Revisionshistorik

Klicka nedan för att visa revisisonshistorik

Version	Datum	Författare	Kommentar

Version	Datum	Författare	Kommentar
1.0	2021-02-02	Team SITHS	Fastställande av sida och komplettering för SITHS eID och Mobilt SITHS
1.01	2021-02-03	Team SITHS	Justerat länk till Nätverksinställningar för SITHS eID och Mobilt SITHS
1.1	2021-02-04	Team SITHS	Konsoliderat all information om nätverksinställningar till en sida samt städat gammal information
1.11	2021-03-09	Team SITHS	Tillägg av sökvägar för API:er
1.2	Nov 8, 2021	SITHS Förvaltning	Tog bort referenser till OCS/CRL för CrossBorder i: Preprod sithsocsp.preprod.trust.telia.com http://www.carelink.se/siths-ca/test-crl004.crl sithscrl.carelink.sjunet.org (ldap://sithscrl.carelink.sjunet.org:389/cn=SITHS CA CrossBorder TEST v3, o=SITHS CA, c=se?certificateRevocationList;binary) Produktion sithsocsp.trust.telia.com sithscrl.carelink.sjunet.org (ldap://sithscrl.carelink.sjunet.org/cn=SITHS CA CrossBorder ,o=SITHS CA,c=SE?certificateRevocationList;binary) http://www.carelink.se/siths-ca/ca004.crl

Innehållsförteckning

Klicka nedan för att visa Innehållsförteckning

1 Revisionshistorik
2 Innehållsförteckning
3 Inledning
4 Nätverksinställningar
- 4.1 IP-adresser, portar & protokoll per miljö
  - 4.1.1 Produktion
    - 4.1.1.1 Användargränssnitt
    - 4.1.1.2 CRL, AIA och OCSP
    - 4.1.1.3 API:er
  - 4.1.2 Preproduktion
    - 4.1.2.1 Användargränssnitt
    - 4.1.2.2 CRL, AIA och OCSP
    - 4.1.2.3 API:er
- 4.2 Förvaltning - IP-adresser, portar & protokoll per miljö
- 4.3 SITHS Certifikatsutfärdare via Sjunet
  - 4.3.1 SITHS Root CA v1
  - 4.3.2 SITHS e-id Root CA v2
5 Webbadresser & Sökvägar
- 5.1 Repository
- 5.2 Produktion
  - 5.2.1 Administration av certifikat
  - 5.2.2 Spärrlistor
    - 5.2.2.1 SITHS Root CA v1
    - 5.2.2.2 SITHS e-id Root CA v2
  - 5.2.3 OCSP
  - 5.2.4 AIA
    - 5.2.4.1 SITHS Root CA v1
    - 5.2.4.2 SITHS e-id Root CA v2
- 5.3 Preproduktion
  - 5.3.1 Administration av certifikat
  - 5.3.2 Spärrlistor
    - 5.3.2.1 SITHS Root CA v1
    - 5.3.2.2 SITHS e-id Root CA v2
  - 5.3.3 OCSP
  - 5.3.4 AIA
    - 5.3.4.1 SITHS Root CA v1
    - 5.3.4.2 SITHS e-id Root CA v2

Inledning

Denna sida innehåller information för tekniker om vilka nätverskinställningar som behöver säkerställas vid:

Utfärdande av SITHS e-legitimation till SITHS-kort i SITHS Admin och SITHS Mina sidor
Kontroll av att certifikat är giltiga (ej revokerade/spärrade)

Kunder med Sjunetuppkoppling ska ha tagit del av avsnittet:

SITHS Certifikatsutfärdare via Sjunet

Nätverksinställningar

IP-adresser, portar & protokoll per miljö

Nedan hittar du information för SITHS Certifikatsutfärdare. Dessa IP-adresser, portar och protokoll

För motsvarande information kopplat till SITHS eID och Mobilt SITHS, se: Nätverksinställningar för IAM-tjänster

Produktion

Klicka nedan för att visa information för Produktionsmiljön

Användargränssnitt

Syfte	URL	Befintlig IP-adress (destination)	Protokoll/Port (destination)	Nätverk (source/hos kunden)	Kommentar

