Anslutningsinformation - Certifikat och Teknik - SDK Öppen testmiljö

Owned by Emilia Virhage
Last updated: apr. 02, 2024 by Paola Sunnhagen
3 min read

Godkända certifikatutfärdare

De godkända certifikatutfärdare som gäller för SDK Öppen testmiljö.

Säkerhetsområde

Certifikatutfärdare

Målgrupper

Anskaffa / Förnya

Revokera

Säkerhetsområde

Certifikatutfärdare

Målgrupper

Anskaffa / Förnya

Revokera

Säkerhet i eDelivery transportinfrastruktur - skydd mellan accesspunkter - Transportkryptering

Transportlager (TLS):

  • Accesspunkt →
    Termineringspunkt (Accesspunkt)

Godkända (enligt IT-säkerhetsbilaga till regelverk för anslutning till SDK, se https://inera.atlassian.net/wiki/spaces/OISDK/pages/2710601964):

  • SITHS e-id funktionscertifikat (Inera)

Tjänsteleverantörens AP-operatör som ska ansluta accesspunkt till DIGG eDelivery transportinfrastruktur och SDK-federationens miljöer.

Tjänsteleverantörens AP-operatör anskaffar i första hand via ombud (tredjepartsanslutning) eller själv (direktanslutning) ett nytt SITHS funktionscertifikat (för ytterligare info, se https://inera.atlassian.net/wiki/spaces/OISDK/pages/2710896795 - ‘Anskaffa SITHS funktionscertifikat’).

  • Kontakta certifikatsutgivare

Säkerhet i eDelivery transportinfrastruktur

Används i följande gränssnitt:

  • Accesspunkt -> Accesspunkt

  • SMP -> Accesspunkt

  • Certifikatpubliceringstjänst -> Meddelandetjänst

DIGG

Tjänsteleverantörens Accesspunktsoperatör som ska ansluta accesspunkt till DIGGs Test-miljö.

Tjänsteleverantörens Accesspunktsoperatör genererar en CSR för accesspunkten som bifogas till DIGGs 'Anmälan om anslutning av Accesspunktsoperatör till Testmiljö’.

Om ansökan godkänns, returneras ett publikt certifikat baserat på PKI som beskrivs i DIGGs ‘eDelivery - PKI för Accesspunkter Tjänstebeskrivning’.

Kontakta DIGG

O2O-kryptering och signering inom infrastrukturen för SDK

Används i följande gränssnitt:

  • Meddelandetjänst -> Meddelandetjänst

Godkända tills vidare (enligt IT-säkerhetsbilaga till regelverk för anslutning till SDK, se https://inera.atlassian.net/wiki/spaces/OISDK/pages/2710601964):

  • SITHS e-id funktionscertifikat (Inera)

  • E-identitet för offentlig sektor - Efos (Försäkringskassan)

  • ExpiTrust EID V4 (Expisoft AB)

Tjänsteleverantören som ska ansluta till SDK Öppen testmiljö där tjänsteleverantörens certifikat behöver registreras i DIGGs Certifikatspubliceringstjänst.

Tjänsteleverantören anskaffar ett O2O-certifikat. Detta kan göras genom att:

  • SITHS: Tjänsteleverantören anskaffar själv eller via ombud ett nytt SITHS e-id-certifikat och bifogar i anslutningsblanketten

  • Efos: Kontakta Försäkringskassan

  • ExpiTrust: Kontakta Expisoft

Om anslutningen godkänns registreras O2O-certifikatet i DIGGs Certifikatspubliceringstjänst av tjänsteleverantören (via SMP-admin gränssnitt).

  • Kontakta certifikatsutgivare

  • Kontakta DIGG för att avregistrera tjänsteleverantörens certifikat i DIGGs Certifikatpubliceringstjänst.

Certifikat

Följande behöver säkerställas:

  • Tjänsteleverantörens Accesspunktsoperatör behöver generera en CSR för accesspunkten som bifogas till DIGGs 'Anmälan om anslutning av Accesspunktsoperatör till Testmiljö’. Blanketten är ej publicerad. Kontakta info@digg.se

  • Tjänsteleverantörens Accesspunktsoperatör behöver uppdatera accesspunktens truststore med DIGG PKI kedja (både intermediär CA och rot CA behöver inkluderas). Certifikatkedjan är ej publicerad. Kontakta info@digg.se

  • Tjänsteleverantörens Accesspunktsoperatör behöver för utgående trafik konfigurera privat nyckel och certifikat i den komponent som agerar klient på transportlager (accesspunkt / proxy)

  • Tjänsteleverantörens Accesspunktsoperatör behöver uppdatera termineringspunktens truststore på transportlager med SITHS CA kedja (både intermediär CA och rot CA behöver inkluderas)

  • Tjänsteleverantören behöver uppdatera meddelandetjänstens truststore med DIGG PKI kedja för SMP (rot CA behöver inkluderas). Certifikatkedjan är ej publicerad. Kontakta info@digg.se.

