Nätverksinställningar för SITHS Certifikatsutfärdare

Revisionshistorik

Klicka nedan för att visa revisisonshistorik

Version

Datum

Författare

Kommentar

Version

Datum

Författare

Kommentar

1.0

2021-02-02

Team SITHS

Fastställande av sida och komplettering för SITHS eID och Mobilt SITHS

1.01

2021-02-03

Team SITHS

Justerat länk till Nätverksinställningar för SITHS eID och Mobilt SITHS

1.1

2021-02-04

Team SITHS

Konsoliderat all information om nätverksinställningar till en sida samt städat gammal information

1.11

2021-03-09

Team SITHS

Tillägg av sökvägar för API:er

1.2

Nov 8, 2021

SITHS Förvaltning

Tog bort referenser till OCS/CRL för CrossBorder i:

Innehållsförteckning

Klicka nedan för att visa Innehållsförteckning

Inledning

Denna sida innehåller information för tekniker om vilka nätverskinställningar som behöver säkerställas vid:

  • Utfärdande av SITHS e-legitimation till SITHS-kort i SITHS Admin och SITHS Mina sidor

  • Kontroll av att certifikat är giltiga (ej revokerade/spärrade)

Kunder med Sjunetuppkoppling ska ha tagit del av avsnittet:

Nätverksinställningar

IP-adresser, portar & protokoll per miljö

Nedan hittar du information för SITHS Certifikatsutfärdare. Dessa IP-adresser, portar och protokoll

För motsvarande information kopplat till SITHS eID och Mobilt SITHS, se: Nätverksinställningar för IAM-tjänster

Produktion

Klicka nedan för att visa information för Produktionsmiljön

Användargränssnitt

Syfte

URL

Befintlig IP-adress (destination)

Protokoll/Port (destination)

Nätverk (source/hos kunden)

Kommentar

Syfte

URL

Befintlig IP-adress (destination)

Protokoll/Port (destination)

Nätverk (source/hos kunden)

Kommentar

Internet

Inloggning för id-administratörer till SITHS Admin

https://cve.trust.telia.com/ccat  

194.237.208.172

HTTPS/TCP port 443

Klientnätverk

 

Inloggning för användare till ”Mina sidor”

https://minasidor.siths.se

194.237.208.172

HTTPS/TCP port 443

Klientnätverk

 

Testsida för SITHS

https://test.siths.se

82.99.53.161

HTTPS/TCP port 443

Klientnätverk

 

Sjunet

Inloggning för id-administratörer till SITHS Admin

https://ccat.trust.telia.com/ccat

82.136.160.41

HTTPS/TCP port 443

Klientnätverk

 

Inloggning föranvändare till ”Mina sidor” (tidigare Självadmin)

https://ccu.trust.telia.com/ccu

https://minasidor.siths.se

82.136.160.40

HTTPS/TCP port 443

Klientnätverk

 

Testsida för SITHS

https://test.siths.se

82.99.53.161

HTTPS/TCP port 443

Klientnätverk

DNS-värde kan slås upp över Sjunet, men tjänsten levereras bara över Internet.

CRL, AIA och OCSP

Syfte

URL

Befintlig IP-adress (destination)

Protokoll/Port (destination)

Nätverk (source/hos kunden)

Kommentar

Syfte

URL

Befintlig IP-adress (destination)

Protokoll/Port (destination)

Nätverk (source/hos kunden)

Kommentar

Internet

Kontroll av om certifikat är spärrade (CRL)

Bygga tillitskedja för certifikat (AIA)

Policydokument

crl1.siths.se

aia.siths.se

cps.siths.se

rpa.siths.se

194.237.208.239

HTTP/TCP port 80

Servernätverk och klientnätverk (alla användare)

 

Kontroll av om certifikat är spärrade (OCSP)

ocsp1.siths.se

 

194.237.208.174

HTTP/TCP port 80

Servernätverk och klientnätverk (alla användare)

 

Sjunet

Kontroll av om certifikat är spärrade (CRL)

Bygga tillitskedja för certifikat (AIA)

Policydokument

crl2.siths.sjunet.org

aia.siths.sjunet.org

crl1.siths.se

aia.siths.se

82.136.160.44

HTTP/TCP port 80

Servernätverk och klientnätverk (alla användare)

 

Kontroll av om certifikat är spärrade (OCSP)

ocsp2.siths.sjunet.org

ocsp1.siths.se

82.136.160.42

HTTP/TCP port 80

Servernätverk och klientnätverk (alla användare)

 

API:er

Dessa är endast nåbara via Internet

Syfte

URL

Befintlig IP-adress (destination)

Protokoll/Port (destination)

Nätverk (source/hos kunden)

Kommentar

Syfte

URL

Befintlig IP-adress (destination)

Protokoll/Port (destination)

