- Skapad av Christoffer Johansson, senast ändrad av Stéphane Kunegel den aug. 01, 2024
Du visar en gammal version av den här sidan. Visa nuvarande version.
Jämför med nuvarande Visa sidhistorik
« Föregående Version 89 Nästa »
Innehållsförteckning
Klicka nedan för att visa innehållsförteckning
Revisionshistorik
Klicka nedan för att visa revisionshistorik
Version | Datum | Författare | Kommentar |
---|---|---|---|
1.0 | 2021-01-22 | SITHS Förvaltning | Etabering av sidan. |
1.1 | 2021-02-02 | SITHS Förvaltning | Tillägg av avsnitt kring Inloggning till Windows och ändring av struktur på sidan. |
1.2 | 2021-02-11 | SITHS Förvaltning | Uppdatering av hur spärrkontroll fungerar |
1.21 | 2021-02-15 | SITHS Förvaltning | Teknisk beskrivning av SITHS Root CA ersatt av denna sida |
1.22 | 2021-02-22 | SITHS Förvaltning | Tillägg av information om plattformskrav för SITHS Admin och Mina sidor |
1.23 | 2021-03-01 | SITHS Förvaltning | Tillägg av information om att stänga av strömspartläge och använda så nya kortläsardrivrutiner som möjligt. |
1.3 |
| SITHS Förvaltning | Tillägg av rubrik för SITHS Testsida |
1.31 |
| SITHS Förvaltning | Mindre textjusteringar och tillägg av spärrlistors giltighetstid för Utfärdande CAs |
1.32 |
| SITHS Förvaltning | Tillägg av information om pin-cache. |
1.33 |
| SITHS Förvaltning | Lagt till information om Underskrift och Förnyad autentisering utan Net iD Enterprise/Plugin |
1.34 |
| SITHS Förvaltning | Uppdaterade informationen om RFID och MIFARE |
1.35 |
| SITHS Förvaltning | Lade in avgränsare mellan avsnitt |
1.36 |
| SITHS Förvaltning | Lade till länk till Edge i IE11 Mode för både Mina Sidor och SITHS-Admins plattformskrav |
1.37 |
| SITHS Förvaltning | Lade till länk till Edge i IE11 Mode för både Mina Sidor och SITHS-Admins plattformskrav |
1.38 |
| SITHS Förvaltning | Lade till länkar till information om alternativa sätt att logga in i Windows med SITHS eID-appen och information om begränsad support för användning av SITHS eID-appen tillsammans med virtualiserade klientplattformar (VDI) |
1.40 |
| SITHS Förvaltning | Justerade information om olika varianter av inloggning för Windows:
Förtydliganden kring Pin-cache/Pin-SSO |
1.41 |
| SITHS Förvaltning | Lade till länk till sida om hur inläsning av SITHS-kort går till på Windows och beskrivningar av de två olika autentiseringslösningarna Out-of-band och Dubbelriktad TLS (mTLS) |
2.0 |
| SITHS Förvaltning | Stor ombearbetning av strukturen för sidan |
2.1 |
| SITHS Förvaltning | Lade till Windows 11 för os krav för siths-admin och Mina sidor.2. |
2.11 |
| SITHS Förvaltning | Lade till information om SAC PKCS#11 på Linux och information om IgelOS gällande tunna klienter på Linux. Lade till information om den kommande MacOS. Lade till länk till projektets sida om nya IP-adresser för SITHS certifikatutfärdare efter flytten under 2023. Omstrukturering av sidan för att flytta upp information om Autentiseringslösningar och olika varianter av appar ovanför information om utfärdande och PKI. |
2.12 |
| SITHS Förvaltning | Länkade in information om avsändande e-postservrar som Telia använder när SITHS Admin skickar e-post till användare/funktionsbrevlådor. Dessa brukar behöva läggas till som tillåtna i organisationens SPAM-filter. Detta för att tillåta att SITHS Admin skickar e-post för organisationens egen e-postdomän om det är denna som konfigurerats som avsändande e-postserver i SITHS Admin |
2.13 |
| SITHS Förvaltning | Lade till information om att Windows Push Notifications User Service (WpnUserService) måste köras för att SITHS eID-appen inte ska krascha på Citrix. |
2.14 |
| SITHS Förvaltning | Flyttade ut information om användning av SITHS på tunna klienter till en egen sida för att kunna direkt länka. Sidan länkas dock fortfarande in i detta dokument. |
2.15 |
| SITHS Förvaltning | Tillägg av information om att IgelOS kräver att man inaktiverar apparmor för att SAC PKCS#11 ska fungera. |
2.16 |
| SITHS Förvaltning | Förtydligade information om att HSA-id ej finns i Sektor 15 för MIFARE på Reservkort. |
2.17 |
| SITHS Förvaltning | Lade till information om publicering till HSA och information om värdena som publiceras. |
2.18 |
| SITHS Förvaltning | Inkluderat sidor med information om Certifikatutfärdare och tillit till dessa samt information om sökvägar och brandväggsöppningar istället för länkar man måste följa. |
2.19 |
| SITHS Förvaltning | Tillägg av kompatibilitetsinformation om SITHS eID Portal |
2.20 |
| SITHS Förvaltning | Borttag av Net iD samt SCS |
2.21 |
| SITHS Förvaltning | Tillägg av teknisk generationsinformation för SITHS-kort |
Inledning
Referensarkitekturer för Legitimering och Underskrift
Inera har tillsammans med kommuner och regioner tagit fram arkitekturdokument för hur tjänster med behov av legitimering och underskrift ska integrera mot infrastrukturen för legitimering och underskrift av användare:
Klicka nedan för att läsa mer om Referensarkitekturerna
Filmer som beskriver referensarkitekturerna återfinns här: Referensarkitekturer för IAM och e-underskrift, deras realisering på Inera - YouTube
Dokument som beskriver referensarkitekturerna:
Referensarkitektur för Identitet och åtkomsthantering - på denna länk hittar du dokumentet som beskriver: Referensarkitekturen för Identitet och åtkomsthantering
Referensarkitekturen för Elektronisk underskrift och stämpel - Referensarkitekturen för Elektronisk underskrift och stämpel
Övrig användning av SITHS-kort
SITHS-kort har även följande funktioner;
Inloggning till Windows
Inloggning till Citrix
Som visuell ID-handling
Inpassering, parkering etc. med hjälp av RFID (MIFARE Classic EV1)
Magnetband
Streckkod
För fullständig specifikation över beställningsbara SITHS-kort se Kortspecifikation och tillbehör med bilder - Bilaga 1.2 (Pdf)
Autentiseringslösningar för SITHS
Vid användning av SITHS för att legitimera medarbetare krävs att tjänsten implementerar en eller flera av de autentiseringslösningar som erbjuds för att konsumera SITHS e-legitimation. All användning av SITHS e-legitimation för användare bör ske enligt Referensarkitekturen för Identitet och åtkomsthantering
Innehållsförteckning
Revisionshistorik
Version | Datum | Författare | Kommentar |
---|---|---|---|
1.0 | 2022-09-07 | SITHS Förvaltning | Etablering av sidan. |
1.01 | 2022-09-29 | SITHS Förvaltning | Lade till information om att PIN-SSO över mTLS också kan etableras vid första inloggningen via out-of-band. |
1.02 | 2023-02-02 | SITHS Förvaltning | Lade till lite förtydliganden om SITHS eID för Windows MD-paketering och att dessa innehåller SAC minidriver för att ge stödet för mTLS som autentiseringsmetod. |
1.03 |
| SITHS Förvaltning | Gjorde om avsnittet för användardialoger per autentiseringsmetod. Klistrade även in hur pin-dialogen ser ut för underskriftskoden om underskriftscertifikatet anropas via Microsoft CAPI2 för SAC minidriver och hur det ser ut när det anropas via CAPI2 eller webbläsaren och Net iD plugin. |
1.04 |
| SITHS Förvaltning | Lade till information om Microsofts turordning för presentation av certifikat vid ceritfikatvalsdialog/API via Microsoft CryptoAPI/CNG vid användning av SAC minidriver |
1.05 |
| SITHS Förvaltning | Lagt till information om PIN-SSO för macOS och förtydligat när PIN-SSO är aktuellt mha. en matris. |
1.06 |
| SITHS Förvaltning | Borttag av Net iD |
Översikt
SITHS har två olika autentiseringslösningar:
Inloggning via dubbelriktad TLS (mTLS):
Användare - för legitimering och underskrift av användare med hjälp av SITHS eID-appen för Windows i MD-paketering
MD-paketen innehåller SAC minidriver som står för stödet för autentiseringsmetoden mTLS
Servrar - för identifiering av tjänster vid kommunikation mellan IT-system
Inloggning via separat säkerhetskanal (Out-of-band): för legitimering och underskrift av en användare med hjälp av SITHS eID-apparna
Dubbelriktad TLS kräver inte någon anslutning för att använda som autentiseringslösning.
För mer information om hur du ansluter till att använda autentiseringslösningen out-of-band se följande länkar:
Inloggning via dubbelriktad TLS (mTLS)
Endast aktuellt för SITHS eID på smartkort
Denna autentiseringslösning levereras som en del av SITHS eID-appen för Windows.