Syfte	URL	Befintlig IP-adress (destination)	Protokoll/Port (destination)	Nätverk (source/hos kunden)	Kommentar
Internet
Inloggning för id-administratörer till SITHS Admin	https://cve.trust.telia.com/ccat	194.237.208.172	HTTPS/TCP port 443	Klientnätverk
Inloggning för användare till ”Mina sidor”	https://minasidor.siths.se	194.237.208.172	HTTPS/TCP port 443	Klientnätverk
Testsida för SITHS	https://test.siths.se	82.99.53.161	HTTPS/TCP port 443	Klientnätverk
Sjunet
Inloggning för id-administratörer till SITHS Admin	https://ccat.trust.telia.com/ccat	82.136.160.41	HTTPS/TCP port 443	Klientnätverk
Inloggning föranvändare till ”Mina sidor” (tidigare Självadmin)	https://ccu.trust.telia.com/ccu https://minasidor.siths.se	82.136.160.40	HTTPS/TCP port 443	Klientnätverk
Testsida för SITHS	https://test.siths.se	82.99.53.161	HTTPS/TCP port 443	Klientnätverk	DNS-värde kan slås upp över Sjunet, men tjänsten levereras bara över Internet.

CRL, AIA och OCSP

Syfte	URL	Befintlig IP-adress (destination)	Protokoll/Port (destination)	Nätverk (source/hos kunden)	Kommentar

Syfte	URL	Befintlig IP-adress (destination)	Protokoll/Port (destination)	Nätverk (source/hos kunden)
Internet
Kontroll av om certifikat är spärrade (CRL) Bygga tillitskedja för certifikat (AIA) Policydokument	crl1.siths.se aia.siths.se cps.siths.se rpa.siths.se	194.237.208.239	HTTP/TCP port 80	Servernätverk och klientnätverk (alla användare)
Kontroll av om certifikat är spärrade (OCSP)	ocsp1.siths.se	194.237.208.174	HTTP/TCP port 80	Servernätverk och klientnätverk (alla användare)
Sjunet
Kontroll av om certifikat är spärrade (CRL) Bygga tillitskedja för certifikat (AIA) Policydokument	crl2.siths.sjunet.org aia.siths.sjunet.org crl1.siths.se aia.siths.se	82.136.160.44	HTTP/TCP port 80	Servernätverk och klientnätverk (alla användare)
Kontroll av om certifikat är spärrade (OCSP)	ocsp2.siths.sjunet.org ocsp1.siths.se	82.136.160.42	HTTP/TCP port 80	Servernätverk och klientnätverk (alla användare)

API:er

Dessa är endast nåbara via Internet

Syfte	URL	Befintlig IP-adress (destination)	Protokoll/Port (destination)	Nätverk (source/hos kunden)	Kommentar

Syfte	URL	Befintlig IP-adress (destination)	Protokoll/Port (destination)	Nätverk (source/hos kunden)	Kommentar
Skicka kortbeställningar till Thales med Programvaran SIS Capture Station	xml.setec.se	212.209.230.179	HTTPS/TCP 443	Klientnätverk

Preproduktion

Användargränssnitt

Syfte	URL	Befintlig IP-adress (destination)	Protokoll/Port (destination)	Nätverk (source/hos kunden)	Kommentar

Syfte	URL	Befintlig IP-adress (destination)	Protokoll/Port (destination)	Nätverk (source/hos kunden)
Internet
Inloggning för id-administratörer till SITHS Admin	https://cve.preprod.trust.telia.com/ccat	194.237.208.168	HTTPS/TCP port 443	Klientnätverk
Inloggning föranvändare till ”Mina sidor” (tidigare Självadmin) https://cve.preprod.trust.telia.com/ccu	https://minasidor.preprod.siths.se	194.237.208.168	HTTPS/TCP port 443	Klientnätverk
Sjunet
Inloggning för id-administratörer till SITHS Admin	https://ccat.preprod.trust.telia.com/ccat	82.136.160.51	HTTPS/TCP port 443	Klientnätverk
Inloggning föranvändare till ”Mina sidor” (tidigare Självadmin)	https://ccu.preprod.trust.telia.com/ccu https://minasidor.preprod.siths.se	82.136.160.50	HTTPS/TCP port 443	Klientnätverk