Nätverk (source/hos kunden)

Kommentar

Skicka kortbeställningar till Thales med Programvaran SIS Capture Station

xml.setec.se

212.209.230.179

HTTPS/TCP 443

Klientnätverk

 

Preproduktion

Användargränssnitt

Syfte

URL

Befintlig IP-adress (destination)

Protokoll/Port (destination)

Nätverk (source/hos kunden)

Kommentar

Syfte

URL

Befintlig IP-adress (destination)

Protokoll/Port (destination)

Nätverk (source/hos kunden)

Kommentar

Internet

Inloggning för id-administratörer till SITHS Admin

https://cve.preprod.trust.telia.com/ccat

194.237.208.168

HTTPS/TCP port 443

Klientnätverk

 

Inloggning föranvändare till ”Mina sidor” (tidigare Självadmin) https://cve.preprod.trust.telia.com/ccu

https://minasidor.preprod.siths.se

194.237.208.168

HTTPS/TCP port 443

Klientnätverk

 

Sjunet

Inloggning för id-administratörer till SITHS Admin

https://ccat.preprod.trust.telia.com/ccat

82.136.160.51

HTTPS/TCP port 443

Klientnätverk

 

Inloggning föranvändare till ”Mina sidor” (tidigare Självadmin)

 

 

https://ccu.preprod.trust.telia.com/ccu

https://minasidor.preprod.siths.se

82.136.160.50

HTTPS/TCP port 443

Klientnätverk

 

CRL, AIA och OCSP

Syfte

URL

Befintlig IP-adress (destination)

Protokoll/Port (destination)

Nätverk (source/hos kunden)

Kommentar

Syfte

URL

Befintlig IP-adress (destination)

Protokoll/Port (destination)

Nätverk (source/hos kunden)

Kommentar

Internet

Kontroll av om certifikat är spärrade (CRL). Bygga tillitskedja för certifikat (AIA). Policydokument

crl1pp.siths.se

aiapp.siths.se

cpspp.siths.se

rpapp.siths.se

194.237.208.238

HTTP/TCP port 80

Servernätverk och klientnätverk (alla användare)

 

Kontroll av om certifikat är spärrade (OCSP)

ocsp1pp.siths.se

194.237.208.170

HTTP/TCP port 80

Servernätverk och klientnätverk (alla användare)

 

Sjunet

Kontroll av om certifikat är spärrade (CRL). Bygga tillitskedja för certifikat (AIA). Policydokument

crl2pp.siths.sjunet.org

aiapp.siths.sjunet.org

crl1pp.siths.se

aiapp.siths.se

82.136.160.53

HTTP/TCP port 80

Servernätverk och klientnätverk (alla användare)

 

Kontroll av om certifikat är spärrade (OCSP)

ocsp2pp.siths.sjunet.org

ocsp1pp.siths.se

82.136.160.52

HTTP/TCP port 80

Servernätverk och klientnätverk (alla användare)

 

API:er

Dessa är endast nåbara via Internet

Syfte

URL

Befintlig IP-adress (destination)

Protokoll/Port (destination)

Nätverk (source/hos kunden)

Kommentar

Syfte

URL

Befintlig IP-adress (destination)

Protokoll/Port (destination)

Nätverk (source/hos kunden)

Kommentar

Skicka kortbeställningar till Thales med Programvaran SIS Capture Station

xml.setec.se

212.209.230.179

HTTPS/TCP 443

Klientnätverk

Samma API som för produktion. Test hanteras genom separata kortprodukter som bara kan beställas i SITHS Admins testmiljö

Förvaltning - IP-adresser, portar & protokoll per miljö

Nedan sökvägar är endast relevanta för SITHS Förvaltning och har därför dolts för att inte förvirra övriga nyttjare av SITHS

SITHS Certifikatsutfärdare via Sjunet

Klicka nedan för att visa viktigt information för kunder som har Sjunetuppkoppling vid användning av SITHS

SITHS Root CA v1

Inom SITHS Root CA v1 finns det dubbla sökvägar för samtliga funktioner CRL, OCSP och AIA. En dator/server som ska validera ett certifikat sitter på ett nätverk som inte kommer åt en eller flera av länkarna kan då få problem med timeout vid validering av certifikat. Lösningen på detta är att aktivt öppna brandväggen mot både Sjunet och Internet alt. att blockera den av nätverken som klienten in får eller kan få tillgång till

OBS! Som förberedelse inför SITHS e-id Root CA v2 flyttades siths.se. Detta orsaka att man redan för SITHS Root CA v1 får olika IP-adresser beroende på vilken Sjunet DNS-server som svarar föst, se vidare information nedan.