I denna lösning lagras certifikaten på det smarta kortet och importeras till Windows certifikatlagring. Vid inloggning integrerar sedan tjänsten mot operativsystemets och webbläsarens inbyggda funktioner för att be användaren välja ett certifikat som hen vill använda vid legitimering.
Användardialogerna presenteras primärt av webbläsaren och Operativsystemet och ligger således bortom SITHS kontroll.
På de flesta SITHS-kort finns även Telia e-legitimation som identifierar användaren. Att använda dessa certifikat vid legitimering av användaren är förenat med en avgift för varje legitimering/spärrslagning. För att använda detta krävs ett separat avtal med Telia.
Förutsättningar
Användaren behöver ha en så ny version som möjligt av applikationen för dubbelriktad TLS (mTLS) - Programvaror och tillbehör för SITHS
Både servern som driftar tjänsten och ofta användarens klientdator måste ha:
Tillit till rätt Certifikatsutfärdare inom SITHS - PKI-struktur och rotcertifikat
Brandväggsöppningar för spärrkontroll och byggande av tillitskedja - Nätverksinställningar för SITHS Certifikatutfärdare
Säkerställ att kortläsaren inte har strömsparläge aktiverat. Detta görs antingen i Datorns BIOS, Via enhetshanteraren eller genom inställningar i drivrutinerna för den enhet som används
Säkerställ att datorn använder så nya drivrutiner som möjligt för kortläsaren och att dessa laddas ner från tillverkaren av kortläsaren istället för via Windows Update
Pin-cache och Pin-SSO
Pin-cache funktionen som används med de flesta lösningar för smarta kort (inkl. SITHS) gör att användaren inte behöver ange pin-kod igen så länge SITHS-kortet sitter kvar i kortläsaren. För att Användaren ska bli helt utloggad från en tjänst måste hen:
Använda tjänstens egen funktion för utloggning
Avlägsna SITHS-kortet från kortläsaren
Utöver detta bör även alla tjänster komplettera med en egen inaktivitetstimeout. Denna hjälper dock inte om användare glömmer att avlägsna sitt SITHS-kort.
Klicka nedan för att läsa mer om Pin-cache och Pin-SSO
Vid användning av SITHS och autentiseringslösningar baserade på dubbelriktad TLS (mTLS) finns funktioner som gör att pin-koden för legitimering inte behöver anges vid varje ny begäran om legitimering/autentisering
Detta är ett måste för användarupplevelsen vid exempelvis inloggning till Windows. Det har också gett ett mervärde vid inloggning till tjänster som inte följer Referensarkitekturen för Identitet- och åtkomsthantering eftersom användaren inte behöver ange sin pin-kod upprepade gånger eller när man ska logga in i en annan tjänst som hanterar autentisering via samma AD-miljö som den AD-miljö som hanterar användarens inloggning till själva Windows-datorn.
I referensarkitekturen baseras Single Sign-On (SSO) upplevelsen på att man utfärdar identitetsintyg som är giltiga för inloggning i flera tjänster som använder samma IdP (enligt standarderna SAMLv2 eller OIDC).
Pin-cache är aktiverad som default enligt:
Applikation | Autentiseringsmetod | PIN-SSO |
---|---|---|
SITHS eID-app för Windows MD (MD=Minidriver, dvs. paket som innehåller SAC minidriver för att hantera stödet för autentiseringsmetoden mTLS) | mTLS | Ja |
OOB** | Nej | |
SITHS eID-app för macOS | mTLS | Nej |
OOB | Nej | |
SAC minidriver för Linux | mTLS | Nej |
** Pin-cache för mTLS aktiveras både vid första inloggningen med mTLS via SAC minidriver OCH i samband med den första inloggningen användaren gör i SITHS eID-appen över autentiseringslösningar baserade på out-of-band. Out-of-band använder sig dock INTE av pin-cachen själv utan den aktiveras bara för mTLS.
Referenser
Inloggning via separat säkerhetskanal (out-of-band)
Denna autentiseringslösning kan användas både för SITHS eID på kort och Mobilt SITHS
Denna autentiseringslösning tillhandahålls av själva SITHS eID-appen och baserar sig på att en IdP integrerar mot ett gränssnitt på Autentiseringstjänsten som har en direktkommunikation med SITHS eID-appen. SITHS eID-appen hanterar i sintur inloggning och användardialogen istället för att interaktionen med användaren hanteras av datorns operativsystem och webbläsare.
I denna lösning lagras certifikaten:
För Mobilt SITHS - I den mobila enhetens hårdvarulagring (chip)
För SITHS eID på kort - i datorns minne för användning av SITHS eID-appen så länge kortet sitter i kortläsaren.
Användardialoger för de olika autentiseringslösningarna
Användardialogen skiljer mellan de två autentiseringslösningarna Dubbelriktad TLS och Out-of-band.
Out-of-band - SITHS eID-appen förfogar över majoriteten av användarinteraktionen
Dubbelriktad TLS - Nästan hela användarinteraktionen hanteras av Operativsystemet och webbläsaren
Out-of-band - SITHS eID på denna enhet
Samma utseende i alla webbläsare.
1 - Val av metod i IdP | 2 - Appväxling | 3 - Appen startas och användare anger pin-kod eller skannar sin biometri (om mobilt) | |
---|---|---|---|
|
| Windows
| Mobiltelefon/Surfplatta |
Out-of band - SITHS eID på annan enhet
Samma utseende i alla webbläsare.
1 - Val av metod i IdP | 2 - IdP visa QR-kod | 3 - Användare öppnar appen i mobiltelefonen och väljer att skanna QR-kord | 4 - Användare skannar QR-kod | 5 - Användare anger pin-kod eller skannar biometri |
---|---|---|---|---|
|
|
|
|
Dubbelriktad TLS/Mutual TLS (mTLS) - SITHS-kort på denna enhet
Här exemplifierat med SITHS eID för Windows MD (SAC minidriver).
Olika certifikatvalsdialog beroende på webbläsare. PIN-dialogen hanteras av Windows användargränssnitt
Turordningen för certifikaten i certifikatvalsdialogen och via Microsoft CryptoAPI/CNG styrs av Windows och presenterar det certifikat som har längst giltighetstid först.
Eventuellt val av metod i IdP | Certifikatväljare: Google Chrome | Certifikatväljare: Microsoft Edge | Certifikatväljare: Internet Explorer 11 och IE11-mode i Edge |
---|---|---|---|
| Svårt att se vad som är rätt:
| Svårt att se vad som är rätt (men lite lättare):
|
|
PIN-dialoger (samma för alla) | |||
Legitimering | Underskrift | ||
|
|
Applikationer för användning av SITHS e-legitimation
Här hittar du information om och länkar/instruktioner för hur du hämtar de applikationer som användaren behöver vid användning av SITHS e-legitimation: Programvaror och tillbehör för SITHS
Applikationer för out-of-band (SITHS eID-apparna inkl. Mobilt SITHS)
På nedan sidor hittar du information om den nya SITHS eID appen och Mobilt SITHS samt filmer och bilder som ytterligare beskriver Utfärdande av Mobilt SITHS, samt legitimering och underskrift med SITHS eID appen:
SITHS eID-appen är under införande och är primärt till för legitimering och underskrift i tjänster som stödjer Referensarkitekturen för Identitet och åtkomsthantering
Flöden för legitimering och underskrift med out-of-band
Legitimering med SITHS eID
Underskrift med SITHS eID
Applikationer för dubbelriktad TLS (mTLS)
SITHS eID-appen för Windows
Från och med version 2.0 av SITHS eID-appen för Windows kommer detta finnas paketeringar som installerar stöd för båda autentiseringslösningarna out-of-band och dubbelriktad TLS (mTLS).
För mer information om SITHS eID för Windows se:
Inloggning och autentisering på Windows
Innehållsförteckning
Revisionshistorik
Version | Datum | Författare | Kommentar |
---|---|---|---|
1.0 |
| SITHS Förvaltning | Etablering av sidan. |
1.01 |
| SITHS Förvaltning | Uppdatering av en felaktig länkning |
1.1 |
| SITHS Förvaltning | Lade till information om hur användarupplevelsen är vid interaktiv inloggning till Windows, samt upplåsning av kort vi inloggningsskärmen. |
1.11 |
| SITHS Förvaltning | Lade till länk till SITHS sida för programvaror |
1.12 |
| SITHS Förvaltning | Lade till länk för information om PIN-SSO till skillnad mot IdP-baserad SSO under rubriken Interaktiv inloggning till Windows med SAC minidriver |
1.13 |
| SITHS Förvaltning | borttag av Net iD |
Interaktiv inloggning till Windows-dator med SITHS eID på kort
Klicka nedan för att läsa mer om inloggning till Windows-dator med SITHS eID på kort.
Support kring interaktiv inloggning till Windows-datorer med SITHS eID på kort hanteras dock inte via Inera. Hjälp med att aktivera detta och support vid problem måste säkras via egna supportavtal om din organisation inte känner sig säker på att kunna hantera detta med egna resurser.
