

API:er

Expandera

title	Visa information om IP-adresser och portar för Produktionsmiljöns API:er

Info
Dessa är endast nåbara via Internet

Syfte	URL	Befintlig IP-adress (destination)	Protokoll/Port (destination)	Nätverk (source/hos kunden)
Skicka kortbeställningar till Thales med Programvaran SIS Capture Station	xml.setec.se	212.209.230.179	HTTPS/TCP 443	Klientnätverk

...

Expandera

title	Visa information om IP-adresser och portar för Preproduktionsmiljöns CRL, AIA och OCSP

Syfte	URL	Befintlig IP-adress (destination)	Protokoll/Port (destination)	Nätverk (source/hos kunden)
Internet
Kontroll av om certifikat är spärrade (CRL). Policydokument	crl1pp.siths.se cpspp.siths.se rpapp.siths.se	194.237.208.238 Tas i bruk Q1-2023 2a01:58:6106:3a05::150 82.136.183.150	HTTP/TCP port 80	Servernätverk och klientnätverk (alla användare)
Kontroll av om certifikat är spärrade (OCSP)	ocsp1pp.siths.se	194.237.208.170 Tas i bruk Q1-2023 2a01:58:6106:3a05::151 82.136.183.151	HTTP/TCP port 80	Servernätverk och klientnätverk (alla användare)
Bygga tillitskedja för certifikat (AIA)	aiapp.siths.se	194.237.208.238 Tas i bruk Q1-2023 2a01:58:6106:3a05::152 82.136.183.152
Sjunet
Kontroll av om certifikat är spärrade (CRL). Policydokument	crl1pp.siths.se	82.136.160.53 Tas i bruk Q1-2023 2a01:58:6106:3a05::150 82.136.183.150	HTTP/TCP port 80	Servernätverk och klientnätverk (alla användare)
Kontroll av om certifikat är spärrade (OCSP)	ocsp1pp.siths.se	82.136.160.52 Tas i bruk Q1-2023 2a01:58:6106:3a05::151 82.136.183.151	HTTP/TCP port 80	Servernätverk och klientnätverk (alla användare)
Bygga tillitskedja för certifikat (AIA)	aiapp.siths.se	82.136.160.53 Tas i bruk Q1-2023 2a01:58:6106:3a05::151 82.136.183.151

API:er

Expandera

title	Visa information om IP-adresser och portar för Produktionsmiljöns API:er

Info
Dessa är endast nåbara via Internet

Syfte	URL	Befintlig IP-adress (destination)	Protokoll/Port (destination)	Nätverk (source/hos kunden)	Kommentar
Skicka kortbeställningar till Thales med Programvaran SIS Capture Station	xml.setec.se	212.209.230.179	HTTPS/TCP 443	Klientnätverk	Samma API som för produktion. Test hanteras genom separata kortprodukter som bara kan beställas i SITHS Admins testmiljö

...

Expandera

title	EFTER flytten gäller följande logik för DNS-uppslag och routing

Organisationens tjänster slår upp ovan funktioners DNS-värden och får SAMMA IP-adresser oavsett om man ställer sin DNS-fråga över Internet eller Sjunet
Respektive IP-adress går att nå BÅDE via Internet och Sjunet
Organisationen måste bestämma OM man vill att trafiken ska gå över Internet eller Sjunet

Observera! För organisationer med Sjunetuppkoppling - Det IP-spann som används har tidigare kommunicerats som att det ska trafikeras över Sjunet. Därav måste organisationen med största sannolikhet se till att IP-spannet 82.136.183.0/24 routas över Internet om man INTE villa att trafiken ska gå över Sjunet.

Beroende på vilket nätverk trafiken tar enligt ovan beslut måste organisationen se till att trafiken Source-NAT:as bakom en IP-adress som SITHS-tjänsten förknippar med samma nätverk. Detta för att förhindra asynkron routing.

Om trafiken går över Internet måste trafiken Source NAT:as bakom en Internet IP-adress
Om trafiken går över Sjunet måste trafiken Source NAT:as bakom en Sjunet IP-adress

Exempel på fel som kan uppstå:
Organisationen skickar trafiken via Sjunet, MEN med en Source-IP som pekar på Internet. Vilket gör att SITHS försöker skicka tillbaka anropet via Internet och svaret når aldrig frågande part.

