Innehållsförteckning
Bakgrund
Som en del av ny lösning för SITHS pågår just nu projektet NLS PKI. Projektets mål är att migrera befintliga PKI-strukturen från Telia Cygate till Ineras egen drift och förvaltning. Primära syftet med en migrering är att minimera påverkan på befintliga förlitande parter, organisationer som använder SITHS idag.
I och med lanseringen av nya spärrtjänsten kommer några infrastrukturfunktioner inom SITHS att byta IP-adresser.
Vi förbereder även miljöerna för IPv6-adresser. Detta kommer dock att konfigureras i DNS vid ett senare tillfälle.
Kunden behöver därmed göra nedanstående insatser snarast:
Observera att:
Alla kunder även ska behålla de gamla brandväggsöppningarna
Kunder som även har Sjunet utöver Internet ska behålla den gamla logiken för uppslag av DNS-namn och routing
Fram tills flytten av dessa funktioner äger rum.
Målgrupp
Målgruppen för denna information är förlitande parter, ansvariga utgivare och it-organisationer där i synnerhet ansvariga för nätverk och brandväggar inom respektive organisation.
Det här behöver din organisation göra
I och med lanseringen av nya spärrtjänsten kommer följande infrastruktur funktioner inom SITHS certifikatutfärdare att byta IP-adresser:
Spärrlistor (CRL)
Används för att kontrollera om certifikat är spärrade eller ej mot en lista som innehåller alla spärrade certifikat
Online certifikatstatus protokoll (OCSP)
Länkar för att automatiskt bygga tillit till certifkatkedjan (AIA)
Används främst av Microsoft-system
Detta innebär att system som idag använder något av:
SITHS Funktionscertifikat
SITHS-certifikat för användare (främst vid autentiseringsmetoden Mutual TLS)
Måste se över följande:
Brandväggsöppningar i rätt brandvägg beroende på hur man routar sin trafik
Om routingen för trafiken för dessa funktioner ska gå över Internet eller Sjunet (endast kunder med Sjunet)
Se till att Source-NAT adressen vid trafik till dessa funktioner matchar det val man gjort om trafiken ska gå över Internet eller Sjunet (endast kunder med Sjunet)
Brandväggsöppningar
Samtliga organisationer måste säkerställa att man har brandväggsöppningar för följande IP-adresser.
Samtliga brandväggsöppningar ska göras för:
Protokoll: HTTP
Port: 80
Riktning: Utgående nätverkstrafik
För kunder som har Sjunet bör man även se över sin logik för DNS-uppslag och routing, se DNS-uppslag och routinglogik för Sjunet
Olika funktioners DNS-namn och Gamla vs. nya IP-adresser
Produktion
Gammal IPv4: 194.237.208.239
Ny IPv4: 82.136.183.246
Ny IPv6: 2a01:58:6106:5a01::246 (konfigureras i DNS vid ett senare tillfälle)
Gammal IPv4: 194.237.208.174
Ny IPv4: 82.136.183.247
Ny IPv6: 2a01:58:6106:5a01::247 (konfigureras i DNS vid ett senare tillfälle)
Gammal IP; 194.237.208.239
Ny IPv4: 82.136.183.248
Ny IPv6: 2a01:58:6106:5a01::248 (konfigureras i DNS vid ett senare tillfälle)
QA (tidigare SITHS Preprod)
Gammal IP: 194.237.208.238
Ny IPv4: 82.136.183.150
Ny IPv6: 2a01:58:6106:3a05::150 (konfigureras i DNS vid ett senare tillfälle)
Gammal IP: 194.237.208.170
Ny IP: 82.136.183.151
Ny IPv6: 2a01:58:6106:3a05::151 (konfigureras i DNS vid ett senare tillfälle)
Gammal IP: 194.237.208.238
Ny IP: 82.136.183.152
Ny IPv6: 2a01:58:6106:3a05::152 (konfigureras i DNS vid ett senare tillfälle)
DNS-uppslag och routinglogik för Sjunet
Observera att denna information gäller endast kunder med Sjunetuppkoppling
Schematisk skiss för DNS-uppslag och routinglogik
Informationsmöte 2022-10-03
Hur verifierar ni brandväggsändringarna?
Ni har möjlighet att testa era brandväggsändringar genom att navigera till någon av nedanstående länkar.
Respektive sida visar vilken miljö och funktion ni har nått, samt information om vilken utgående IP-adress (Source NAT) ni har från ert nätverk.
Observera Tänk på att ni, vid behov av test, behöver testa åtkomst både från
Klientnätverk där ni har användarnas datorer
Servernätverk där ni har servrar som ska kontrollera SITHS-certifikat
TEST (avvecklades i samband med lanseringen av spärrkontrollstjänster i QA 2023-11-16)
QA (avvecklades i samband med lanseringen av spärrkontrollstjänster i QA 2023-11-16)
Produktion
För kunder med Sjunet
Informationen om utgående ip-adress (Source-NAT) hjälpa kunder med Sjunet att avgöra om man har routat trafiken korrekt. Ligger den utgående IP-adressen inom något av följande spann går trafiken sannolikt över Sjunet:
81.89.144.0/20
213.189.96.0/19
82.136.128.0/18
Om man har problem att nå testsidorna kan detta bero på att man routar trafiken över Sjunet/Internet, men använder en utgående IP-adress (Source NAT) för fel nätverk, vilket gör att nätverkstrafiken inte hittar tillbaka.
Lokala anpassningar
En del organisationer har lokala anpassningar och lokal DNS-infrastruktur och det är därför viktigt att tänka på följande:
Lokal DNS-infrastruktur eller DNS-cahce
Om din organisation har egen DNS-infrastruktur eller använder lokal cache av DNS-information måste ni;
Uppdateras informationen minst så ofta som TTL-vädet i central DNS anger (60 minuter) så att spärrinformation och AIA-information kan hämtas från de nya IP-adresserna när DNS pekas om till dessa.
Sätta högst 60 minuter TTL på era egna DNS-records.
Hämta via IP-adress
Om din organisation hämtar AIA- eller spärrinformation baserat på IP-adress måste ni;
i första hand ändra detta till URL och göra namnuppslag enligt ovan,
i andra hand uppdatera IP-adresserna för AIA- och spärrinformation.
Inera rekommenderar att alltid använda DNS för att hämta AIA- och spärrinformation samt att alltid uppdatera loka DNS enligt central TTL.
Namnuppslag i hosts-filer
Om din organisation hämtar AIA- eller spärrinformation baserat information i lokala hosts-filer måste ni;
i första hand ändra detta till URL och göra namnuppslag enligt ovan,
i andra hand uppdatera IP-adresserna för AIA- och spärrinformation i hosts-filerna.
Inera rekommenderar att alltid använda DNS för att hämta AIA- och spärrinformation, att alltid uppdatera loka DNS enligt central TTL samt att låta TTL på lokala poster vara samma som central TTL.