Sammanfattning
Från och med maj 2022 har Windows påbörjat en förändring som i grunden förändrar hur interaktiv inloggning till Windows-dator med SITHS eID på kort kommer att fungera. För mer information se Instruktion - Förändring vid inloggning till Windows med SITHS-certifikat
Om användaren har ett användarnamn (domäninloggningsnamn) angivet i HSA när certifikatet eller kortet beställs inkluderas det i certifikatet som ett “User Principal Name”. Certifikatet får då också övriga egenskaper som behövs för att det ska gå att använda vid interaktiv inloggning till Windows istället för angivande av användarnamn och lösenord.
Vid denna typ av interaktiv inloggning kommer även inloggning till övriga applikationer som hanterar autentisering med hjälp av samma samma AD-miljö att kunna hanteras via PIN-SSO/Pin-cache. För mer information se rubriken Autentiseringslösningar för SITHS på denna sida.
Förutsättningar
Något av följande krävs för att ge stöd för interaktiv inloggning till Windows tillsammans med SITHS eID på kort:
Lokalt i er organisation
Att ni installerar nedan mjukvara på klientdatorerna i er organisation. Information om och nedladdning av mjukvaror för SITHS finns här Programvaror och tillbehör för SITHS
Installera SITHS eID-app med tillägget MD (minidriver) på aktuella Windows-datorer
Att ni konfigurerar er lokala AD-installation och aktuella AD-konton enligt instruktioner från Microsoft för hur man implementerar stöd för inloggning till Microsoft AD med certifikat från en tredjepartsutfärdare (SITHS)
Detaljer
Interaktiv inloggning till en dator (“lokal datorinloggning”) med Windows styrs enligt Windows-arkitekturen av s k autentiseringsmoduler (authentication providers) i operativsystemet. Microsoft rekommenderar inte att byta ut de inbyggda autentiseringsmodulerna till tredje-parts-programvara. Det gör att de autentiseringsmöjligheter som finns är begränsade till det som tillhandahålls i Windows. En sådan möjlighet är att använda smarta kort som följer Microsofts Minidriver-specifikation.
I miljöer där säker åtkomst till applikationerna är det primära och klientdatorerna ses som delade arbetsplatser, kan det vara lämpligast att endast kräva SITHS-kort vid applikationsåtkomst och inte för inloggning till klientdatorn.
Om man vill använda SITHS-kortet för den interaktiva inloggningen till Windows-datorer, kan SITHS eID-appen för Windows installationspaket med tillägget MD användas. I dessa paketeringar ingår
en minidriver (SAC minidriver) med stöd för SITHS-korten.
en funktion för att låsa upp ett låst SITHS-kort vid Windows inloggningsskärm med hjälp av upplåsningskod (puk).
Interaktiv inloggning till Windows med SAC minidriver
Välj ditt användarnamn
Välj Inloggningsalternativ
Välj smartkortssymbolen
Det kan finnas flera om flera kortläsare och kort är anslutna till datorn
Ange din pin-kod
Notera att inloggningen med SITHS-kortet sker lokalt mot Windows/AD med hjälp av det inbyggda stödet för smarta kort i Windows. I Windows/AD-miljön ställs s.k. Kerberos-biljetter ut för att användaren ska få åtkomst till olika Windows-resurser. Denna teknik är dock inte kopplad till den IdP-baserade inloggning som beskrevs ovan, vilket medför att kortinloggning i Windows/AD i sig inte ger SSO-funktionalitet mot tjänster som är kopplade till IdP.
SITHS eID för Windows i MD-paketnering (med SAC minidriver) i standardutförande en funktion som för SSO mot det smarta kortet som också behöver beaktas utöver eventuell IdP-baserad SSO. Läs mer om PIN-cache/PIN-SSO på denna sida: https://inera.atlassian.net/wiki/spaces/IAM/pages/2895216838/Autentiseringsl+sningar+f+r+SITHS#Pin-cache-och-Pin-SSO.
SITHS eID för Windows i MD-paketering (med SAC minidriver) funktion är att agera drivrutin mot SITHS-kortet och importera certifikaten till Windows-datorns “MyStore” och därigenom göras dem valbara för användaren vid Windows inloggningsskärm förutsatt att AD-miljön har konfigurerats korrekt.
Upplåsning av blockerat kort med PUK vid Windows inloggningsskärm med SAC minidriver
Steg 1 | Steg 2 | Steg 3 | Steg 4 | Felhantering |
---|---|---|---|---|
|
|
|
|
|
Referenser
Autentisering med SITHS eID (inkl. Mobilt SITHS) “out-of-band” till applikationsresurser i Windows-miljö
Detta scenario stödjer inte inloggning vid Windows-datorer via inloggningsskärmen. Utan endast inloggning till applikationer efter att användaren loggat in på Windows-datorn.
För information om inloggning till Windows se avsnittet Interaktiv inloggning till Windows-dator med SITHS-kort ovan.
Klicka nedan för att läsa mer om inloggning till applikationer efter att du loggat in till Windows-datorn då även användning av SITHS eID-appen och Mobilt SITHS stöds.
SITHS eID på kort respektive mobil enhet tillsammans med autentiseringslösngar baserade på out-of-band teknik går att integrera som primära alternativt kompletterande autentiseringsmetoder i en lokal Windows-miljö. Detta möjliggör autentisering mot kopplade applikationsresurser i Windows-miljön, t.ex. Office365, Google Apps eller dylikt.
För att åstadkomma detta behöver organisationens AD-installation (Azure AD eller ADFS) anslutas för att konsumera autentiseringsmetoderna som tillhandahålls av Inera Autentiseringstjänst.
Det är även möjligt att integrera en lokal “on-prem” AD-installation med Azure AD och på så sätt skapa en hybrid-lösning där användare som är kopplade till den lokala AD-installationen kan autentiseras via Azure AD, som i sin tur är kopplad till autentiseringsmetoderna för SITHS eID.
Generella förutsättningar
Lokalt i er organisation
Azure AD alternativt ADFS används i rollen som lokal IdP (Legitimeringstjänst). Anslutning för autentiseringsmetoderna görs enligt något av nedanstående anslutningsmönster.
Klientprogramvaran SITHS eID-app för Windows-datorer installeras
Vid behov laddas SITHS eID-app för mobila enheter ner och användarna hämtar Mobilt SITHS
AD-installationen konfigureras med vilka applikationsresurser som ska kräva/använda vilken autentiseringsmetod.
Vid behov hanteras eventuell hybridlösning med on-prem AD-installation i kombination med Azure AD.
Anslutningsmönster IdP-proxy
I detta alternativ ansluts AD-installationen till Ineras IdP enligt anslutningsmönstret “IdP-proxy”. Endast Azure AD stöds av Microsoft i detta anslutningsmönster.
Förutsättningar
Lokalt i er organisation
Azure AD används i rollen som lokal IdP. Denna behöver anslutas till Inera IdP för konsumtion av autentiseringsmetoderna SITHS eID på kort respektive mobil enhet.
Följ anvisningar för anslutning hos Inera Säkerhetstjänster enligt referens nedan. Se även MS dokumentation för anslutning av en SAML 2.0 Identity Provider (IdP).
Inera IdP tillhandahåller autentisering med SITHS eID och out-of-band-teknik med hjälp av Inera Autentiseringstjänst.
Anslutningsmönster: Anslutning till Inera Autentiseringstjänst
I detta alternativ ansluts lokal AD FS eller en Azure AD-installation till Inera Autentiseringstjänst.
I denna konfiguration stödjer Microsoft officiellt s.k. multifaktorautentisering (MFA) i Windows-miiljön, vilket innebär att autentisering med SITHS eID kan användas som komplement till en primär autentiseringsmetod. Exempelvis om den primära metoden är användarnamn+lösenord, kan man även kräva autentisering med SITHS eID i ett extra användarsteg.
Förutsättningar
Lokalt i er organisation
AD FS alternativt Azure AD ansluts till Inera Autentiseringstjänst för konsumtion av autentiseringsmetoderna SITHS eID på kort respektive mobil enhet. Följ anvisningar för anslutning hos Inera Säkerhetstjänster.
Inera Autentiseringstjänst tillhandahåller autentisering med SITHS eID och out-of-band-teknik.
Referenser
Hybrid-lösning med AD och Azure AD
Inläsning av SITHS eID på kort i Windows
Innehållsförteckning
Revisionshistorik
Version | Datum | Författare | Kommentar |
---|---|---|---|
1.0 | 2022-08-26 | SITHS Förvaltning | Etablering av sidan. |
1.1 | 2022-09-07 | SITHS Förvaltning | Justering av innehålls då beskrivning av autentiseringslösningarna för SITHS passade bättre in under andra delar av dokumentationen. |
Översikt
När ett SITHS-kort sätts in i kortläsaren på en dator behövs först och främst en programvara/drivrutiner som kan kommunicera med just SITHS-kortet. Denna programvara har under många år varit Net iD Enterprise.
Från och med hösten 2022 kommer istället SITHS eID-appen för Windows att levereras i en version som innehåller nödvändiga drivrutiner.
Denna sida handlar primärt om inläsning av SITHS eID-certifikat från SITHS-korten oavsett vilken autentiseringslösning och applikation som används.
