Nätverksinställningar för SITHS

Revisionshistorik

Klicka nedan för att visa revisisonshistorik

Version

Datum

Författare

Kommentar

Version

Datum

Författare

Kommentar

1.0

2021-02-02

SITHS Förvaltning

Fastställande av sida och komplettering för SITHS eID och Mobilt SITHS

1.01

2021-02-03

SITHS Förvaltning

Justerat länk till Nätverksinställningar för SITHS eID och Mobilt SITHS

1.1

2021-02-04

SITHS Förvaltning

Konsoliderat all information om nätverksinställningar till en sida samt städat gammal information

1.11

2021-03-09

SITHS Förvaltning

Tillägg av sökvägar för API:er

1.2

Nov 8, 2021

SITHS Förvaltning

Tog bort referenser till OCS/CRL för CrossBorder i:

1.3

Sep 30, 2022

SITHS Förvaltning

Borttag av information om SITHS Root CA v1 och tillägg av information om nya IP-adresser efter flytten av SITHS Certifikatutfärdare som ska ske under 2023.

1.31

Oct 3, 2022

SITHS Förvaltning

Lade till schematisk skiss över DNS-uppslag och routinlogik

1.4

Nov 7, 2022

SITHS Förvaltning

Borttag av all data om SITHS Root CA v1 och dess adresser.

1.5

Mar 8, 2023

SITHS Förvaltning

Lade till information om SYSTEMTEST SITHS e-id Root CA v2 som kommer användas av SITHS eID Portalens nya DEV- och TEST-miljöer

1.51

May 4, 2023

SITHS Förvaltning

Uppdaterat med information om att brandväggar ska öppnas för utgående nätverkstrafik.

1.52

May 5, 2023

SITHS Förvaltning

Lade till information om generella öppningar för nya SITHS eID-lösningen och SITHS eID Portal.

1.6

May 30, 2023

SITHS Förvaltning

Kompletterade med med specifik information om sökvägar och nätverksinställningar för kommande SITHS eID Portal

1.61

Sep 1, 2023

SITHS Förvaltning

Justerade DNS-namn för CRL, OCSP och AIA utfärdade från DEV/TEST-miljö (internt för Inera/NMT)

Lade till IP-adress för QA-miljön för Websocket som behöver vara öppen från alla klientnätverk som ska jobba mot SITHS eID Portal i QA-miljö (tidigare Preprod)

1.62

Nov 17, 2023

SITHS Förvaltning

Borttag av IPv6 för nya CRL, OCSP och AIA, samt justering i och med att QA nu är driftsatt för PKI

1.63

Nov 23, 2023

SITHS Förvaltning

Lade tillbaka information om IPv6 för QA och Produktion, men med information om att dessa pekas ut i DNS vid ett senare tillfälle.

1.64

Jan 25, 2024

SITHS Förvaltning

Lade till information om att det kan föreligga behov av att vitlista domännamn eller helt stänga av funktioner såsom proxy och trafikinspektion för åtkomst till Ineras tjänster.

Justering av länk till Nätverksinställningar för tjänster inom identitet och åtkomst i och med migrering av data från leverantörens Confluence till Ineras.

Borttag av länkar till gamla sökvägar och ip-adresser hos Telia

1.65

Sep 25, 2024

SITHS Förvaltning

Kompletterat med information om DNS-namn och IP-adress för IdP och Autentiseringstjänst för vilka det krävs brandväggsöppningar för användare som ska kunna logga in i SITHS eID Portal och/eller Mina sidor

Innehållsförteckning

Klicka nedan för att visa Innehållsförteckning

Inledning

Denna sida innehåller information för tekniker om vilka nätverskinställningar som behöver säkerställas vid:

  • Utfärdande av SITHS e-legitimation till SITHS-kort i SITHS Admin och SITHS Mina sidor

  • Kontroll av att certifikat är giltiga (ej revokerade/spärrade)

Kunder med Sjunetuppkoppling ska ha tagit del av avsnittet:

Nätverksinställningar

IP-adresser, portar & protokoll per miljö

Nedan hittar du information om webbadresser och IP-adresser för tjänsten SITHS. För nyttjande av SITHS bör organisationer ha sina brandväggar öppna för Utgående trafik enligt nedan tabeller efter behov.

Vi rekommenderar att ni öppnar era nätverk för följande C-nät över antingen Internet eller Sjunet oavsett hur ni valt att routar er trafik:

  • 82.136.182.0/24

  • 82.136.183.0/24 och 2a01:58:6106::/48

Proxy och TLS-inspektion

Ineras IAM-tjänster är inte tänkta att användas via verktyg för inspektion av nätverkstrafik, t ex. proxy, TLS-inspektion eller annan teknik som riskerar att manipulera/påverka anropen från användarnas datorer till SITHS eID Portal, Mina sidor, Certificate Services, IdP och Autentiseringstjänsten.

Om ni använder detta och stöter på problem är rekommendationen att vitlista domännamn och IP-adresser för aktuell miljö och funktion.

