/
PKI-struktur och rotcertifikat

PKI-struktur och rotcertifikat

Owned by Christoffer Johansson
Last updated: nov. 29, 2024
8 min read

Innehållsförteckning

Klicka nedan för att visa innehållsförteckning

Revisionshistorik

Klicka nedan för att visa revisionshistorik

Version

Datum

Författare

Kommentar

Version

Datum

Författare

Kommentar

1.0

2019-05-08

SITHS Förvaltning

Framtagande av dokumentet

1.1

2019-06-04

SITHS Förvaltning

Redaktionella ändringar

1.2

2019-07-03

SITHS Förvaltning

Justerat tid för CrossBorder och att länkar i produktion är nåbara

1.3

2019-08-26

SITHS Förvaltning

Justerat att alla länkar är nåbara, samt att tid för utträde ur Microsofts rotcertifikatprogram ännu inte fastställts.

1.4

2019-09-30

SITHS Förvaltning

Förtydligat att klienten måste lita på utfärdaren vid AD-inloggning.

1.5

2020-11-11

SITHS Förvaltning

Tillägg av utfärdarcertifikat för utfärdare av Mobilt SITHS

1.6

2021-02-05

SITHS Förvaltning

Flytt av sida för PKI-struktur till att bli rubriker på denna sida

1.7

Oct 5, 2021

SITHS Förvaltning

Uppdaterade med information om att SITHS CA CrossBorder och motsvarigheten i TEST avvecklats

1.71

Oct 6, 2021

SITHS Förvaltning

Flyttade SITHS CA CrossBorder till avvecklade PKI-strukturer

1.72

Oct 12, 2022

SITHS Förvaltning

Rättade till AIA-länkar för 2 certifikatutfärdare, TEST SITHS e-id Person ID 2 CA v1 och TEST SITHS e-id Person ID 3 CA v1 i TEST-miljön

1.73

Nov 7, 2022

SITHS Förvaltning

Borttag av SITHS Root CA v1 från aktiva pki strukturer och från Rot och utfärdarcertifikat.

1.74

Mar 8, 2023

SITHS Förvaltning

Lade till information om SYSTEMTEST SITHS e-id Root CA v2 som används av DEV och TEST-miljöerna för SITHS eID Portal

1.75

Sep 10, 2024

SITHS Förvaltning

Justerade information om att tillit till TEST-miljöns CA (SYSTEMTEST SITHS e-id Root CA v2) kan behöva installeras för kunder/leverantörer som integrerar mot IdP:ns TEST-miljö

1.80

Nov 29, 2024

SITHS Förvaltning

Flyttade information från specifikat sida för livscykel för PKI-strukturer till denna sida.

Inledning

Denna sida innehåller information om vilka aktiva PKI-strukturer som finns inom SITHS.

Sidan innehåller också information om vilka användningsområden olika certifikat har och länkar till de rot- och utfärdarcertifikat som tjänster behöver installera tillit till om de ska använda SITHS.

SITHS Funktionscertifikat bör inte användas i användargränssnittet för en tjänst som en användare når med hjälp av exempelvis en webbläsare. All sådan användning sker under eget ansvar och riskerar att sluta fungera i framtiden.

PKI-struktur

Aktiva PKI-strukturer

Produktion

Utfärdande PKI-strukturer

SITHS e-id Root CA v2

  • Började utfärda:

    • 4 november 2019 genom distansuppgradering via SITHS Mina sidor

    • 11 februari 2020 via beställningar av kort och certifikat i SITHS Admin

  • Giltig till: 2049-09-15

  • HASH: SHA-256 (vissa issuing CA’s har SHA-512)

  • Algoritm: RSA 4096 (end-entity cert kan ha RSA 2048-4096 och för Mobilt SITHS på iOS ECC prime256v1/secp256r1)

  • Slutanvändarcertifikat max giltiga till: Max 5 år från utfärdande

TEST-miljöns PKI-struktur ser likadan ut, men namnen på CA är kompletterade med “TEST” innan respektive CA-namn för att indikera att det är testmiljöer

Avvecklade PKI-strukturer

SITHS Root CA v1

  • Giltig till: 2022-05-08

  • Stängdes: 2022-10-18

  • HASH: SHA-1 (vissa issuing CA’s har SHA-512)

  • Algoritm: RSA 4096 (end-entity cert kan ha RSA 2048-4096)

  • Slutanvändarcertifikat max giltiga till: 2022-05-08 (eg. max 5 år från utfärdande)