Mer information om de olika applikationerna för SITHS finns på dessa sidor:
Datorns kommunikation med SITHS-kortet
Det båda dessa autentiseringslösningar har gemensamt är att de behöver drivrutiner på datorn för att kunna kommunicera med SITHS-kortet.
Net iD Enterprise är den programvara som har installerat drivrutinerna fram till hösten 2022
Från och med hösten 2022 levereras SITHS eID-appen för Windows i ett antal olika paketeringar som även installerar nödvändiga drivrutinerna för SITHS-kortet. Själva drivrutinerna tillhandahålls då av Thales/Safenet (som också är de som tillverkar SITHS-korten). Den underliggande programvaran som innehåller drivrutinen heter Safenet Authentication Client (SAC).
Drivrutinen som möjliggör metoden Dubbelriktad TLS (mTLS) bör inte installeras samtidigt med både SITHS eID-appen och Net iD Enterprise.
Därför kommer SITHS eID-appen att levereras i flera olika paketeringar. Paketeringarna kan delas in i tre grundkategorier:
Paket som fortsatt använder Net iD Enterprise som drivrutin för mTLS
Använder SAC PKCS#11 som drivrutin för out-of-band metoden.
Paket istället använder drivrutinen SAC minidriver för mTLS
Paket som bara stödjer autentiseringslösningen out-of-band med drivrutinen SAC PKCS#11. Dessa pakteringar har alltså inte stöd för mTLS.
Paketeringar
De olika pakteringarna för SITHS eID-appen för Windows beskrivs på sidan Ladda ner SITHS eID Windowsklient.
Detaljerad arkitektur för applikationer och drivrutiner för SITHS-kort
De olika applikationerna och autentiseringslösningarna har olika integration mot drivrutinerna för SITHS-korten. Nedan finns mer detaljerade skisser över hur integrationen mot SITHS-kortet går till beroende på vald autentiseringslösning.
Kontrollera att SITHS eID-certifikaten har lästs in av drivrutiner för SITHS-kort
Innan någon av autentiseringslösningarna kan fungera måste det finnas drivrutiner för SITHS-kortet. Dessa installeras tillsammans med SITHS eID-appen from. version 2.0 (tidigare versioner använde Net iD Enterprise)
1 - Sätt i kort i kortläsaren
2 - Net iD ikonen ska snurra (ser lite olika ut per version
3 - Högerklicka på Net iD ikonen och välj ”Administration”
4 - Kontrollera att Net iD hittar kortläsaren (i exemplet finns två stycken anslutna till datorn)
5 - Klicka på kortläsaren för att se vilka certifikat som Net iD hittar på kortet i högra rutan (I exemplet har jag valt ”Alcor Micro USB Smart Card Reader 0”
Oftast - 2 stycken Telia certifikat, ett för legitimering och ett för underskrift
Alltid - minst 2 stycken SITHS certifikat, ett för legitimering och ett för underskrift
Eventuellt - 1 stycken Rotcertifikat för att underlätta installation av tillit till SITHS, vilket krävs på klient.
Drivrutiner för kortläsare
Om datorn och kortläsaren har problem att hitta certifikaten är det en bra idé att kontrollera vilka drivrutiner kortläsaren använder
1 - Starta enhetshanteraren på klientdatorn
2 - Leta rätt på fliken för ”Smartkortsläsare”
3 - Dubbelklicka på kortläsaren och välj fliken ”Drivrutin” Säkerställ att ”Leverantör” inte är Microsoft, då deras standarddrivrutiner inte är bra. Se också till att det är ett så nytt datum som möjligt i fältet för datum.
Autentiseringslösningen med SITHS eID-Windowsapp (Out-of-band)
SITHS eID-apparna använder en typ av inloggning där man inte förlitar sig på att certifikaten importerats till Windows.
För att SITHS eID på SITHS-kort ska fungera tillsammans med SITHS eID-Windowsapp måste ändå certifikaten hittas av Net iD Eller SAC minidriver för att lösningen ska fungera.
Om du har problem med att klienten uppmanar användaren att sätta i sitt SITHS-kort fast kortet sitter i läsaren:
Säkerställ att appen är konfigurerad mot rätt miljö för det kort som sitter i läsaren:
TEST → TEST eller QA-miljö
Produktion → Produktion
se även rubriken: Kontrollera att SITHS eID-certifikaten på SITHS-kortet hittas av kortläsaren och drivrutinen på klientdatorn
1 - Så här ser SITHS eID-appen ut när:
det saknas kort i kortläsaren
Eller om certifikaten inte kunde läsas in korrekt från kortet.
Kan bland annat orsakas av dåliga drivrutiner för kortläsaren
2 - Så här ser SITHS eID-appen ut när:
Kortet och certifikaten har lästs in korrekt
Rätt version av appen är installerad. Alt. för senare versioner appen är konfigurerad mot rätt driftsmiljö
Kortet innehåller certifikat för den miljö appen är konfigurerad att använda
3 - Första gången ett SITHS-kort används i SITHS eID-appen måste det registreras mot servern
4 - Därefter kan det användas för inloggning i olika e-tjänster
Autentiseringslösningen Dubbelriktad TLS (mTLS)
En förutsättning för att kunna logga in med autentiseringslösningen Dubbleriktad TLS (mTLS) är att även Windows har importerat certifikaten.
1 - Kontrollera att certifikaten lästs in till Windows genom att starta programmet certmgr.msc på klientdatorn. Detta kan du starta i ”kör-dialogen” Windows+R
2 - Navigera till ”Certifikat – Aktuell användare/Personliga/Certifikat” (i exemplet hittar vi samtliga 4 personcertifikat)
Information som kan utläsas från respektive certifikat
1 - När det skapades och hur länge det är giltigt
2 - Vem det är utfärdat till
3 - Vilken Certifikatutfärdare (CA) det utfärdades av
4 - Information om personen (ex. E=E-post OBS! (Måste finnas om man ska kunna signera beställningar i SITHS Admin) SERIALNUMBER=HSA-id)
5 - Vad certifikatet har för serienummer (varje tillverkat certifikat har ett unikt)
6 - Om det är ett certifikat avsett för Legitimering/Autentisering eller Underskrift/Signering
7 - Om certifikatet går det att använda för att logga in i AD
Se även: Instruktion - Förändring vid inloggning till Windows med SITHS-certifikat
8 - Går det att använda för att kryptera/signera e-post
9 - Vilket kort certifikatet utfärdades till
Inloggning och autentisering på MacOS
Utveckling av SITHS eID-app för MacOS är beställt. Mer information kommer.
Inloggning och autentisering på Linux
Endast autentiseringslösningen Dubbelriktad TLS/Mutual TLS (mTLS) stöd på Linux
Inera levererar med hjälp av Thales SAC en PKCS#11-drivrutin som stödjer SITHS-korten på Linux.
Hur denna drivrutin installeras varierar beroende på vilken typ av Linuxoperativsystem som används. Användning av SITHS på Linux har primärt införts för användning tillsammans med tunna klienter. Se även information under Tunna klienter baserade på Linux
Nedladdning av SAC i Linuxpaketering görs via Thales nedladdningssidor. Där hittar du även Release Notes och övrig dokumentation.
Användning av SITHS på tunna klienter och virtualiserade klientplattformar (VDI)
Innehållsförteckning
- Innehållsförteckning
- Revisionshistorik
- SITHS eID-appen på tunna klientplattformar
- Tunna klienter baserade på Linux
- Kända fel
Revisionshistorik
Version | Datum | Författare | Kommentar |
---|---|---|---|
1.0 |
| SITHS Förvaltning | Etabering av sidan. tillägg av information om att IgelOS kräver att man inaktiverar apparmor för att SAC PKCS#11 ska fungera. Samt att man måste ha Windows PUSH-notification service igång för att SITHS eID-appen ska fungera på Citrix på Windows Server. |
1.01 |
| SITHS Förvaltning | Tog bort information om att appen har ett beroende till och även kraschar om inte tjänsten Windows Push Notifications User Service (WpnUserService) körs på värd-datorn. Detta beroende existerar inte efter version 2.0.8481 av SITHS eID-appen för Windows. |
1.02 | SITHS Förvaltning | Borttag av Net id info. | |
|
|
|
|
SITHS eID-appen på tunna klientplattformar
Inera tillhandahåller begränsad support för användning av SITHS eID-appen på tunna klienter och virtualiserade klientplattformar (VDI). För att erhålla denna support krävs att ni som kund tecknar ett extra supportavtal. Beställning av VDI-support kan göras via det formulär som hittas här: Beställ och ändra
Tunna klienter baserade på Linux
För att möjliggöra läsning av SITHS-kort på VDI-lösningar där användaren når virtualiseringsdatorn från en tunn klient med operativsystemet Linux levererar Inera med hjälp av Thales SAC en PKCS#11 drivrutin för SITHS-korten på Linux. Denna drivrutin skapar förutsättningar för att SITHS-kortet sedan ska kunna användas tillsammans med valfri paketering av SITHS eID-appen i det virtualiserade operativsystemet (oftast Windows).
