Nya certifikat i IdP Bas 2025

Innehåll:

1 Innehåll:
2 Tidplan för certifikatsbyten
3 IdP SAML Metadata
4 Processen
5 Ytterligare beskrivning av processen
6 OIDC RP-information
- 6.1 Adresser för nerladdning av signeringsnycklar (OIDC)

Eftersom det nya certifikatet kommer med en förnyad nyckel för signering av SAML-biljetten så kommer detta att påverkar alla tjänster (SP/RP) som använder IdP Bas. SP/RP måste se till att ladda ner den nya nyckeln.

För SAML-SP betyder det att byta ut IdP-metadata.

För OIDC-RP måste förvaltaren kontrollera rutinen för att byta ut denna och vidta åtgärder ifall byte inte sker automatiskt.

Läs om strategin för bytet nedan om du ansvarar för en SP och längst ner på sidan för RP/OIDC-information!

Under december 2025 går certifikaten som används för signering ut för IdP Bas och byts därför ut.

De nya certifikaten kommer fortfarande att vara utfärdade av SITHS och vara av typerna enligt nedan:

För PRODUKTION: SITHS e-id Function CA v1
För TEST/QA: TEST SITHS e-id Function CA v1

Tidplan för certifikatsbyten

Datum	Miljö	Aktivitet

Datum	Miljö	Aktivitet
Sep 30, 2025	TEST/QA	Publicering av nytt metadata för anslutna SP:s (se nedan)
Oct 27, 2025	TEST/QA	Byte av IdP:ns certifikat och nyckel för signering av biljetter.
Sep 30, 2025	PRODUKTION	Publicering av nytt metadata för anslutna SP:s (se nedan)
Nov 10, 2025	PRODUKTION	Byte av IdP:ns certifikat och nyckel för signering av biljetter.

IdP SAML Metadata

SP-INFO

INFORMATION TILL DE SOM ANSVARAR FÖR EN SERVICE PROVIDER (SP), ELLER RELAYING PARTY (RP), ANSLUTEN TILL INERAS IdP

Nyckeln som ligger i certifikatet i befintligt metadata som används av IdP:n för signering av SAML-biljetten/OIDC tokens kommer att förnyas i samband med certifikatsbytet. Därför förväntas alla Service Providers (SP:ar) anslutna till IdP:n att ladda ner och byta ut metadata för denna enligt informationen i detta dokument.

Processen

Steg 1 - Ineras IdP Bas publicerar nytt metadata

För att alla SP:ar ska kunna få en sömlös övergång till det nya certifikatet kommer alla IdP:er under en period innan certifikatsbytet att publicera metadata med dubbla certifikat (KeyDescriptors) där endast ett av certifikaten används för signering av SAML-biljetten. SP:ar som har laddat ner och installerat detta metadata kommer då alltså vara förberedda att fungera med både det gamla och nya certifikatet och får då en sömlös övergång.

Steg 2 - SP börjar lita på nytt metadata

När detta har genomförts enligt tabellen Tidplan för certifikatsbyten ovan kan de SP:ar som stödjer dubbla KeyDescriptors i IdP Bas metadata installera det nya metadatat för att vara förberedda inför utbytet.

Alla SP:ar förväntas stödja dubbla KeyDescriptors i IdP Bas metadata och ha verifierat detta innan arbetet med certifikatsbytet påbörjas. Detta enligt SP-kraven i IdP Bas: SAML-Profil IdP - Bas

En SP som inte har stöd för dubbla KeyDescriptors i IdP Bas metadata kommer att vara tvungen att byta ut sitt metadata i samma stund som IdP Bas byter certifikat enligt tabellen Tidplan för certifikatsbyten ovan för att kunna verifiera signeringen av SAML-biljetten efter bytet.

Steg 3 - IdP Bas byter metadata

IdP Bas byter metadata enligt tabellen Tidplan för certifikatsbyten

Steg 4 - IdP Bas tar bort det gamla certifikatet från metadata

Efter certifikatsbytet återgår IdP Bas till att publicera metadata med endast det nya certifikatet och SP:ar kan "städa upp" genom att ladda ner nytt metadata igen innehållandes endast det nya certifikatet.

Ytterligare beskrivning av processen

Strategin visualiseras med bilden nedan:

Klicka på bilden för en större bild...

Tidsplan för byte av nyckel för signering av biljett

Miljö	Publicering av nytt metadata med dubbla certifikat (steg 2)	Certifikatsbyte - metadata publiceras åter med endast ett certifikat

Miljö

Publicering av nytt metadata
med dubbla certifikat (steg 2)

Certifikatsbyte - metadata publiceras åter med endast ett certifikat

TEST: https://idp.ineratest.org/

QA: https://idp.ineraqa.org/

Sep 30, 2025

Nov 3, 2025

PRODUKTION: https://idp.inera.se

Sep 30, 2025

Nov 17, 2025

Utförande på er SP

Innan datum för Publicering av nytt metadata med dubbla certifikat: Säkerställ att er SP är förberedd för metadata med dubbla certifikat/KeyDescriptors.
1. Observera att om detta stöd inte finns eller införs måste SP:n byta metadata i samma stund som IdP Bas byter certifikatet.
2. En SP utan detta stöd kan dock fortsätta att använda sitt gamla IdP-metadata tills dess att IdP Bas byter certifikatet.
Mellan datum för Publicering av nytt metadata med dubbla certifikat och Certifikatsbyte: Ladda ner IdP Bas nya metadata och installera detta i er SP för att klara av både det gamla och nya certifikatet och få en sömlös övergång.
1. Nedladdningslänkar för aktuell IdP hittas i listan över Adresser för nerladdning av metadata nedan.
Efter datum för Certifikatsbyte: Ladda ner IdP Bas nya metadata och installera detta i er SP för att endast ha det nya certifikatet i IdP Bas metadata (uppstädning).

Adresser för nerladdning av metadata

Test: https://idp.ineratest.org/saml
QA: https://idp.ineraqa.org/saml
Produktion: https://idp.inera.se/saml

OIDC RP-information

I OIDC-världen finns ingen utväxling av metadata som för SAML utan här sker ofta uppdatering av IdP Bas nycklar, som används för signering, automatiskt i bakgrunden. Även här kommer dubbla nycklar att publiceras enligt tidsplanen ovan så att RP:n kan få en sömlös övergång till den nya nyckeln.

Ansvaret ligger dock på den förvaltning som ansvarar för RP:n att säkerställa att funktionalitet finns för att automatiskt hämta båda nycklarna eller vidta manuella åtgärder för att byta ut IdP Bas certifikat.

Adresser för nerladdning av signeringsnycklar (OIDC)

Test: https://idp.ineratest.org/oidc/jwks.json
QA: https://idp.ineraqa.org/oidc/jwks.json
Produktion: https://idp.inera.se/oidc/jwks.json

För frågor kontakta Ineras Kundservice