Brandväggsöppningar måste finnas i rätt brandvägg beroende på vilken väg trafiken tar enligt ovan logik för de

Nya IP-adresserna i listan över Brandväggsöppningar

Tester

Routing

Från den server, klientdator etc. som vill kontrollera ett SITHS-certifikat mha. ovan funktioner kan man göra en trace route för att följa trafiken på väg mot målet

Tecken på att trafiken går över Internet
- Näst sista IP-adressen är: 194.168.212.13
Tecken på att trafiken går över Sjunet
- Näst sista IP-adressen är: 81.89.159.168

Åtkomst och Source-NAT

Info
Arbete pågår för att sätta upp funktioner för end-to-end tester till maskiner hos den nya driftleverantören som följer samma trafikmönster som de riktiga funktionerna.

...

SITHS Root

Expandera

title	Klicka för att visa sökvägar till spärrlistor i Produktionsmiljö

SITHS e-id Root CA

v1

v2

Utfärdare	Sökväg
Internet & Sjunet
SITHS e-id Root CA

v1

v2	http://crl1.siths.se/

sithsrootcav1

sithseidrootcav2.crl

SITHS

Type 1

e-id Person ID 2 CA v1

http://crl1.siths.se/

sithstype1cav1

sithseidpersonid2cav1.crl

SITHS

Type

e-id Person ID 3 CA v1

http://crl1.siths.se/

sithstype3cav1

sithseidpersonid3cav1.crl

Sjunet

SITHS e-id Person ID Mobile CA v1

http://

crl2

crl1.siths.

sjunet.org

se/

sithsrootcav1

sithseidpersonidmobilecav1.crl

SITHS

Type 1

e-id Person HSA ID 2 CA v1

http://

crl2

crl1.siths.

sjunet.org

se/

sithstype1cav1

sithseidpersonhsaid2cav1.crl

SITHS

Type 3 CA v1

http://crl2.siths.sjunet.org/sithstype3cav1.crl

Utfärdare	Sökväg
Internet & Sjunet
SITHS e-id Root CA v2Person HSA ID 3 CA v1	http://crl1.siths.se/sithseidrootcav2sithseidpersonhsaid3cav1.crl
SITHS e-id Person ID 2 Function CA v1	http://crl1.siths.se/sithseidpersonid2cav1sithseidfunctioncav1.crl
SITHS e-id Person ID 3 CA v1	http://crl1.siths.se/sithseidpersonid3cav1.crl

Utfärdare	Sökväg
Internet & Sjunet
TEST SITHS e-id Root CA v2	http://crl1pp.siths.se/testsithseidpersonhsaid2cav1testsithseidrootcav2.crl
TEST SITHS e-id Person HSA ID 3 2 CA v1	http://crl1pp.siths.se/testsithseidpersonhsaid3cav1testsithseidpersonid2cav1.crl
TEST SITHS e-id Function Person ID 3 CA v1	http://crl1pp.siths.se/testsithseidfunctioncav1.crl

Jämförda versioner

Gammal version 33

Ny version 34

Nyckel

Revisionshistorik

Innehållsförteckning

Innehållsförteckning

API:er

API:er

Tester

Routing

Åtkomst och Source-NAT

SITHS e-id Root CA

v2

OCSP

OCSP

AIA

SITHS e-id Root CA v2

AIA

SITHS Root CA v1

SITHS e-id Root CA v2

Preproduktion

Administration av certifikat

Spärrlistor

SITHS e-id Root CA v2

SITHS Root CA v1

Preproduktion

Administration av certifikat

Spärrlistor

SITHS e-id Root CA v2

OCSP

AIA

OCSP

SITHS Root CA v1

AIA

SITHS e-id Root CA v2

/sithseidpersonid2cav1.cer
SITHS e-id Person ID 3 CA v1	http://

/sithseidpersonidmobilecav1.cer
SITHS e-id Person HSA ID 2 CA v1	http://aia.siths.se/

/testsithseidpersonhsaid2cav1.crl
TEST SITHS e-id Person HSA ID 3 CA v1	http://

se
Sjunet
Samtliga under TEST SITHS e-id Root CA v2	http://

Sidjämförelse

Jämförda versioner

Gammal version 33

Ny version 34

Nyckel

Innehållsförteckning

Innehållsförteckning

API:er

API:er

Tester

Routing

Åtkomst och Source-NAT

SITHS e-id Root CA

v2

OCSP

OCSP

AIA

SITHS e-id Root CA v2

AIA

SITHS Root CA v1

SITHS e-id Root CA v2

Preproduktion

Administration av certifikat

Spärrlistor

SITHS Root CA v1

SITHS e-id Root CA v2

Preproduktion

Administration av certifikat

Spärrlistor

SITHS e-id Root CA v2

OCSP

AIA

OCSP

SITHS Root CA v1

AIA

SITHS e-id Root CA v2