Linuxoperativsystem som innehåller SAC PKCS#11
SAC PKCS#11-drivrutin distribueras automatiskt tillsammans med följande operativsystem:
Operativsystem | OS-version | SAC-version |
---|---|---|
IGEL OS | 10.08.200 | 10.8.2452.0 |
Exempel på testfall som kan genomföras i lokal miljö
Inloggning till virtualiseringsplattform (VMware & Citrix)
Användaren ska kunna använda SITHS Autentisering för åtkomst till virtualiserad desktop, där användarens enhet kan vara en tunn klient.
Inloggning till den virtualiserade klientplattformen (typiskt Windows 10) antas hanteras av virtualiseringsplattformen själv (konfigurationsarbete som behöver göras i wmware och i IdP som ansluts till vmware).
Installera SITHS eID Windowsklient på windowsklient + SAC Minidriver
Installera SITHS eID Mobilklient på mobil enhet
Utfärda och aktivera Mobilt SITHS eID på mobil enhet
a. https://mobiltsiths.ineratest.org
Logga in i VMware miljön med Windowsklient och SITHS-kort
Välj ”denna enhet”
Resultat:
Logga in i VMware miljön med Mobilklient och Mobilt SITHS eID
Välj ”annan enhet”
Resultat:
Logga in i VMware miljön med mTLS
Välj ”NetID” (motsvarar dubbelriktad TLS)
Resultat:
Inloggning till e-tjänst från virtualiseringsplattform (VMware)
Inloggning till e-tjänst (SP via IdP) från den virtualiserade klientplattformen.
SITHS eID Windowsklient behöver kunna kommunicera med kortläsare via PC/SC, dvs. förutsättningar för detta måste virtualiseringsplattformen tillhandahålla.
Installera SITHS eID Windowsklient + SAC Minidriver i den virtualiserade miljön
Logga in i en e-tjänst med Windowsklient
Välj ”denna enhet”
Resultat:
Logga in i en e-tjänst med Mobilklient
Välj ”annan enhet”
Resultat:
Logga in i en e-tjänst med mTLS
Välj ”NetID” (motsvarar dubbelriktad TLS)
Resultat:
Logga in i flera e-tjänster (SSO, samma IDP)
Resultat:
Logga in i flera e-tjänster (SSO, olika IDPer)
Resultat:
Kända fel
SAC PKCS#11 fungerar/startar inte på IGEL OS
För att SAC PKCS#11 ska tillåtas köras på IGEL OS måste system.security.apparmor inaktiveras. Detta kan antingen göras i via IGEL UMS eller i samband med Setup av IGEL OS.
Utfärdande av SITHS eID
SITHS Admin (gamla lösningen)
SITHS Admin och gamla Mina sidor avvecklas under 2024 och ersätts av SITHS eID Portal och SITHS eID Mina sidor
SITHS eID Portal
SITHS eID Portal lanseras under 2024
Följande information gäller från och med lansering av nya SITHS eID Portal och Mina sidor.
Innehållsförteckning
Revisionshistorik
Version | Datum | Författare | Kommentar |
---|---|---|---|
1.0 |
| SITHS Förvaltning | Etablering av dokument inför kommande lansering av SITHS eID Portal |
1.01 |
| SITHS Förvaltning | Justering av rubriknivåer och publicering av sidan. |
1.02 |
| SITHS Förvaltning | Uppdaterat med information om att upplåsning av kort med hjälp id-administratör respektive Mobilt SITHS endast fungerar för Ordinarie kort med produktnummer 7XX |
SITHS eID Portal
SITHS eID Portal används av ID-administratörer i de organisationer som är anslutna till SITHS. I SITHS eID Portal jobbar ID-administratörer exempelvis med att:
Beställa SITHS eID till kort och reservkort för användare i sina organisationer
Beställa SITHS Funktionscertifikat till servrar och tjänster i sina organisationer
Spärra SITHS eID, Bärare och SITHS Funktionscertifikat
Mina sidor
SITHS eID Mina sidor används av innehavare av SITHS eID. I Mina sidor kan användare:
Administrera SITHS eID på sina kort
Hantera Mobilt SITHS
Kompatibilitetsinformation
Under detta avsnitt listas vilka versioner av operativsystem, webbläsare och SITHS eID-appar som supporteras av SITHS eID Portal och Mina sidor samt vad användaren kan göra beroende på hur hen har loggat in
För att få tillgång till rättningar krävs att supporterad hårdvara och mjukvara enligt listorna nedan används.
Full funktionalitet
För att få tillgång till full funktionalitet i SITHS eID Portal och Mina sidor krävs att du har rätt programvaror och versioner.
Observera att SITHS eID Portal och SITHS eID Mina sidor fungerar inte med Internet Explorer 11 eller Edge i Internet Explorer11-läge.
Operativsystem | Operativsystem - version | Webbläsare | SITHS eID-app (för inloggning) |
---|---|---|---|
Windows6 |
Support för användning på:
| Microsoft Edge Google Chrome | SITHS eID-app för Windows 2.1 eller senare |
Full funktionalitet - tillgängliga funktioner
Med ovan programvaror och versioner kan du sammanfattningsvis använda följande funktioner.
SITHS eID Portal |
|
Certifikatadministration på SITHS-kort:
|
SITHS Mina sidor |
|
Certifikatadministration på SITHS-kort:
|
Begränsad funktionalitet
Beroende på vilka programvaror och versioner du använder kan det finnas begränsningar i vilka funktioner som du kan använda i SITHS eID Portal och Mina sidor.
Operativsystem | Operativsystem - version | Webbläsare | SITHS eID-app (för inloggning) |
---|---|---|---|
Windows6 |
Support för användning på:
| Microsoft Edge Google Chrome | SITHS eID-app för Mobilt SITHS
|
macOS |
| Safari Google Chrome | SITHS eID-app för macOS 1.0 eller senare7 |
SITHS eID-app för Mobilt SITHS | |||
Android9 | Användningen är dock beroende på tillräcklig skärmstorlek och upplösning.
|
Webbläsaren ska vara inställd som standardwebbläsare. | SITHS eID-app för Mobilt SITHS |
iOS9 | Användningen är dock beroende på tillräcklig skärmstorlek och upplösning.
|
Webbläsaren ska vara inställd som standardwebbläsare. | SITHS eID-app för Mobilt SITHS |
Kommentarer
1 - Portal samt Mina Sidor bedöms fungera men vissa begränsningar kan föreligga beroende på hur den virtualiserade miljön samt arbetsstationerna är konfigurerade, vilket gör att kund har ett större ansvar i felsökning och påvisande av var felet ligger. Tester genomförs primärt på Citrix i kombination med Windows och Linux som klientoperativ.
2 - Fungerar från version 2.1 av SITHS eID Mina sidor. Endast för Ordinarie kort med korttyp IDPrime 940 SIS med kortprodukt 7XX
6 - Inera ämnar följa rekommendationerna i eKlients kravbibliotek gällande vilka versioner av Windows som ska stödjas. När Microsoft släpper en ny release är målet att ha testat stödet för denna inom 6 månader.
OBS! Vi supporterar endast de versioner av Windows som Microsoft själva supporterar. Nedan följer länkar till Microsofts livscykelplaner för Windows:
7 - Stödjer endast korttyp IDPrime 940 SIS med produktnummer 6XX, 7XX.
8 - Stödjer endast Ordinarie kort med korttyp IDPrime 940 SIS med produktnummer 7XX (utfärdade i SITHS eID Portal).
9 - För supporterade versioner av mobila operativsystem, se rubriken Hårdvara och operativsystem för mobila enheter i Användarhandbok SITHS eID-app för Mobilt SITHS
Begränsad funktionalitet - tillgängliga funktioner
Med ovan programvaror och versioner kan du sammanfattningsvis använda följande funktioner.
SITHS eID Portal |
|
SITHS Mina sidor |
|
Referenser
Sökvägar för inloggning, samt IP-adresser som behöver vara åtkomliga för lösningen till respektive miljö för SITHS eID Portal och SITHS eID Mina sidor hittar du här: Nätverksinställningar för SITHS
För klientprogramvaror se: Programvaror och tillbehör för SITHS
Publicering till HSA
SITHS publicerar viss information om kort och certifikat till personobjekt och funktionsobjekt i HSA
Innehållsförteckning
Klicka nedan för att visa innehållsförteckning
Revisionshistorik
Klicka nedan för att visa revisionshistorik
Version | Datum | Författare | Kommentar |
---|---|---|---|
1.0 | 2023-03-03 | SITHS Förvaltning | Etablering av sidan. |
1.1 |
| SITHS Förvaltning | Justering efter lansering av SITHS eID Portal |
1.11 |
| SITHS Förvaltning | Smärre textuella justeringar om när publicering sker. Justering av att personnummercertifikat till kort inte heller publiceras till HSA. |
Information som publiceras till HSA
Certifikat för Mobilt SITHS och certifikat med personnummer eller samordningsnummer till kort publiceras INTE till HSA
I övrigt publiceras alla certifikat med HSA-id som tillhör ett SITHS-kort eller en funktion till HSA förutsatt att Organisationen har denna konfiguration aktiv (Default on) i SITHS eID Portal. Om publiceringen avser ett certifikat till ett kort skickas även information om kortet MIFARE-serienummer med till HSA.