Se även:

Produktion (SITHS e-id Root CA v2)

Klicka nedan för att visa information för Produktionsmiljön

SITHS eID Portal

Syfte

URL

Befintlig IP-adress (destination)

Protokoll/Port (destination)

Nätverk (source/hos kunden)

Kommentar

Syfte

URL

Befintlig IP-adress (destination)

Protokoll/Port (destination)

Nätverk (source/hos kunden)

Kommentar

Internet/Sjunet

Inloggning för id-administratörer till SITHS eID Portal

https://portal.siths.se

82.136.183.108

HTTPS/TCP port 443

Klientnätverk

 

Inloggning för användare till ”Mina sidor”

https://minasidor.siths.se

82.136.183.108

HTTPS/TCP port 443

Klientnätverk

 

IdP som används för inloggning till SITHS eID Portal och Mina sidor

https://idp.siths.se

82.136.183.103

HTTPS/TCP port 443

Klientnätverk

 

Autentiseringstjänst som används av SITHS eID-apparna när man loggar in på SITHS eID Portal och Mina sidor

https://authservice.siths.se

82.136.183.103

HTTPS/TCP port 443

Klientnätverk

 

Uppkoppling av användares webbläsare och SITHS eID-app för certifikatadministration, aktivering av kort och upplåsning av puk med hjälp av id-administratör

wss://websocket-certificateservices.siths.se

https://websocket-certificateservices.siths.se

82.136.183.111

WSS/TCP port 443

Klientnätverk

 

Uppkoppling av användarens SITHS eID-app mot SITHS eID-app för upplåsning av puk med hjälp av Mobilt SITHS

https://cms-pki.siths.se

https://api-certificateservices.siths.se

82.136.183.112

HTTPS/TCP port 443

Klientnätverk

 

CRL, AIA och OCSP

Syfte

URL

Befintlig IP-adress (destination)

Protokoll/Port (destination)

Nätverk (source/hos kunden)

Syfte

URL

Befintlig IP-adress (destination)

Protokoll/Port (destination)

Nätverk (source/hos kunden)

Internet

Kontroll av om certifikat är spärrade (CRL)

Policydokument

crl1.siths.se

cps.siths.se

rpa.siths.se

82.136.183.246

IPv6-adresser - Pekas ut i DNS vid senare tillfälle

2a01:58:6106:5a01::246

HTTP/TCP port 80

Servernätverk och klientnätverk (alla användare)

Kontroll av om certifikat är spärrade (OCSP)

ocsp1.siths.se

 

82.136.183.247

IPv6-adresser - Pekas ut i DNS vid senare tillfälle

2a01:58:6106:5a01::247

HTTP/TCP port 80

Servernätverk och klientnätverk (alla användare)

Bygga tillitskedja för certifikat (AIA)

aia.siths.se

82.136.183.248

IPv6-adresser - Pekas ut i DNS vid senare tillfälle

2a01:58:6106:5a01::248

HTTP/TCP port 80

Servernätverk och klientnätverk (alla användare)

Sjunet

Kontroll av om certifikat är spärrade (CRL)

Policydokument

crl1.siths.se

 

82.136.183.246

IPv6-adresser - Pekas ut i DNS vid senare tillfälle

2a01:58:6106:5a01::246

HTTP/TCP port 80

Servernätverk och klientnätverk (alla användare)

Kontroll av om certifikat är spärrade (OCSP)

ocsp1.siths.se

82.136.183.247

IPv6-adresser - Pekas ut i DNS vid senare tillfälle

2a01:58:6106:5a01::247

HTTP/TCP port 80

Servernätverk och klientnätverk (alla användare)

Bygga tillitskedja för certifikat (AIA)

aia.siths.se

82.136.183.248

IPv6-adresser - Pekas ut i DNS vid senare tillfälle

2a01:58:6106:5a01::248

HTTP/TCP port 80

Servernätverk och klientnätverk (alla användare)

QA/Preproduktion (TEST SITHS e-id Root CA v2)

SITHS eID Portal

Syfte

URL

Befintlig IP-adress (destination)

Protokoll/Port (destination)

Nätverk (source/hos kunden)

Kommentar

Syfte

URL

Befintlig IP-adress (destination)

Protokoll/Port (destination)

Nätverk (source/hos kunden)

Kommentar

Internet/Sjunet

Inloggning för id-administratörer till SITHS eID Portal

https://portal.qa.siths.se

82.136.183.76

HTTPS/TCP port 443

Klientnätverk

 

Inloggning för användare till Mina sidor

https://minasidor.qa.siths.se

82.136.183.76

HTTPS/TCP port 443

Klientnätverk

 

IdP som används för inloggning till SITHS eID Portal och Mina sidor

https://idp.qa.siths.se

82.136.183.71

HTTPS/TCP port 443

Klientnätverk

 

Autentiseringstjänst som används av SITHS eID-apparna när man loggar in på SITHS eID Portal och Mina sidor

https://authservice.qa.siths.se

82.136.183.71

HTTPS/TCP port 443

Klientnätverk

 

Uppkoppling av användares webbläsare och SITHS eID-app för certifikatadministration, aktivering av kort och upplåsning av puk med hjälp av id-administratör

wss://websocket-certificateservices.qa.siths.se

https://websocket-certificateservices.qa.siths.se

82.136.183.79

WSS/TCP port 443

Klientnätverk

 

