Innehållsförteckning
Revisionshistorik
Bakgrund
Den släppte Microsoft ett antal säkerhetsuppdateringar som införde ett skydd mot användning av förfalskade certifikat vid inloggning till Windows Active Directory (AD).
Ändringen innebär att certifikatet på SITHS-kortet kommer att kontrolleras mot uppgifter som ni själva måste registrera på användarens konto i AD.
Förändringen kommer att bli obligatorisk senast , se KB5014754 för mer information från Microsoft om konsekvenser och åtgärder som kan vidtas vid installation av denna säkerhetsuppdatering.
OBS! Användaren kan få problem med inloggning redan när uppdateringen installeras efter 10 maj 2022, se avsnittet Övergångslösningar nedan.
Inera har med hjälp av två regioner tagit fram följande instruktion för åtgärder i lokalt AD för att användarna fortsatt kunna logga in till Windows med redan utfärdade SITHS-certifikat.
Påverkade uppdateringar (KB’s)
För information om vilka uppdateringar på olika operativsystem som innehåller denna ändring, se följande länkar:
Övergångslösningar
I vissa lägen kan inloggning sluta fungera direkt uppdateringen installeras. Microsoft har därför också beskrivit ett antal tillfälliga åtgärder under rubriken “Registernyckelinformation” på sidan KB5014754 som kan användas som övergångslösningar fram tills:
ni har lagt till information i användarens AD-konton enligt nedan instruktion
den tvingande uppdateringen
En avinstallation av aktuell uppdatering kan också göras som en tillfällig lösning.
Instruktion för tillägg av information på användares AD-konto
Nedan följer instruktionen för vilken information som behöver läggas till på användarens AD-konto för att t fortsatt ska gå att logga in med SITHS-certifikat:
efter att säkerhetsuppdatuppdateringen har installerats
eller senast den .
Denna information baseras på Microsofts rekommendation på sidan KB5014754
Olika sätt att lägga till informationen
Organisation med synkronisering mot HSA
Om din organisation har en synkronisering mot nationella HSA till lokal katalog, så kan ni även automatisera nedan omvandling av namn på certifikatutfärdare och serienummer vid synkronisering till ert lokala AD.
Organisation utan synkronisering mot HSA
OM din organisation saknar synkronisering mot nationella HSA måste ni själva lägga in dessa värden på användarens AD-konto.
När behöver informationen uppdateras på användarens AD-konto
Innehållet måste skapas och synkas till AD senast när användaren:
får ett nytt SITHS-kort
hämtar certifikat till ett SITHS-kort via Mina sidor (för både ordinarie kort och reservkort)
Vilka certifikat ska hanteras
De certifikat som ska hanteras är SITHS legitimeringscertifikat. Dvs certifikat med
Nyckelanvändning: Digital signatur, Nyckelchiffrering (a0)
Key usage: digitalSignature, keyEncipherment (a0)
Exempel
För SITHS innebär det legitimeringscertifikat utgivna av
C=SE,O=Inera AB,CN=SITHS e-id Person HSA-id 3 CA v1 (ordinarie kort)
eller
C=SE,O=Inera AB,CN=SITHS e-id Person HSA-id 2 CA v1 (reservkort)
Nytt attribut i lokal katalog
Ett nytt attribut skapas i lokalt AD och/eller lokal Användarkatalog (HSA-katalog). De flesta egenskaperna hämtar vi ifrån Microsofts attributdefinition.
Attributets LDAP-namn | altSecurityIdentities |
Teknisk maxlängd | Odefinierad (enligt Microsofts specifikation) |
Syntax | Directory String |
OID | 1.2.840.113556.1.4.867 |
Objektklasstillhörighet | hsapersonExtension |
Equality Match | caseIgnoreMatch |
Envärdes-/ flervärdesattribut | Multivärde |
Exempel
Innehållet i attributet ska vara:
X509:<I>Utgivande CA i omvänd ordning<SR>Serienummer i omvänd ordning
Dvs.
X509:<I>C=SE,O=Inera AB,CN=SITHS e-id Person HSA-id 3 CA v1<SR>7b37c8b81bda6f7cc63d2f194f7c01
Utgivande CA
Utgivande CA hämtas från fältet Utfärdare (Issuer) i certifikatet och skrivs in i omvänd ordning i det nya attributet “altSecurityIdentities”:
Exempel
CN=SITHS e-id Person HSA-id 3 CA v1,O=Inera AB,C=SE
blir:
C=SE,O=Inera AB,CN=SITHS e-id Person HSA-id 3 CA v1
Serienummer
Serienumret hämtas från fältet Serienummer (Serial number) i certifikatet och skrivs in i omvänd ordning i det nya attributet “altSecurityIdentities”:
Exempel
01772941ce29b3ec999d657f0e0174
Ska bli
74010e7f659d99ecb329ce41297701