Vissa delar av informationen extraheras från av HSA från det certifikat som SITHS eID Portal levererar i attributet userCertificate;binary och lyfts ut som de egna attribut enligt listan nedan.
Vad publiceras och när
Publicering
SITHS eID Portal försöker publicera till HSA direkt vid nedan angivna tillfällen. Det skapas också en publiceringsorder som läggs på kö och där publiceringsförsök görs var 5:e minut för att hantera eventuella misslyckade publiceringar.
Publicering sker vid följande tillfällen:
När ett Ordinarie SITHS-kort eller Reservkort tillitsnivå 3 aktiveras
När ett nytt Reservkort tillitsnivå 2 aktiveras i Mina sidor (oavsett tillitsnivå)
När ett nytt SITHS eID eller Underskriftscertifikat hämtas till ett redan aktiverat SITHS-kort via Mina sidor
När ett funktionscertifikat utfärdas via SITHS eID Portal
När en id-administratör trycker på knappen Publicera till katalog för ett funktionsobjekt eller ett SITHS-kort.
Vid denna typ av publicering används inte köhanteringen
Publicering sker på c=SE-nivån i HSA. Certifikat för Mobilt SITHS publiceras inte till HSA.
Det betyder att på alla ställen/poster i hela katalogen där personens eller funktionens HSA-förekommer publiceras certifikat- och i förekommande fall kortinformation.
Informationen publiceras enligt följande matris:
Skickas från SITHS eID Portal | Populeras till följande attribut i HSA | Information |
---|---|---|
certificate | userCertificate;binary | Varje komplett certifikat i binär form |
validNotAfter | Giltig till för varje certifikat | |
validNotBefore | Giltig från för varje certifikat | |
serialNumber | certifikatserienummer för varje certifikat | |
cardNumber | kortserienummer Ej för funktionscertifikat | |
hsamifareserialnumber | hsaMifareSerialNumber | kortserienummer@mifareserienummer Mifare-serienumret omvandlas från hex till decimalt värde via ett bytevis inverterat binärt värde Ej för funktionscertifikat |
employeeid/functionid | N/A | HSA-id för den person eller funktions som publiceringen av ser |
base | N/A | Den sökbas som SITHS eID Portal önskar använda vid publiceringen. För tillfället används inte detta utan publicering sker till alla instanser av aktuellt HSA-id i hela katalogen. |
Avpublicering
SITHS eID Portal försöker avpublicera till HSA direkt varje gång ett kort eller certifikat spärras. Det skapas också en avpubliceringsorder som läggs på kö och där avpubliceringsförsök görs var 5:e minut för att hantera eventuella misslyckade avpubliceringar.
1 - Viss kort- och certifikatsinformation tas endast bort när HSA inte längre hittar några certifikat som matchar ett visst kort eller attribut.
Avpublicering sker på c=SE-nivån i HSA
Det betyder att på alla ställen/poster i hela katalogen där personens eller funktionens HSA-förekommer tas certifikat- och i förekommande fall kortinformation bort från posten.
Informationen avpubliceras enligt följande matris:
Skickas från SITHS eID Portal | Följande attribut i HSA tas bort | Information |
---|---|---|
employeeid/functionid | N/A | HSA-id för den person eller funktions som publiceringen av ser |
serialnumber | userCertificate;binary | Varje komplett certifikat i binär form |
serialNumber | certifikatserienummer för varje certifikat | |
validNotAfter1 | Giltig till för varje certifikat | |
validNotBefore1 | Giltig från för varje certifikat | |
cardNumber1 | kortserienummer Ej för funktionscertifikat | |
hsaMifareSerialNumber1 | kortserienummer@mifareserienummer Mifare-serienumret omvandlas från hex till decimalt värde via ett bytevis inverterat binärt värde Ej för funktionscertifikat | |
base | N/A | Den sökbas som SITHS eID Portal önskar använda vid publiceringen. För tillfället används inte detta utan publicering sker till alla instanser av aktuellt HSA-id i hela katalogen. |
Städning av utgångna och spärrade certifikat
Varje dygn ~18:40 kör HSA ett rensningsscript på det nationella kataloghotellet som undersöker om det finns något giltigt certifikat till varje certifikats- eller kortattribut. Så länge det finns ett giltigt certifikat som innehåller samma värde som attributet, så kommer informationen inte att tas bort. Samma gäller för cardNumber och hsaMifareSerialNumber, och om det inte finns något giltigt certifikat med samma cardNumber tas det bort.
Detaljerad information om publicering av Mifare-serienummer och hsaMifareSerialNumber
Teckenlängd för mifare-serienumret
Värdet kan bli 1-10 tecken långt.
Uppbyggnad av hsaMifareSerialNumber
mifareserienummer delen av hsaMifareSerialeNumber byggs upp enligt följande
Det Hexadecimala serienumret för MIFARE-chipet, tex: DBB94D53
Omvandlas till ett binärt värde: 1101 1011 1011 1001 0100 1101 0101 0011
Det binära värdet inverteras: 0101 0011 0100 1101 1011 1001 1101 1011
Det inverterade binära värde omvandlas till ett decimalt: 1397602779
Det decimala värdet är det som publiceras till HSA som hsaMifareSerialNumber enligt syntaxen: <kortets serienummer>@<decimalt mifare-serienummer>, tex. <kortets serienummer>@1397602779
SITHS Testsida
Sökvägar för testsidor
Produktion
TEST & QA-miljöer
Förutsättningar
Klicka nedan för att visa förutsättningar för Testsidan
OBS! Det går endast att installera en SITHS eID app åt gången. Vill man använda olika miljöer måste man göra en ominstallation till en app som använder rätt miljö.
På Android fungerar det dock att ha flera appar installerade samtidigt då operativsystemet har funktioner som låter användaren välja vilken av apparna som ska öppnas.
Användaren behöver ha någon av SITHS klientapplikationer:
SITHS eID - Inloggningsmetoderna "SITHS eID på denna enhet" och "SITHS eID på annan enhet" kräver att användaren har någon av SITHS eID apparna och en giltig e-legitimation, för mer information: Utgivning och användning av SITHS e-legitimation
Net iD Enterprise - Inloggningsmetoden "Net iD på denna enhet med SITHS e-legitimation" behöver användaren ha Net iD Enterprise, för mer information: Programvaror och tillbehör för SITHS
En giltig e-legitimation och klientapplikation för rätt miljö enligt nedan matris:
Rätt SITHS eID app och SITHS e-legitimation för rätt miljö
Miljö | SITHS eID app | Typ av SITHS-kort | Net ID |
---|---|---|---|
TEST | T SITHS eID | TEST-kort | Net iD Enterprise (samma för alla miljöer) |
QA | QA SITHS eID | ||
Produktion | SITHS eID | Produktionskort |
Funktionscertifikat - Legitimering av server
Avsnittet ska kompletteras
För att utfärda SITHS Funktionscertifikat se SITHS Funktionscertifikat - Användarguide
Sökvägar och brandväggsöppningar
Här hittar du information om sökvägar och brandväggsöppningar för SITHS
Revisionshistorik
Klicka nedan för att visa revisisonshistorik
Version | Datum | Författare | Kommentar |
---|---|---|---|
1.0 | 2021-02-02 | SITHS Förvaltning | Fastställande av sida och komplettering för SITHS eID och Mobilt SITHS |
1.01 | 2021-02-03 | SITHS Förvaltning | Justerat länk till Nätverksinställningar för SITHS eID och Mobilt SITHS |
1.1 | 2021-02-04 | SITHS Förvaltning | Konsoliderat all information om nätverksinställningar till en sida samt städat gammal information |
1.11 | 2021-03-09 | SITHS Förvaltning | Tillägg av sökvägar för API:er |
1.2 |
| SITHS Förvaltning | Tog bort referenser till OCS/CRL för CrossBorder i:
|
1.3 |
| SITHS Förvaltning | Borttag av information om SITHS Root CA v1 och tillägg av information om nya IP-adresser efter flytten av SITHS Certifikatutfärdare som ska ske under 2023. |
1.31 |
| SITHS Förvaltning | Lade till schematisk skiss över DNS-uppslag och routinlogik |
1.4 |
| SITHS Förvaltning | Borttag av all data om SITHS Root CA v1 och dess adresser. |
1.5 |
| SITHS Förvaltning | Lade till information om SYSTEMTEST SITHS e-id Root CA v2 som kommer användas av SITHS eID Portalens nya DEV- och TEST-miljöer |
1.51 |
| SITHS Förvaltning | Uppdaterat med information om att brandväggar ska öppnas för utgående nätverkstrafik. |
1.52 |
| SITHS Förvaltning | Lade till information om generella öppningar för nya SITHS eID-lösningen och SITHS eID Portal. |
1.6 |
| SITHS Förvaltning | Kompletterade med med specifik information om sökvägar och nätverksinställningar för kommande SITHS eID Portal |
1.61 |
| SITHS Förvaltning | Justerade DNS-namn för CRL, OCSP och AIA utfärdade från DEV/TEST-miljö (internt för Inera/NMT) Lade till IP-adress för QA-miljön för Websocket som behöver vara öppen från alla klientnätverk som ska jobba mot SITHS eID Portal i QA-miljö (tidigare Preprod) |
1.62 |
| SITHS Förvaltning | Borttag av IPv6 för nya CRL, OCSP och AIA, samt justering i och med att QA nu är driftsatt för PKI |
1.63 |
| SITHS Förvaltning | Lade tillbaka information om IPv6 för QA och Produktion, men med information om att dessa pekas ut i DNS vid ett senare tillfälle. |
1.64 |
| SITHS Förvaltning | Lade till information om att det kan föreligga behov av att vitlista domännamn eller helt stänga av funktioner såsom proxy och trafikinspektion för åtkomst till Ineras tjänster. Justering av länk till Nätverksinställningar för tjänster inom identitet och åtkomst i och med migrering av data från leverantörens Confluence till Ineras. Borttag av länkar till gamla sökvägar och ip-adresser hos Telia |
1.65 |
| SITHS Förvaltning | Kompletterat med information om DNS-namn och IP-adress för IdP och Autentiseringstjänst för vilka det krävs brandväggsöppningar för användare som ska kunna logga in i SITHS eID Portal och/eller Mina sidor |
Innehållsförteckning
Klicka nedan för att visa Innehållsförteckning
Inledning
Denna sida innehåller information för tekniker om vilka nätverskinställningar som behöver säkerställas vid:
Utfärdande av SITHS e-legitimation till SITHS-kort i SITHS Admin och SITHS Mina sidor
Kontroll av att certifikat är giltiga (ej revokerade/spärrade)
Kunder med Sjunetuppkoppling ska ha tagit del av avsnittet:
Nätverksinställningar
IP-adresser, portar & protokoll per miljö
Nedan hittar du information om webbadresser och IP-adresser för tjänsten SITHS. För nyttjande av SITHS bör organisationer ha sina brandväggar öppna för Utgående trafik enligt nedan tabeller efter behov.