Uppkoppling av användarens SITHS eID-app mot SITHS eID-app för upplåsning av puk med hjälp av Mobilt SITHS

https://cms-pki.qa.siths.se

https://api-certificateservices.qa.siths.se

82.136.183.80

HTTPS/TCP port 443

Klientnätverk

 

CRL, AIA och OCSP

DEV och TEST (SYSTEMTEST SITHS e-id Root CA v2)

SITHS eID Portal - TEST

SITHS eID Portal - DEV

CRL, AIA och OCSP - DEV & TEST

SITHS Certifikatsutfärdare via Sjunet

Schematiska skisser för DNS-uppslag och routinglogik

Efter flytt av SITHS Certifikatutfärdare under 2023

Innan flytt av SITHS Certifikatutfärdare under 2023

Webbadresser & Sökvägar

Nedan hittar du information om aktuella webbadresser per miljö och funktion

Repository

https://www.inera.se/siths/repository

För styrande dokument som t ex.:

  • Tillitsramverk

  • Certificate Policy

  • Certificate Policy Statement

  • Rutiner för utfärdande

  • Certifikatspecifikationer

  • Matris för tolkning av tillitsnivåer

Produktion

SITHS Admin - Administration av certifikat

Nedan hittar du webbadresser för de olika användargränssnitt som används inom SITHS vid beställning och administration av certifikat på SITHS-kort

SITHS eID Portal - Administration av certifikat

Nedan hittar du webbadresser för de olika användargränssnitt som används inom SITHS vid beställning och administration av certifikat på SITHS-kort

Spärrlistor

Nedan hittar du sökvägar till SITHS spärrlistor som används för att kontrollera om certifikat är spärrade eller inte. Listan visar sökvägar per Rot- och utfärdare.

För mer information om SITHS PKI-strukturer se: PKI-struktur och rotcertifikat

OCSP

Nedan hittar du sökvägar till SITHS OCSP-tjänster som kan användas för att kontrollera om certifikat är spärrade eller inte.

Listan visar sökvägar per Rot- och utfärdare.

För mer information om SITHS PKI-strukturer se: PKI-struktur och rotcertifikat

AIA

AIA-sökvägar används för att kunna bygga tillitskedjor från slutanvändarcertifikat via utfärdardande CA till rot. Används främst på Microsoft-system.

Listan visar sökvägar per Rot- och utfärdare.

För mer information om SITHS PKI-strukturer se: PKI-struktur och rotcertifikat

Preproduktion

Administration av certifikat

Nedan hittar du webbadresser för de olika användargränssnitt som används inom SITHS vid beställning och administration av certifikat på SITHS-kort

SITHS eID Portal - Administration av certifikat

Nedan hittar du webbadresser för de olika användargränssnitt som används inom SITHS vid beställning och administration av certifikat på SITHS-kort

Spärrlistor

Nedan hittar du sökvägar till SITHS spärrlistor som används för att kontrollera om certifikat är spärrade eller inte. Listan visar sökvägar per Rot- och utfärdare.

För mer information om SITHS PKI-strukturer se: PKI-struktur och rotcertifikat

OCSP

Nedan hittar du sökvägar till SITHS OCSP-tjänster som kan användas för att kontrollera om certifikat är spärrade eller inte.

Listan visar sökvägar per Rot- och utfärdare.

För mer information om SITHS PKI-strukturer se: PKI-struktur och rotcertifikat

AIA

AIA-sökvägar används för att kunna bygga tillitskedjor från slutanvändarcertifikat via utfärdardande CA till rot. Används främst på Microsoft-system.

Listan visar sökvägar per Rot- och utfärdare.

För mer information om SITHS PKI-strukturer se: PKI-struktur och rotcertifikat

DEV och TEST

Administration av certifikat - TEST

Nedan hittar du webbadresser för de olika användargränssnitt som används inom SITHS vid beställning och administration av certifikat på SITHS-kort

Administration av certifikat - DEV

Nedan hittar du webbadresser för de olika användargränssnitt som används inom SITHS vid beställning och administration av certifikat på SITHS-kort

Spärrlistor

Nedan hittar du sökvägar till SITHS spärrlistor som används för att kontrollera om certifikat är spärrade eller inte. Listan visar sökvägar per Rot- och utfärdare.

För mer information om SITHS PKI-strukturer se: PKI-struktur och rotcertifikat

OCSP

Nedan hittar du sökvägar till SITHS OCSP-tjänster som kan användas för att kontrollera om certifikat är spärrade eller inte.

Listan visar sökvägar per Rot- och utfärdare.

För mer information om SITHS PKI-strukturer se: PKI-struktur och rotcertifikat

AIA

AIA-sökvägar används för att kunna bygga tillitskedjor från slutanvändarcertifikat via utfärdardande CA till rot. Används främst på Microsoft-system.

Listan visar sökvägar per Rot- och utfärdare.

För mer information om SITHS PKI-strukturer se: PKI-struktur och rotcertifikat