CRL, AIA och OCSP

Syfte	URL	Befintlig IP-adress (destination)	Protokoll/Port (destination)	Nätverk (source/hos kunden)	Kommentar

Syfte	URL	Befintlig IP-adress (destination)	Protokoll/Port (destination)	Nätverk (source/hos kunden)
Internet
Kontroll av om certifikat är spärrade (CRL). Bygga tillitskedja för certifikat (AIA). Policydokument	crl1pp.siths.se aiapp.siths.se cpspp.siths.se rpapp.siths.se	194.237.208.238	HTTP/TCP port 80	Servernätverk och klientnätverk (alla användare)
Kontroll av om certifikat är spärrade (OCSP)	ocsp1pp.siths.se	194.237.208.170	HTTP/TCP port 80	Servernätverk och klientnätverk (alla användare)
Sjunet
Kontroll av om certifikat är spärrade (CRL). Bygga tillitskedja för certifikat (AIA). Policydokument	crl2pp.siths.sjunet.org aiapp.siths.sjunet.org crl1pp.siths.se aiapp.siths.se	82.136.160.53	HTTP/TCP port 80	Servernätverk och klientnätverk (alla användare)
Kontroll av om certifikat är spärrade (OCSP)	ocsp2pp.siths.sjunet.org ocsp1pp.siths.se	82.136.160.52	HTTP/TCP port 80	Servernätverk och klientnätverk (alla användare)

API:er

Dessa är endast nåbara via Internet

Syfte	URL	Befintlig IP-adress (destination)	Protokoll/Port (destination)	Nätverk (source/hos kunden)	Kommentar

Syfte	URL	Befintlig IP-adress (destination)	Protokoll/Port (destination)	Nätverk (source/hos kunden)	Kommentar
Skicka kortbeställningar till Thales med Programvaran SIS Capture Station	xml.setec.se	212.209.230.179	HTTPS/TCP 443	Klientnätverk	Samma API som för produktion. Test hanteras genom separata kortprodukter som bara kan beställas i SITHS Admins testmiljö

Förvaltning - IP-adresser, portar & protokoll per miljö

Nedan sökvägar är endast relevanta för SITHS Förvaltning och har därför dolts för att inte förvirra övriga nyttjare av SITHS

SITHS Certifikatsutfärdare via Sjunet

Klicka nedan för att visa viktigt information för kunder som har Sjunetuppkoppling vid användning av SITHS

SITHS Root CA v1

Inom SITHS Root CA v1 finns det dubbla sökvägar för samtliga funktioner CRL, OCSP och AIA. En dator/server som ska validera ett certifikat sitter på ett nätverk som inte kommer åt en eller flera av länkarna kan då få problem med timeout vid validering av certifikat. Lösningen på detta är att aktivt öppna brandväggen mot både Sjunet och Internet alt. att blockera den av nätverken som klienten in får eller kan få tillgång till

OBS! Som förberedelse inför SITHS e-id Root CA v2 flyttades siths.se. Detta orsaka att man redan för SITHS Root CA v1 får olika IP-adresser beroende på vilken Sjunet DNS-server som svarar föst, se vidare information nedan.

SITHS e-id Root CA v2

För SITHS e-id kommer det inte finnas separata sökvägar för Sjunet på det sätt som det funnits för SITHS. Istället använder vi Sjunets DNS som har två ”vyer”. Om man frågar på zonen siths.se:

via sjunet så får man Sjunet IP-adresser
via internet, så får man Internet IP-adresser

En organisation som har både Sjunet och Internet och vars regionala DNS-servrar har åtkomst till båda näten kan få olika IP-adresser beroende på vilka av Sjunets DNS-servrar som svarar först. Därför behöver dessa organisationer förmodligen se över sin DNS-infrastruktur enligt nedan:

Endast stöd för SITHS via Internet:
- Skapa conditional forwards för zonen siths.se till dns1.sjunet.inera.se och dns2.sjunet.inera.se
Endast stöd för SITHS via Sjunet
- Konfigurera ert lokala nätverk enligt dokumentationen för DNS-inställningar på Sjunets sida på https://www.inera.se även för zonen siths.se och inte bara sjunet.org
Stöd för både Sjunet och Internet för olika klienter i den lokala miljön
- Det enklaste är att ha olika lokal DNS-hantering för de två olika näten.
- Eventuellt kan man även lösa detta genom att skapa olika conditional forwards baserat på käll-ip för den klient som ställer frågan till den lokala DNS:en.