Vi rekommenderar att ni öppnar era nätverk för följande C-nät över antingen Internet eller Sjunet oavsett hur ni valt att routar er trafik:
82.136.182.0/24
82.136.183.0/24 och 2a01:58:6106::/48
Proxy och TLS-inspektion
Ineras IAM-tjänster är inte tänkta att användas via verktyg för inspektion av nätverkstrafik, t ex. proxy, TLS-inspektion eller annan teknik som riskerar att manipulera/påverka anropen från användarnas datorer till SITHS eID Portal, Mina sidor, Certificate Services, IdP och Autentiseringstjänsten.
Om ni använder detta och stöter på problem är rekommendationen att vitlista domännamn och IP-adresser för aktuell miljö och funktion.
Se även:
SITHS eID-apparna inkl. Mobilt SITHS, se: Nätverksinställningar för tjänster inom identitet och åtkomst
Produktion (SITHS e-id Root CA v2)
Klicka nedan för att visa information för Produktionsmiljön
SITHS eID Portal
Syfte | URL | Befintlig IP-adress (destination) | Protokoll/Port (destination) | Nätverk (source/hos kunden) | Kommentar |
---|---|---|---|---|---|
Internet/Sjunet | |||||
Inloggning för id-administratörer till SITHS eID Portal | 82.136.183.108 | HTTPS/TCP port 443 | Klientnätverk |
| |
Inloggning för användare till ”Mina sidor” | 82.136.183.108 | HTTPS/TCP port 443 | Klientnätverk |
| |
IdP som används för inloggning till SITHS eID Portal och Mina sidor | https://idp.siths.se | 82.136.183.103 | HTTPS/TCP port 443 | Klientnätverk |
|
Autentiseringstjänst som används av SITHS eID-apparna när man loggar in på SITHS eID Portal och Mina sidor | https://authservice.siths.se | 82.136.183.103 | HTTPS/TCP port 443 | Klientnätverk |
|
Uppkoppling av användares webbläsare och SITHS eID-app för certifikatadministration, aktivering av kort och upplåsning av puk med hjälp av id-administratör | wss://websocket-certificateservices.siths.se https://websocket-certificateservices.siths.se | 82.136.183.111 | WSS/TCP port 443 | Klientnätverk |
|
Uppkoppling av användarens SITHS eID-app mot SITHS eID-app för upplåsning av puk med hjälp av Mobilt SITHS | 82.136.183.112 | HTTPS/TCP port 443 | Klientnätverk |
|
CRL, AIA och OCSP
Syfte | URL | Befintlig IP-adress (destination) | Protokoll/Port (destination) | Nätverk (source/hos kunden) |
---|---|---|---|---|
Internet | ||||
Kontroll av om certifikat är spärrade (CRL) Policydokument | 82.136.183.246 IPv6-adresser - Pekas ut i DNS vid senare tillfälle 2a01:58:6106:5a01::246 | HTTP/TCP port 80 | Servernätverk och klientnätverk (alla användare) | |
Kontroll av om certifikat är spärrade (OCSP) |
| 82.136.183.247 IPv6-adresser - Pekas ut i DNS vid senare tillfälle 2a01:58:6106:5a01::247 | HTTP/TCP port 80 | Servernätverk och klientnätverk (alla användare) |
Bygga tillitskedja för certifikat (AIA) | 82.136.183.248 IPv6-adresser - Pekas ut i DNS vid senare tillfälle 2a01:58:6106:5a01::248 | HTTP/TCP port 80 | Servernätverk och klientnätverk (alla användare) | |
Sjunet | ||||
Kontroll av om certifikat är spärrade (CRL) Policydokument |
| 82.136.183.246 IPv6-adresser - Pekas ut i DNS vid senare tillfälle 2a01:58:6106:5a01::246 | HTTP/TCP port 80 | Servernätverk och klientnätverk (alla användare) |
Kontroll av om certifikat är spärrade (OCSP) | 82.136.183.247 IPv6-adresser - Pekas ut i DNS vid senare tillfälle 2a01:58:6106:5a01::247 | HTTP/TCP port 80 | Servernätverk och klientnätverk (alla användare) | |
Bygga tillitskedja för certifikat (AIA) | 82.136.183.248 IPv6-adresser - Pekas ut i DNS vid senare tillfälle 2a01:58:6106:5a01::248 | HTTP/TCP port 80 | Servernätverk och klientnätverk (alla användare) |
QA/Preproduktion (TEST SITHS e-id Root CA v2)
SITHS eID Portal
Syfte | URL | Befintlig IP-adress (destination) | Protokoll/Port (destination) | Nätverk (source/hos kunden) | Kommentar |
---|---|---|---|---|---|
Internet/Sjunet | |||||
Inloggning för id-administratörer till SITHS eID Portal | 82.136.183.76 | HTTPS/TCP port 443 | Klientnätverk |
| |
Inloggning för användare till Mina sidor | 82.136.183.76 | HTTPS/TCP port 443 | Klientnätverk |
| |
IdP som används för inloggning till SITHS eID Portal och Mina sidor | https://idp.qa.siths.se | 82.136.183.71 | HTTPS/TCP port 443 | Klientnätverk |
|
Autentiseringstjänst som används av SITHS eID-apparna när man loggar in på SITHS eID Portal och Mina sidor | https://authservice.qa.siths.se | 82.136.183.71 | HTTPS/TCP port 443 | Klientnätverk |
|
Uppkoppling av användares webbläsare och SITHS eID-app för certifikatadministration, aktivering av kort och upplåsning av puk med hjälp av id-administratör | wss://websocket-certificateservices.qa.siths.se https://websocket-certificateservices.qa.siths.se | 82.136.183.79 | WSS/TCP port 443 | Klientnätverk |
|
Uppkoppling av användarens SITHS eID-app mot SITHS eID-app för upplåsning av puk med hjälp av Mobilt SITHS | https://api-certificateservices.qa.siths.se | 82.136.183.80 | HTTPS/TCP port 443 | Klientnätverk |
|
CRL, AIA och OCSP
Syfte | URL | Befintlig IP-adress (destination) | Protokoll/Port (destination) | Nätverk (source/hos kunden) |
---|---|---|---|---|
Internet/Sjunet | ||||
Kontroll av om certifikat är spärrade (CRL). Policydokument | 82.136.183.150 IPv6-adresser - Pekas ut i DNS vid senare tillfälle 2a01:58:6106:3a05::150 | HTTP/TCP port 80 | Servernätverk och klientnätverk (alla användare) | |
Kontroll av om certifikat är spärrade (OCSP) | 82.136.183.151 IPv6-adresser - Pekas ut i DNS vid senare tillfälle 2a01:58:6106:3a05::150 | HTTP/TCP port 80 | Servernätverk och klientnätverk (alla användare) | |
Bygga tillitskedja för certifikat (AIA) | 82.136.183.152 IPv6-adresser - Pekas ut i DNS vid senare tillfälle 2a01:58:6106:3a05::150 | HTTP/TCP port 80 | Servernätverk och klientnätverk (alla användare) |
DEV och TEST (SYSTEMTEST SITHS e-id Root CA v2)
DEV och TEST-miljö är primärt till för förvaltningen på Inera. Undantaget är Mobilt SITHS där appen T SITHS eID i Appstore och Google Play används av vissa kunder vid integration till Ineras IdP i TEST-miljö. Därav kan även kundorganisationer behöva öppna brandväggarna enligt information under rubriken CRL, AIA och OCSP nedan.