SITHS CA v3

  • Giltig till: 2015-11-28

  • Stängdes: 2015-12-08

  • HASH: SHA-1

  • Algoritm: RSA 2048 (end-entity cert kan ha RSA 1024-2048)

  • Slutanvändarcertifikat max giltiga till: 2015-11-28 (ursprungligen max 5 år från utfärdande)

SITHS CA CrossBorder

  • Giltig till: 2019-09-15 (omsignerad) och då giltig till 2029-05-31

  • Stängdes: 2021-09-21

  • HASH: SHA-1

  • Algoritm: RSA 4096 (end-entity cert kan ha RSA 1024-2048)

  • Slutanvändarcertifikat max giltiga till: 180 dagar från utfärdande

QA

Utfärdande PKI-strukturer

TEST SITHS e-id Root CA v2

  • Började utfärda: Q3-2019

  • Giltig till: 2049-09-15

  • HASH: SHA-256 (vissa issuing CA’s har SHA-512)

  • Algoritm: RSA 4096 (end-entity cert kan ha RSA 2048-4096 och för Mobilt SITHS på iOS ECC prime256v1/secp256r1)

  • Slutanvändarcertifikat max giltiga till: 5 år från utfärdande

Avvecklade PKI-strukturer

SITHS Root CA v1 PP

  • Giltig till: 2032-04-11

  • Stängdes: under 2020

  • HASH: SHA-1 (vissa issuing CA’s har SHA-512)

  • Algoritm: RSA 4096 (end-entity cert kan ha RSA 2048-4096)

  • Slutanvändarcertifikat max giltiga till: 2022-04-11 (ursprungligen max 5 år från utfärdande)

SITHS CrossBorder CA TEST v3

  • Giltig till: 2029-05-31

  • Stängdes: under 2020

  • HASH: SHA-1

  • Algoritm: RSA 2048 (end-entity cert kan ha RSA 1024-2048)

  • Slutanvändarcertifikat max giltiga till: ??? (ursprungligen 180 dagar från utfärdande)

SITHS CA TEST v3

  • Giltig till: 2015-11-08

  • Stängdes: ???

  • HASH: SHA-1

  • Algoritm: RSA 2048 (end-entity cert kan ha RSA 1024-2048)

  • Slutanvändarcertifikat max giltiga till: 2015-11-08 (ursprungligen upp till 5 år från utfärdande)

SITHS CA TEST v4

  • Giltig till: 2020-05-21

  • Stängdes: ???

  • HASH: SHA-1

  • Algoritm: RSA 4096 (end-entity cert kan ha RSA 1024-2048)

  • Slutanvändarcertifikat max giltiga till: 2020-05-21 (ursprungligen upp till 5 år från utfärdande)

DEV/TEST

DEV och TEST-miljö är primärt till för förvaltningen på Inera. Undantaget är Mobilt SITHS där appen T SITHS eID i Appstore och Google Play används av vissa kunder vid integration till Ineras IdP i TEST-miljö. Därav kan även kundorganisationer behöva installera tillit till vissa certifikatutfärdare från TEST-miljön (SYSTEMTEST SITHS e-id Root CA v2) enl. tabellen nedan

Utfärdande PKI-strukturer

SYSTEMTEST SITHS e-id Root CA v2

  • Började utfärda: Sent 2022 och 2023

  • Giltig till: 2049-09-15

  • HASH: SHA-256 (vissa issuing CA’s har SHA-512)

  • Algoritm: RSA 4096 (end-entity cert kan ha RSA 2048-4096 och för Mobilt SITHS på iOS ECC prime256v1/secp256r1)

  • Slutanvändarcertifikat max giltiga till: 5 år från utfärdande

Avvecklade PKI-strukturer

  • Inga avvecklade PKI-strukturer ännu

Rot- och utfärdarcertifikat

Produktion (SITHS e-id Root CA v2)

Giltighet: 2019-05-15 till 2049-09-15

Expandera nedan för att se tabellen för SITHS e-id Root CA v2

Användningsområde

Typ av certifikat

Namn på CA och sökväg tlll certifikat

Vart ska tillit installeras

Vem ska installera

Användningsområde

Typ av certifikat

Namn på CA och sökväg tlll certifikat

Vart ska tillit installeras

Vem ska installera

Generell tillit till SITHS

Rotcertifikat

SITHS e-id Root CA v2

Servrar/Tjänster

  • Bör även kompletteras med en eller flera av utfärdarna nedan för att begränsa vilka certifikat som servern accepterar.