Webbadresser & Sökvägar

Nedan hittar du information om aktuella webbadresser per miljö och funktion

Repository

https://www.inera.se/siths/repository

För styrande dokument som t ex.:

Tillitsramverk
Certificate Policy
Certificate Policy Statement
Rutiner för utfärdande
Certifikatspecifikationer
Matris för tolkning av tillitsnivåer

Produktion

Administration av certifikat

Nedan hittar du webbadresser för de olika användargränssnitt som används inom SITHS vid beställning och administration av certifikat på SITHS-kort

Funktion	Målgrupp	Sökväg

Funktion	Målgrupp	Sökväg
Internet
SITHS Admin	ID-administratörer	https://cve.trust.telia.com/ccat
Mina sidor	Användare	https://minasidor.siths.se
Testsida	Användare	https://test.siths.se
Sjunet
SITHS Admin	ID-administratörer	https://ccat.trust.telia.com/ccat

Spärrlistor

Nedan hittar du sökvägar till SITHS spärrlistor som används för att kontrollera om certifikat är spärrade eller inte. Listan visar sökvägar per Rot- och utfärdare.

För mer information om SITHS PKI-strukturer se: PKI-struktur och rotcertifikat

SITHS Root CA v1

Utfärdare	Sökväg

Utfärdare	Sökväg
Internet
SITHS Root CA v1	http://crl1.siths.se/sithsrootcav1.crl
SITHS Type 1 CA v1	http://crl1.siths.se/sithstype1cav1.crl
SITHS Type 3 CA v1	http://crl1.siths.se/sithstype3cav1.crl
Sjunet
SITHS Root CA v1	http://crl2.siths.sjunet.org/sithsrootcav1.crl
SITHS Type 1 CA v1	http://crl2.siths.sjunet.org/sithstype1cav1.crl
SITHS Type 3 CA v1	http://crl2.siths.sjunet.org/sithstype3cav1.crl

SITHS e-id Root CA v2

Utfärdare	Sökväg

Utfärdare	Sökväg
Internet & Sjunet
SITHS e-id Root CA v2	http://crl1.siths.se/sithseidrootcav2.crl
SITHS e-id Person ID 2 CA v1	http://crl1.siths.se/sithseidpersonid2cav1.crl
SITHS e-id Person ID 3 CA v1	http://crl1.siths.se/sithseidpersonid3cav1.crl
SITHS e-id Person ID Mobile CA v1	http://crl1.siths.se/sithseidpersonidmobilecav1.crl
SITHS e-id Person HSA ID 2 CA v1	http://crl1.siths.se/sithseidpersonhsaid2cav1.crl
SITHS e-id Person HSA ID 3 CA v1	http://crl1.siths.se/sithseidpersonhsaid3cav1.crl
SITHS e-id Function CA v1	http://crl1.siths.se/sithseidfunctioncav1.crl

OCSP

Nedan hittar du sökvägar till SITHS OCSP-tjänster som kan användas för att kontrollera om certifikat är spärrade eller inte.

Listan visar sökvägar per Rot- och utfärdare.

För mer information om SITHS PKI-strukturer se: PKI-struktur och rotcertifikat

Utfärdare	Sökväg

Utfärdare	Sökväg
Internet
Samtliga under SITHS Root CA v1	http://ocsp1.siths.se
Samtliga under SITHS e-id Root CA v2	http://ocsp1.siths.se
Sjunet
Samtliga under SITHS Root CA v1	http://ocsp2.siths.sjunet.org
Samtliga under SITHS e-id Root CA v2	http://ocsp1.siths.se

AIA

AIA-sökvägar används för att kunna bygga tillitskedjor från slutanvändarcertifikat via utfärdardande CA till rot. Används främst på Microsoft-system.

Listan visar sökvägar per Rot- och utfärdare.

