Ny lösning SITHS PKI
Innehållsförteckning
Bakgrund
Som en del av ny lösning för SITHS pågår just nu projektet NLS PKI. Projektets mål är att migrera befintliga PKI-strukturen från Telia Cygate till Ineras egen drift och förvaltning. Primära syftet med en migrering är att minimera påverkan på befintliga förlitande parter, organisationer som använder SITHS idag.
I och med lanseringen av nya spärrtjänsten kommer några infrastrukturfunktioner inom SITHS att byta IP-adresser.
Vi förbereder även miljöerna för IPv6-adresser. Detta kommer dock att konfigureras i DNS vid ett senare tillfälle.
Kunden behöver därmed göra nedanstående insatser snarast:
Observera att:
Alla kunder även ska behålla de gamla brandväggsöppningarna
Kunder som även har Sjunet utöver Internet ska behålla den gamla logiken för uppslag av DNS-namn och routing
Fram tills flytten av dessa funktioner äger rum.
Målgrupp
Målgruppen för denna information är förlitande parter, ansvariga utgivare och it-organisationer där i synnerhet ansvariga för nätverk och brandväggar inom respektive organisation.
Det här behöver din organisation göra
I och med lanseringen av nya spärrtjänsten kommer följande infrastruktur funktioner inom SITHS certifikatutfärdare att byta IP-adresser:
Spärrlistor (CRL)
Används för att kontrollera om certifikat är spärrade eller ej mot en lista som innehåller alla spärrade certifikat
Online certifikatstatus protokoll (OCSP)
Länkar för att automatiskt bygga tillit till certifkatkedjan (AIA)
Används främst av Microsoft-system
Detta innebär att system som idag använder något av:
SITHS Funktionscertifikat
SITHS-certifikat för användare (främst vid autentiseringsmetoden Mutual TLS)
Måste se över följande:
Brandväggsöppningar i rätt brandvägg beroende på hur man routar sin trafik
Om routingen för trafiken för dessa funktioner ska gå över Internet eller Sjunet (endast kunder med Sjunet)
Se till att Source-NAT adressen vid trafik till dessa funktioner matchar det val man gjort om trafiken ska gå över Internet eller Sjunet (endast kunder med Sjunet)
Brandväggsöppningar
Samtliga organisationer måste säkerställa att man har brandväggsöppningar för följande IP-adresser.
Samtliga brandväggsöppningar ska göras för:
Protokoll: HTTP
Port: 80
Riktning: Utgående nätverkstrafik
För kunder som har Sjunet bör man även se över sin logik för DNS-uppslag och routing, se DNS-uppslag och routinglogik för Sjunet
Olika funktioners DNS-namn och Gamla vs. nya IP-adresser
Produktion
Gammal IPv4: 194.237.208.239
Ny IPv4: 82.136.183.246
Ny IPv6: 2a01:58:6106:5a01::246 (konfigureras i DNS vid ett senare tillfälle)
Gammal IPv4: 194.237.208.174
Ny IPv4: 82.136.183.247
Ny IPv6: 2a01:58:6106:5a01::247 (konfigureras i DNS vid ett senare tillfälle)
Gammal IP; 194.237.208.239
Ny IPv4: 82.136.183.248
Ny IPv6: 2a01:58:6106:5a01::248 (konfigureras i DNS vid ett senare tillfälle)
QA (tidigare SITHS Preprod)
Gammal IP: 194.237.208.238
Ny IPv4: 82.136.183.150
Ny IPv6: 2a01:58:6106:3a05::150 (konfigureras i DNS vid ett senare tillfälle)
Gammal IP: 194.237.208.170
Ny IP: 82.136.183.151
Ny IPv6: 2a01:58:6106:3a05::151 (konfigureras i DNS vid ett senare tillfälle)
Gammal IP: 194.237.208.238
Ny IP: 82.136.183.152
Ny IPv6: 2a01:58:6106:3a05::152 (konfigureras i DNS vid ett senare tillfälle)
DNS-uppslag och routinglogik för Sjunet
Observera att denna information gäller endast kunder med Sjunetuppkoppling
Schematisk skiss för DNS-uppslag och routinglogik