Kunder och leverantörer som driftar/förvaltar tjänster där SITHS används

Inloggning av användare med HSA-id som identifierare

Utfärdarcertifikat

Olika per tillitsnivå.

 OBS! rekommendationen är att använda O.I.D i attributet Certifikatprinciper för slutanvändarcertifikatet för att avgöra tillitsnivån matris för detta finns här

 SITHS e-id Person HSA-id 2 CA v1

SITHS e-id Person HSA-id 3 CA v1

Servrar/Tjänster

  • Där användare ska logga in och där tjänsten idag använder SITHS-kort och HSA-id som unik identifierare för användaren

 

OBS! Även klienter som används för AD-inloggning måste lita på dessa utfärdare och roten

Kunder och leverantörer som driftar/förvaltar tjänster där SITHS används för inloggning av användare

IdP - Inloggning av användare för Mobilt SITHS eID

Utfärdarcertifikat

SITHS e-id Person ID Mobile CA v1

IdP

Om en IdP vill verifiera certifikatet som levereras tillbaka från Autentiseringstjänsten vi inloggning med Mobilt SITHS eID

Kunder och leverantörer som driftar/förvaltar IdP:er som ska använda Autentiseringstjänsten för inloggning med Mobilt SITHS eID

System-till-System kommunikation

Utfärdarcertifikat

SITHS e-id Function CA v1

Servrar/Tjänster

  • Som idag använder SITHS Funktionscertifikat vid utbyte av information mellan tjänster.

Exempelvis TGP, HSA-WS, Tjänsteplattformen

Kunder och leverantörer som driftar/förvaltar tjänster där SITHS används för server-till-server kommunikation

Valfritt att komplettera senare

Inloggning av användare med Personnummer som identifierare

Utfärdarcertifikat

Olika per tillitsnivå.

OBS! rekommendationen är att använda O.I.D i attributet Certifikatprinciper för slutanvändarcertifikatet för att avgöra tillitsnivån matris för detta finns här

 SITHS e-id Person ID 2 CA v1

SITHS e-id Person ID 3 CA v1

Servrar/Tjänster

  • Tjänster som är anpassats för att använda personnummer istället för HSA-id som unik identifierare

  • Alternativt tjänster som kan översätta personnummer till HSA-id

Nya tjänster som förbereds för att använda personnummer istället för HSA-id som unik identifierare för användaren

QA (TEST SITHS e-id Root CA v2)

Giltighet: 2019-04-01 till 2049-09-15

Expandera nedan för att se tabellen för TEST SITHS e-id Root CA v2

Användningsområde

Typ av certifikat

Namn på CA och sökväg tlll certifikat

Vart ska tillit installeras

Vem ska installera

Användningsområde

Typ av certifikat

Namn på CA och sökväg tlll certifikat

Vart ska tillit installeras

Vem ska installera

Generell tillit till SITHS

Rotcertifikat

TEST SITHS e-id Root CA v2

Servrar/Tjänster

  • Bör även kompletteras med en eller flera av utfärdarna nedan för att begränsa vilka certifikat som servern accepterar.

Kunder och leverantörer som driftar/förvaltar tjänster där SITHS används

Inloggning av användare med HSA-id som identifierare

Utfärdarcertifikat

Olika per tillitsnivå.

OBS! rekommendationen är att använda O.I.D i attributet Certifikatprinciper för slutanvändarcertifikatet för att avgöra tillitsnivån matris för detta finns här

TEST SITHS e-id Person HSA-id 2 CA v1

TEST SITHS e-id Person HSA-id 3 CA v1

Servrar/Tjänster

  • Där användare ska logga in och där tjänsten idag använder SITHS-kort och HSA-id som unik identifierare för användaren

 OBS! Även klienter som används för AD-inloggning måste lita på dessa utfärdare och roten

Kunder och leverantörer som driftar/förvaltar tjänster där SITHS används för inloggning av användare

IdP - Inloggning av användare för Mobilt SITHS eID

Utfärdarcertifikat

TEST SITHS e-id Person ID Mobile CA v1

IdP

Om en IdP vill verifiera certifikatet som levereras tillbaka från Autentiseringstjänsten vi inloggning med Mobilt SITHS eID

Kunder och leverantörer som driftar/förvaltar IdP:er som ska använda Autentiseringstjänsten för inloggning med Mobilt SITHS eID

System-till-System kommunikation

Utfärdarcertifikat

TEST SITHS e-id Function CA v1

Servrar/Tjänster

  • Som idag använder SITHS Funktionscertifikat vid utbyte av information mellan tjänster.