För mer information om SITHS PKI-strukturer se: PKI-struktur och rotcertifikat

SITHS Root CA v1

Utfärdare	Sökväg

Utfärdare	Sökväg
Internet
SITHS Root CA v1	http://aia.siths.se/sithsrootcav1.cer
SITHS Type 1 CA v1	http://aia.siths.se/sithstype1cav1.cer
SITHS Type 3 CA v1	http://aia.siths.se/sithstype3cav1.cer
Sjunet
SITHS Root CA v1	http://aia.siths.sjunet.org/sithsrootcav1.cer
SITHS Type 1 CA v1	http://aia.siths.sjunet.org/sithstype1cav1.cer
SITHS Type 3 CA v1	http://aia.siths.sjunet.org/sithstype3cav1.cer

SITHS e-id Root CA v2

Utfärdare	Sökväg

Utfärdare	Sökväg
Internet & Sjunet
SITHS e-id Root CA v2	http://aia.siths.se/sithseidrootcav2.cer
SITHS e-id Person ID 2 CA v1	http://aia.siths.se/sithseidpersonid2cav1.cer
SITHS e-id Person ID 3 CA v1	http://aia.siths.se/sithseidpersonid3cav1.cer
SITHS e-id Person ID Mobile CA v1	http://aia.siths.se/sithseidpersonidmobilecav1.cer
SITHS e-id Person HSA ID 2 CA v1	http://aia.siths.se/sithseidpersonhsaid2cav1.cer
SITHS e-id Person HSA ID 3 CA v1	http://aia.siths.se/sithseidpersonhsaid3cav1.cer
SITHS e-id Function CA v1	http://aia.siths.se/sithseidfunctioncav1.cer

Preproduktion

Administration av certifikat

Nedan hittar du webbadresser för de olika användargränssnitt som används inom SITHS vid beställning och administration av certifikat på SITHS-kort

Funktion	Målgrupp	Sökväg

Funktion	Målgrupp	Sökväg
Internet
SITHS Admin	ID-administratörer	https://cve.preprod.trust.telia.com/ccat
Mina sidor	Användare	https://cve.preprod.trust.telia.com/ccu och https://minasidor.preprod.siths.se efter 2020-02-03
Testsida	Användare	https://test.siths.se
Sjunet
SITHS Admin	ID-administratörer	https://ccat.preprod.trust.telia.com/ccat
Mina sidor	Användare	https://ccu.preprod.trust.telia.com/ccu och https://minasidor.preprod.siths.se efter 2020-02-03
Testsida	Användare	N/A

Spärrlistor

Nedan hittar du sökvägar till SITHS spärrlistor som används för att kontrollera om certifikat är spärrade eller inte. Listan visar sökvägar per Rot- och utfärdare.

För mer information om SITHS PKI-strukturer se: PKI-struktur och rotcertifikat

SITHS Root CA v1

Utfärdare	Sökväg

Utfärdare	Sökväg
Internet
SITHS Root CA v1 PP	http://crl1pp.siths.se/sithsrootcav1pp.crl
SITHS Type 1 CA v1 PP	http://crl1pp.siths.se/sithstype1cav1pp.crl
SITHS Type 3 CA v1 PP	http://crl1pp.siths.se/sithstype3cav1pp.crl
Sjunet
SITHS Root CA v1 PP	http://crl2pp.siths.sjunet.org/sithsrootcav1pp.crl
SITHS Type 1 CA v1 PP	http://crl2pp.siths.sjunet.org/sithstype1cav1pp.crl
SITHS Type 3 CA v1 PP	http://crl2pp.siths.sjunet.org/sithstype3cav1pp.crl

SITHS e-id Root CA v2

Utfärdare	Sökväg

Utfärdare	Sökväg
Internet & Sjunet
TEST SITHS e-id Root CA v2	http://crl1pp.siths.se/testsithseidrootcav2.crl
TEST SITHS e-id Person ID 2 CA v1	http://crl1pp.siths.se/testsithseidpersonid2cav1.crl
TEST SITHS e-id Person ID 3 CA v1	http://crl1pp.siths.se/testsithseidpersonid3cav1.crl
TEST SITHS e-id Person ID Mobile CA v1	http://crl1pp.siths.se/testsithseidpersonidmobilecav1.crl
TEST SITHS e-id Person HSA ID 2 CA v1	http://crl1pp.siths.se/testsithseidpersonhsaid2cav1.crl
TEST SITHS e-id Person HSA ID 3 CA v1	http://crl1pp.siths.se/testsithseidpersonhsaid3cav1.crl
TEST SITHS e-id Function CA v1	http://crl1pp.siths.se/testsithseidfunctioncav1.crl

OCSP

Nedan hittar du sökvägar till SITHS OCSP-tjänster som kan användas för att kontrollera om certifikat är spärrade eller inte.