SITHS e-id Root CA v2

 För SITHS e-id kommer det inte finnas separata sökvägar för Sjunet på det sätt som det funnits för SITHS. Istället använder vi Sjunets DNS som har två ”vyer”. Om man frågar på zonen siths.se:

  • via sjunet så får man Sjunet IP-adresser

  • via internet, så får man Internet IP-adresser

En organisation som har både Sjunet och Internet och vars regionala DNS-servrar har åtkomst till båda näten kan få olika IP-adresser beroende på vilka av Sjunets DNS-servrar som svarar först. Därför behöver dessa organisationer förmodligen se över sin DNS-infrastruktur enligt nedan:

  •  Endast stöd för SITHS via Internet:

  • Endast stöd för SITHS via Sjunet

  • Stöd för både Sjunet och Internet för olika klienter i den lokala miljön

    • Det enklaste är att ha olika lokal DNS-hantering för de två olika näten.

    • Eventuellt kan man även lösa detta genom att skapa olika conditional forwards baserat på käll-ip för den klient som ställer frågan till den lokala DNS:en.

Webbadresser & Sökvägar

Nedan hittar du information om aktuella webbadresser per miljö och funktion

Repository

https://www.inera.se/siths/repository

För styrande dokument som t ex.:

  • Tillitsramverk

  • Certificate Policy

  • Certificate Policy Statement

  • Rutiner för utfärdande

  • Certifikatspecifikationer

  • Matris för tolkning av tillitsnivåer

Produktion

Administration av certifikat

Nedan hittar du webbadresser för de olika användargränssnitt som används inom SITHS vid beställning och administration av certifikat på SITHS-kort

Funktion

Målgrupp

Sökväg

Funktion

Målgrupp

Sökväg

Internet

SITHS Admin

ID-administratörer

https://cve.trust.telia.com/ccat

Mina sidor

Användare

https://minasidor.siths.se

Testsida

https://test.siths.se

Sjunet

SITHS Admin

ID-administratörer

https://ccat.trust.telia.com/ccat

Spärrlistor

Nedan hittar du sökvägar till SITHS spärrlistor som används för att kontrollera om certifikat är spärrade eller inte. Listan visar sökvägar per Rot- och utfärdare.

För mer information om SITHS PKI-strukturer se: PKI-struktur och rotcertifikat

SITHS Root CA v1

Utfärdare

Sökväg

SITHS e-id Root CA v2

Utfärdare

Sökväg

Utfärdare

Sökväg

Internet & Sjunet

SITHS e-id Root CA v2

http://crl1.siths.se/sithseidrootcav2.crl

SITHS e-id Person ID 2 CA v1

http://crl1.siths.se/sithseidpersonid2cav1.crl

SITHS e-id Person ID 3 CA v1

http://crl1.siths.se/sithseidpersonid3cav1.crl

SITHS e-id Person ID Mobile CA v1

http://crl1.siths.se/sithseidpersonidmobilecav1.crl

SITHS e-id Person HSA ID 2 CA v1

http://crl1.siths.se/sithseidpersonhsaid2cav1.crl

SITHS e-id Person HSA ID 3 CA v1

http://crl1.siths.se/sithseidpersonhsaid3cav1.crl

SITHS e-id Function CA v1

http://crl1.siths.se/sithseidfunctioncav1.crl

OCSP

Nedan hittar du sökvägar till SITHS OCSP-tjänster som kan användas för att kontrollera om certifikat är spärrade eller inte.

Listan visar sökvägar per Rot- och utfärdare.

För mer information om SITHS PKI-strukturer se: PKI-struktur och rotcertifikat

Utfärdare

Sökväg

Utfärdare

Sökväg

Internet

Samtliga under SITHS Root CA v1

http://ocsp1.siths.se

Samtliga under SITHS e-id Root CA v2

http://ocsp1.siths.se

Sjunet

Samtliga under SITHS Root CA v1

http://ocsp2.siths.sjunet.org

Samtliga under SITHS e-id Root CA v2

http://ocsp1.siths.se

AIA

AIA-sökvägar används för att kunna bygga tillitskedjor från slutanvändarcertifikat via utfärdardande CA till rot. Används främst på Microsoft-system.

Listan visar sökvägar per Rot- och utfärdare.