  • Tjänsteleverantören behöver anskaffa ett O2O-certifikat (testfunktionscertifikat) som är organisationens certifikat som tjänsteleverantörens accesspunktsoperatör registrerar i DIGGs certifikatspubliceringstjänst

  • Tjänsteleverantören kan ta hjälp av en översikt på hur olika certifikat används (se , kap. 5)

Certifikatutfärdare

Certifikat

Kommentar

Certifikatutfärdare

Certifikat

Kommentar

eDelivery transportinfrastruktur (DIGG) - skydd mellan accesspunkter - transportkryptering

  • SITHS: Certifikaten basera på följande intermediär CA och rot CA:

    • TEST SITHS e-id Root CA v2

    • TEST SITHS e-id Function CA v1

eDelivery transportinfrastruktur (DIGG) - meddelandekryptering

Certifikatkedjan är ej publicerad, kontakt info@digg.se.

DIGG Test Certifikatkedja AP:

  • Rot CA eDelivery Accesspunkt-TEST.cer

  • Accesspunkt CA-OPEN-TEST.cer

O2O-kryptering och signering inom infrastrukturen för SDK (O2O-certifikat)

(O2O-certifikatets CA behöver inte inkluderas i någon truststore)

  • SITHS: Certifikaten basera på följande intermediär CA och rot CA:

    • TEST SITHS e-id Root CA v2

    • TEST SITHS e-id Function CA v1

  • Efos: Swedish Social Insurance Agency - Swedish Public Sector Internal Root CA SAT v1

    • Swedish Public Sector Function CA v3 SAT

      Referens:

  • ExpiTrust: ExpiTrust Test CA v8

Konfiguration av truststores

Se Konfiguration av truststores.

SDK Öppen testmiljö

Miljövariabel

Värde

Kommentar

Miljövariabel

Värde

Kommentar

SML zone

se-open-digg.edelivery.tech.ec.europa.eu

URL till SML som Accesspunkt använder för metadata slagningar mot SMP och som Meddelandetjänst använder för metadata slagningar mot SMP och Certifikatspubliceringstjänsten.

ParticipantIdentifier (SDK Testklient)

0203:otm.sdk.inera.se

SDK Testklients deltagaridentitet i SMP, där slagning mot SML ger följande URL:
https://open-test.smp.edelivery.digg.se/iso6523-actorid-upis::0203:otm.sdk.inera.se

Systemkomponenter

Systemkomponent

Hostnamn

IP-adress

Port för inkommande anrop

URL

Systemkomponent

Hostnamn

IP-adress

Port för inkommande anrop

URL

Domibus AP

otm-sdk.inera.se

80.76.158.213 (inkommande)
80.76.157.211 (utgående)

443

https://otm-ap-sdk.inera.se/domibus/services/msh

SDK Adressbok

otm-sdk.inera.se

80.76.157.124

443

https://otm-sdk.inera.se/addressbook/

https://otm-sdk.inera.se/addressbook/api/documentation

https://otm-sdk.inera.se/codesystem/

https://otm-sdk.inera.se/codesystem/api/documentation

https://otm-sdk.inera.se/addressbook/actuator/health

SDK Testklient

otm-sdk.inera.se

80.76.157.124

443

https://otm-sdk.inera.se/testclient/

https://otm-sdk.inera.se/testclient/actuator/health

SDK API

‘ClientID’, samma värde som ‘participantIdentifier’

‘Client secret’ skickas till utpekad ‘Teknisk kontakt’

En funktionsadress tilldelas:
sdk.otm.<participantIdentifier>

otm-sdk.inera.se

80.76.157.124

443

SDK API: https://otm-sdk.inera.se/sdk-api/v1/sdk/messages

IAM: https://otm-sdk.inera.se/auth/realms/sdk/protocol/openid-connect/token

Swagger UI: https://otm-sdk.inera.se/sdk-api/q/swagger-ui/

(hostnamnet ska användas i HostHeader för alla http-anrop eftersom att komponenterna delar IP adress.)