Listan visar sökvägar per Rot- och utfärdare.

För mer information om SITHS PKI-strukturer se: PKI-struktur och rotcertifikat

Utfärdare	Sökväg

Utfärdare	Sökväg
Internet
Samtliga under SITHS Root CA v1 PP	http://ocsp1pp.siths.se
Samtliga under TEST SITHS e-id Root CA v2	http://ocsp1pp.siths.se
Sjunet
Samtliga under SITHS Root CA v1	http://ocsp2pp.siths.sjunet.org
Samtliga under TEST SITHS e-id Root CA v2	http://ocsp1pp.siths.se

AIA

AIA-sökvägar används för att kunna bygga tillitskedjor från slutanvändarcertifikat via utfärdardande CA till rot. Används främst på Microsoft-system.

Listan visar sökvägar per Rot- och utfärdare.

För mer information om SITHS PKI-strukturer se: PKI-struktur och rotcertifikat

SITHS Root CA v1

Utfärdare	Sökväg

Utfärdare	Sökväg
Internet
SITHS Root CA v1 PP	http://aiapp.siths.se/sithsrootcav1pp.cer
SITHS Type 1 CA v1 PP	http://aiapp.siths.se/sithstype1cav1pp.cer
SITHS Type 3 CA v1 PP	http://aiapp.siths.se/sithstype3cav1pp.cer
Sjunet
SITHS Root CA v1 PP	http://aiapp.siths.sjunet.org/sithsrootcav1pp.cer
SITHS Type 1 CA v1 PP	http://aiapp.siths.sjunet.org/sithstype1cav1pp.cer
SITHS Type 3 CA v1 PP	http://aiapp.siths.sjunet.org/sithstype3cav1pp.cer

SITHS e-id Root CA v2

Utfärdare	Sökväg

Utfärdare	Sökväg
Internet & Sjunet
TEST SITHS e-id Root CA v2	http://aiapp.siths.se/testsithseidrootcav2.cer
TEST SITHS e-id Person ID 2 CA v1	http://aiapp.siths.se/testsithseidpersonid2cav1.cer
TEST SITHS e-id Person ID 3 CA v1	http://aiapp.siths.se/testsithseidpersonid3cav1.cer
TEST SITHS e-id Person ID Mobile CA v1	http://aiapp.siths.se/testsithseidpersonidmobilecav1.cer
TEST SITHS e-id Person HSA ID 2 CA v1	http://aiapp.siths.se/testsithseidpersonhsaid2cav1.cer
TEST SITHS e-id Person HSA ID 3 CA v1	http://aiapp.siths.se/testsithseidpersonhsaid3cav1.cer
TEST SITHS e-id Function CA v1	http://aiapp.siths.se/testsithseidfunctioncav1.cer

Nätverksinställningar för SITHS Certifikatsutfärdare

Revisionshistorik

Innehållsförteckning

Inledning

Nätverksinställningar

IP-adresser, portar & protokoll per miljö

Produktion

Användargränssnitt

CRL, AIA och OCSP

API:er

Preproduktion

Användargränssnitt

CRL, AIA och OCSP

API:er

Förvaltning - IP-adresser, portar & protokoll per miljö

SITHS Certifikatsutfärdare via Sjunet

SITHS Root CA v1

SITHS e-id Root CA v2

Webbadresser & Sökvägar

Repository

Produktion

Administration av certifikat

Spärrlistor

SITHS Root CA v1

SITHS e-id Root CA v2

OCSP

AIA

SITHS Root CA v1

SITHS e-id Root CA v2

Preproduktion

Administration av certifikat

Spärrlistor

SITHS Root CA v1

SITHS e-id Root CA v2

OCSP

AIA

SITHS Root CA v1

SITHS e-id Root CA v2