För mer information om SITHS PKI-strukturer se: PKI-struktur och rotcertifikat

SITHS Root CA v1

Utfärdare

Sökväg

 SITHS e-id Root CA v2

Utfärdare

Sökväg

Utfärdare

Sökväg

Internet & Sjunet

SITHS e-id Root CA v2

http://aia.siths.se/sithseidrootcav2.cer

SITHS e-id Person ID 2 CA v1

http://aia.siths.se/sithseidpersonid2cav1.cer

SITHS e-id Person ID 3 CA v1

http://aia.siths.se/sithseidpersonid3cav1.cer

SITHS e-id Person ID Mobile CA v1

http://aia.siths.se/sithseidpersonidmobilecav1.cer

SITHS e-id Person HSA ID 2 CA v1

http://aia.siths.se/sithseidpersonhsaid2cav1.cer

SITHS e-id Person HSA ID 3 CA v1

http://aia.siths.se/sithseidpersonhsaid3cav1.cer

SITHS e-id Function CA v1

http://aia.siths.se/sithseidfunctioncav1.cer

Preproduktion

Administration av certifikat

Nedan hittar du webbadresser för de olika användargränssnitt som används inom SITHS vid beställning och administration av certifikat på SITHS-kort

Funktion

Målgrupp

Sökväg

Funktion

Målgrupp

Sökväg

Internet

SITHS Admin

ID-administratörer

https://cve.preprod.trust.telia.com/ccat

Mina sidor

Användare

https://cve.preprod.trust.telia.com/ccu och

https://minasidor.preprod.siths.se efter 2020-02-03

Testsida

https://test.siths.se

Sjunet

SITHS Admin

ID-administratörer

https://ccat.preprod.trust.telia.com/ccat

Mina sidor

Användare

https://ccu.preprod.trust.telia.com/ccu och

https://minasidor.preprod.siths.se efter 2020-02-03

Testsida

N/A

Spärrlistor

Nedan hittar du sökvägar till SITHS spärrlistor som används för att kontrollera om certifikat är spärrade eller inte. Listan visar sökvägar per Rot- och utfärdare.

För mer information om SITHS PKI-strukturer se: PKI-struktur och rotcertifikat

SITHS Root CA v1

Utfärdare

Sökväg

SITHS e-id Root CA v2

Utfärdare

Sökväg

Utfärdare

Sökväg

Internet & Sjunet

TEST SITHS e-id Root CA v2

http://crl1pp.siths.se/testsithseidrootcav2.crl

TEST SITHS e-id Person ID 2 CA v1

http://crl1pp.siths.se/testsithseidpersonid2cav1.crl

TEST SITHS e-id Person ID 3 CA v1

http://crl1pp.siths.se/testsithseidpersonid3cav1.crl

TEST SITHS e-id Person ID Mobile CA v1

http://crl1pp.siths.se/testsithseidpersonidmobilecav1.crl

TEST SITHS e-id Person HSA ID 2 CA v1

http://crl1pp.siths.se/testsithseidpersonhsaid2cav1.crl

TEST SITHS e-id Person HSA ID 3 CA v1

http://crl1pp.siths.se/testsithseidpersonhsaid3cav1.crl

TEST SITHS e-id Function CA v1

http://crl1pp.siths.se/testsithseidfunctioncav1.crl

OCSP

Nedan hittar du sökvägar till SITHS OCSP-tjänster som kan användas för att kontrollera om certifikat är spärrade eller inte.

Listan visar sökvägar per Rot- och utfärdare.

För mer information om SITHS PKI-strukturer se: PKI-struktur och rotcertifikat

Utfärdare

Sökväg

Utfärdare

Sökväg

Internet

Samtliga under SITHS Root CA v1 PP

http://ocsp1pp.siths.se

Samtliga under TEST SITHS e-id Root CA v2

http://ocsp1pp.siths.se

Sjunet

Samtliga under SITHS Root CA v1

http://ocsp2pp.siths.sjunet.org

Samtliga under TEST SITHS e-id Root CA v2

http://ocsp1pp.siths.se

AIA

AIA-sökvägar används för att kunna bygga tillitskedjor från slutanvändarcertifikat via utfärdardande CA till rot. Används främst på Microsoft-system.

Listan visar sökvägar per Rot- och utfärdare.

För mer information om SITHS PKI-strukturer se: PKI-struktur och rotcertifikat

SITHS Root CA v1

Utfärdare

Sökväg

 

 SITHS e-id Root CA v2

Utfärdare

Sökväg

Utfärdare

Sökväg

Internet & Sjunet

TEST SITHS e-id Root CA v2

http://aiapp.siths.se/testsithseidrootcav2.cer

TEST SITHS e-id Person ID 2 CA v1

http://aiapp.siths.se/testsithseidpersonid2cav1.cer

TEST SITHS e-id Person ID 3 CA v1

http://aiapp.siths.se/testsithseidpersonid3cav1.cer

TEST SITHS e-id Person ID Mobile CA v1

http://aiapp.siths.se/testsithseidpersonidmobilecav1.cer

TEST SITHS e-id Person HSA ID 2 CA v1

http://aiapp.siths.se/testsithseidpersonhsaid2cav1.cer

TEST SITHS e-id Person HSA ID 3 CA v1

http://aiapp.siths.se/testsithseidpersonhsaid3cav1.cer

TEST SITHS e-id Function CA v1

http://aiapp.siths.se/testsithseidfunctioncav1.cer