Exempelvis TGP, HSA-WS, Tjänsteplattformen

Kunder och leverantörer som driftar/förvaltar tjänster där SITHS används för server-till-server kommunikation

Valfritt att komplettera senare

Inloggning av användare med Personnummer som identifierare

Utfärdarcertifikat

Olika per tillitsnivå.

OBS! rekommendationen är att använda O.I.D i attributet Certifikatprinciper för slutanvändarcertifikatet för att avgöra tillitsnivån matris för detta finns här

TEST SITHS e-id Person ID 2 CA v1

TEST SITHS e-id Person ID 3 CA v1

 

Servrar/Tjänster

  • Tjänster som är anpassats för att använda personnummer istället för HSA-id som unik identifierare

  • Alternativt tjänster som kan översätta personnummer till HSA-id

Nya tjänster som förbereds för att använda personnummer istället för HSA-id som unik identifierare för användaren

DEV och TEST (SYSTEMTEST SITHS e-id Root CA v2)

DEV och TEST-miljö är primärt till för förvaltningen på Inera. Undantaget är Mobilt SITHS där appen T SITHS eID i Appstore och Google Play används av vissa kunder vid integration till Ineras IdP i TEST-miljö. Därav kan även kundorganisationer behöva installera tillit till vissa certifikatutfärdare från TEST-miljön (SYSTEMTEST SITHS e-id Root CA v2) enl. tabellen nedan

Giltighet: 2022-10-12 till 2049-09-15

Expandera nedan för att se tabellen för SYSTEMTEST SITHS e-id Root CA v2

Användningsområde

Typ av certifikat

Namn på CA och sökväg tlll certifikat

Vart ska tillit installeras

Vem ska installera

Användningsområde

Typ av certifikat

Namn på CA och sökväg tlll certifikat

Vart ska tillit installeras

Vem ska installera

Generell tillit till SITHS

Rotcertifikat

SYSTEMTEST SITHS e-id Root CA v2

Servrar/Tjänster

  • Bör även kompletteras med en eller flera av utfärdarna nedan för att begränsa vilka certifikat som servern accepterar.

Kunder och leverantörer som driftar/förvaltar tjänster där SITHS används

Inloggning av användare med HSA-id som identifierare

Utfärdarcertifikat

Olika per tillitsnivå.

OBS! rekommendationen är att använda O.I.D i attributet Certifikatprinciper för slutanvändarcertifikatet för att avgöra tillitsnivån matris för detta finns här

SYSTEMTEST SITHS e-id Person HSA-id 2 CA v1

SYSTEMTEST SITHS e-id Person HSA-id 3 CA v1

Servrar/Tjänster

  • Där användare ska logga in och där tjänsten idag använder SITHS-kort och HSA-id som unik identifierare för användaren

 OBS! Även klienter som används för AD-inloggning måste lita på dessa utfärdare och roten

Kunder och leverantörer som driftar/förvaltar tjänster där SITHS används för inloggning av användare

IdP - Inloggning av användare för Mobilt SITHS eID

Utfärdarcertifikat

SYSTEMTEST SITHS e-id Person ID Mobile CA v1

IdP

Om en IdP vill verifiera certifikatet som levereras tillbaka från Autentiseringstjänsten vi inloggning med Mobilt SITHS eID

Kunder och leverantörer som driftar/förvaltar IdP:er som ska använda Autentiseringstjänsten för inloggning med Mobilt SITHS eID

System-till-System kommunikation

Utfärdarcertifikat

SYSTEMTEST SITHS e-id Function CA v1

Servrar/Tjänster

  • Som idag använder SITHS Funktionscertifikat vid utbyte av information mellan tjänster.

Exempelvis TGP, HSA-WS, Tjänsteplattformen

Kunder och leverantörer som driftar/förvaltar tjänster där SITHS används för server-till-server kommunikation

Valfritt att komplettera senare

Inloggning av användare med Personnummer som identifierare

Utfärdarcertifikat

Olika per tillitsnivå.

OBS! rekommendationen är att använda O.I.D i attributet Certifikatprinciper för slutanvändarcertifikatet för att avgöra tillitsnivån matris för detta finns här

SYSTEMTEST SITHS e-id Person ID 2 CA v1

SYSTEMTEST SITHS e-id Person ID 3 CA v1

 

Servrar/Tjänster

  • Tjänster som är anpassats för att använda personnummer istället för HSA-id som unik identifierare

  • Alternativt tjänster som kan översätta personnummer till HSA-id

Nya tjänster som förbereds för att använda personnummer istället för HSA-id som unik identifierare för användaren

Related content