Bakgrund
Projektets mål är att förnya SITHS tjänsten genom att migrera befintliga PKI strukturen från Telia Cygate till en egen drift och förvaltning. Primära syftet med en migrering är att minimera påverkan på befintliga organisationer som använder SITHS idag.
Kunden behöver därmed endast göra nedanstående insatser innan 12 oktober 2022. Dessa förändringar är en nödvändighet för att
Målgrupp
Målgruppen för denna information är ansvariga för nätverk och brandväggar inom respektive organisation.
Det här behöver din organisation göra innan 12 oktober 2022
Observera att denna information gäller endast kunder med Sjunetuppkoppling
I och nya spärrtjänsten kommer följande infrastruktur funktioner inom SITHS certifikatutfärdare att byta IP-adresser:
Spärrlistor (CRL)
Används för att kontrollera om certifikat är spärrade eller ej mot en lista som innehåller alla spärrade certifikat
Online certifikatstatus protokoll (OCSP)
Länkar för att automatiskt bygga tillit till certifkatkedjan (AIA)
Används främst av Microsoft-system
Detta innebär att system som idag använder något av:
Måste se över följande:
Routing för trafik för dessa funktioner
Source-NAT vid trafik till dessa funktioner
Brandväggsöppningar i rätt brandvägg beroende på hur man routar sin trafik
Innan flytten gäller följande logik:
Organisationens tjänster slår upp nedan funktioners DNS-värden och får olika IP-adresser beroende på om man ställer sin DNS-fråga över Internet eller Sjunet.
2. Beroende på vilken IP-adress man får enligt ovan tar nätverkstrafiken olika vägar antingen
3. Beroende på vilket nätverk trafiken tar enligt ovan måste organisationen se till att trafiken Source-NAT:as bakom en IP-adress som SITHS-tjänsten förknippar med samma nätverk. Detta för att förhindra asynkron routing.
Exempel på fel som kan uppstå:
Organisationen skickar trafiken via Sjunet, MEN med en Source-IP som pekar på Internet. Vilket gör att SITHS försöker skicka tillbaka anropet via Internet och svaret når aldrig frågande part.
4. Brandväggsöppningar måste finnas i rätt brandvägg beroende på vilken väg trafiken tar enligt ovan logik.
Ny logik som gäller efter flytten
Fölande logik gäller efter flytten
Organisationens tjänster slår upp nedan funktioners DNS-värden och får SAMMA IP-adresser oavsett om man ställer sin DNS-fråga över Internet eller Sjunet
Respektive IP-adress går att nå BÅDE via Internet och Sjunet
Organisationen måste bestämma OM man vill att trafiken ska gå över Internet eller Sjunet
4. Beroende på vilket nätverk trafiken tar enligt ovan beslut måste organisationen se till att trafiken Source-NAT:as bakom en IP-adress som SITHS-tjänsten förknippar med samma nätverk. Detta för att förhindra asynkron routing.
Exempel på fel som kan uppstå:
Organisationen skickar trafiken via Sjunet, MEN med en Source-IP som pekar på Internet. Vilket gör att SITHS försöker skicka tillbaka anropet via Internet och svaret når aldrig frågande part.
5. Brandväggsöppningar måste finnas i rätt brandvägg beroende på vilken väg trafiken tar enligt ovan logik.
Ovanstående finns även publicerad sedan tidigare under denna länk: https://confluence.cgiostersund.se/x/7K30Cw
Olika funktioners DNS-namn och Gamla vs. nya IP-adresser
Produktion
**crl1.siths.se **
Gammal IPv4: 194.237.208.239
Ny IPv4: 82.136.183.246
Ny IPv6: 2a01:58:6106:5a01::246
**ocsp1.siths.se **
Gammal IPv4: 194.237.208.174
Ny IPv4: 82.136.183.247
Ny IPv6: 2a01:58:6106:5a01::247
**aia.siths.se **
Gammal IP; 194.237.208.239
Ny IPv4: 82.136.183.248
Ny IPv6: 2a01:58:6106:5a01::248
QA (tidigare SITHS Preprod)
crl1pp.siths.se
Gammal IP: 194.237.208.238
Ny IPv4: 82.136.183.150
Ny IPv6: 2a01:58:6106:3a05::150
ocsp1pp.siths.se
Gammal IP: 194.237.208.170
Ny IP: 82.136.183.151
Ny IPv6: 2a01:58:6106:3a05::151
aiapp.siths.se
Gammal IP: 194.237.208.238
Ny IP: 82.136.183.152
Ny IPv6: 2a01:58:6106:3a05::152
Beroenden
Ovanstående förändringar är en förutsättning för att kunna konfigurera och använda kommande SITHS eID Portal från Inera.