SITHS eID Portal - TEST
Syfte | URL | Befintlig IP-adress (destination) | Protokoll/Port (destination) | Nätverk (source/hos kunden) |
|
---|---|---|---|---|---|
Internet OCH Sjunet |
| ||||
Inloggning för id-administratörer till SITHS eID Portal | 82.136.183.42 | HTTPS/TCP port 443 | Klientnätverk |
| |
Inloggning föranvändare till Mina sidor | 82.136.183.42 | HTTPS/TCP port 443 | Klientnätverk |
| |
IdP som används för inloggning till SITHS eID Portal och Mina sidor | https://idp.test.siths.se | 82.136.183.38 | HTTPS/TCP port 443 | Klientnätverk |
|
Autentiseringstjänst som används av SITHS eID-apparna när man loggar in på SITHS eID Portal och Mina sidor | https://authservice.test.siths.se | 82.136.183.38 | HTTPS/TCP port 443 | Klientnätverk |
|
Uppkoppling av användares webbläsare och SITHS eID-app för certifikatadministration, aktivering av kort och upplåsning av puk med hjälp av id-administratör | wss://websocket-certificateservices.test.siths.se https://websocket-certificateservices.test.siths.se | 82.136.183.48 | WSS/TCP port 443 | Klientnätverk |
|
Uppkoppling av användarens SITHS eID-app mot SITHS eID-app för upplåsning av puk med hjälp av Mobilt SITHS | 82.136.183.49 | HTTPS/TCP port 443 | Klientnätverk |
|
SITHS eID Portal - DEV
Syfte | URL | Befintlig IP-adress (destination) | Protokoll/Port (destination) | Nätverk (source/hos kunden) |
|
---|---|---|---|---|---|
Internet OCH Sjunet |
| ||||
Inloggning för id-administratörer till SITHS eID Portal | https://portal.dev.siths.se | 82.136.183.57 | HTTPS/TCP port 443 | Klientnätverk |
|
Inloggning föranvändare till Mina sidor | https://minasidor.dev.siths.se | 82.136.183.57 | HTTPS/TCP port 443 | Klientnätverk |
|
IdP som används för inloggning till SITHS eID Portal och Mina sidor | https://idp.dev.siths.se | 82.136.183.53 | HTTPS/TCP port 443 | Klientnätverk |
|
Autentiseringstjänst som används av SITHS eID-apparna när man loggar in på SITHS eID Portal och Mina sidor | https://authservice.dev.siths.se | 82.136.183.53 | HTTPS/TCP port 443 | Klientnätverk |
|
Uppkoppling av användares webbläsare och SITHS eID-app för certifikatadministration, aktivering av kort och upplåsning av puk med hjälp av id-administratör | wss://websocket-certificateservices.dev.siths.se https://websocket-certificateservices.dev.siths.se | 82.136.183.50 | WSS/TCP port 443 | Klientnätverk |
|
Uppkoppling av användarens SITHS eID-app mot SITHS eID-app för upplåsning av puk med hjälp av Mobilt SITHS | 82.136.183.51 | HTTPS/TCP port 443 | Klientnätverk |
|
CRL, AIA och OCSP - DEV & TEST
Syfte | URL | Befintlig IP-adress (destination) | Protokoll/Port (destination) | Nätverk (source/hos kunden) |
---|---|---|---|---|
Internet OCH Sjunet | ||||
Kontroll av om certifikat är spärrade (CRL). | 82.136.183.134 IPv6-adresser - Pekas ut i DNS vid senare tillfälle 2a01:58:6106:3a04::134 | HTTP/TCP port 80 | Servernätverk och klientnätverk (alla användare) | |
Kontroll av om certifikat är spärrade (OCSP) | 82.136.183.135 IPv6-adresser - Pekas ut i DNS vid senare tillfälle 2a01:58:6106:3a04::135 | HTTP/TCP port 80 | Servernätverk och klientnätverk (alla användare) | |
Bygga tillitskedja för certifikat (AIA) | 82.136.183.136 IPv6-adresser - Pekas ut i DNS vid senare tillfälle 2a01:58:6106:3a04::136 | HTTP/TCP port 80 | Servernätverk och klientnätverk (alla användare) |
SITHS Certifikatsutfärdare via Sjunet
Schematiska skisser för DNS-uppslag och routinglogik
OBS! Under 2023 kommer logiken för DNS-uppslag ändras för åtkomst till SITHS Adminsitrativa gränssnitt samt CRL, OCSP och AIA för SITHS PKI.
Ändringen träder i kraft i samband med övergång till den nya SITHS eID Portal.
Efter flytt av SITHS Certifikatutfärdare under 2023
Organisationens tjänster slår upp ovan funktioners DNS-värden och får SAMMA IP-adresser oavsett om man ställer sin DNS-fråga över Internet eller Sjunet
Respektive IP-adress går att nå BÅDE via Internet och Sjunet
Organisationen måste bestämma OM man vill att trafiken ska gå över Internet eller Sjunet
Observera! För organisationer med Sjunetuppkoppling - Det IP-spann som används har tidigare kommunicerats som att det ska trafikeras över Sjunet. Därav måste organisationen med största sannolikhet se till att IP-spannet 82.136.183.0/24 routas över Internet om man INTE villa att trafiken ska gå över Sjunet.
Beroende på vilket nätverk trafiken tar enligt ovan beslut måste organisationen se till att trafiken Source-NAT:as bakom en IP-adress som SITHS-tjänsten förknippar med samma nätverk. Detta för att förhindra asynkron routing.
Om trafiken går över Internet måste trafiken Source NAT:as bakom en Internet IP-adress
Om trafiken går över Sjunet måste trafiken Source NAT:as bakom en Sjunet IP-adress
Exempel på fel som kan uppstå:
Organisationen skickar trafiken via Sjunet, MEN med en Source-IP som pekar på Internet. Vilket gör att SITHS försöker skicka tillbaka anropet via Internet och svaret når aldrig frågande part.
Brandväggsöppningar måste finnas i rätt brandvägg beroende på vilken väg trafiken tar enligt ovan logik för de
Nya IP-adresserna i listan över Brandväggsöppningar
Tester
Routing
Från den server, klientdator etc. som vill kontrollera ett SITHS-certifikat mha. ovan funktioner kan man göra en trace route för att följa trafiken på väg mot målet
Tecken på att trafiken går över Internet
Näst sista IP-adressen är: 194.168.212.13
Tecken på att trafiken går över Sjunet
Näst sista IP-adressen är: 81.89.159.168
Åtkomst och Source-NAT
Arbete pågår för att sätta upp funktioner för end-to-end tester till maskiner hos den nya driftleverantören som följer samma trafikmönster som de riktiga funktionerna.
Innan flytt av SITHS Certifikatutfärdare under 2023
SITHS använder Sjunets DNS som har två ”vyer”. Om man frågar på zonen siths.se:
via sjunet så får man Sjunet IP-adresser
via internet, så får man Internet IP-adresser
En organisation som har både Sjunet och Internet och vars regionala DNS-servrar har åtkomst till båda näten kan få olika IP-adresser beroende på vilka av Sjunets DNS-servrar som svarar först. Därför behöver dessa organisationer förmodligen se över sin DNS-infrastruktur enligt nedan:
Endast stöd för SITHS via Internet:
Skapa conditional forwards för zonen siths.se till dns1.sjunet.inera.se och dns2.sjunet.inera.se
Endast stöd för SITHS via Sjunet
Konfigurera ert lokala nätverk enligt dokumentationen för DNS-inställningar på Sjunets sida på https://www.inera.se även för zonen siths.se och inte bara sjunet.org
Stöd för både Sjunet och Internet för olika klienter i den lokala miljön
Det enklaste är att ha olika lokal DNS-hantering för de två olika näten.
Eventuellt kan man även lösa detta genom att skapa olika conditional forwards baserat på käll-ip för den klient som ställer frågan till den lokala DNS:en.
Webbadresser & Sökvägar
Nedan hittar du information om aktuella webbadresser per miljö och funktion
Repository
https://www.inera.se/siths/repository
För styrande dokument som t ex.:
Tillitsramverk
Certificate Policy
Certificate Policy Statement
Rutiner för utfärdande
Certifikatspecifikationer
Matris för tolkning av tillitsnivåer
Produktion
SITHS Admin - Administration av certifikat
Nedan hittar du webbadresser för de olika användargränssnitt som används inom SITHS vid beställning och administration av certifikat på SITHS-kort
Funktion | Målgrupp | Sökväg |
---|---|---|
Internet | ||
SITHS Admin | ID-administratörer | |
Mina sidor | Användare | |
Testsida | ||
Sjunet | ||
SITHS Admin | ID-administratörer |
SITHS eID Portal - Administration av certifikat
Dessa Webbadresser och sökvägar tas i bruk i samband med lanseringen av SITHS eID Portal
Nedan hittar du webbadresser för de olika användargränssnitt som används inom SITHS vid beställning och administration av certifikat på SITHS-kort
Funktion | Målgrupp | Sökväg |
---|---|---|
Internet & Sjunet | ||
SITHS eID Portal | ID-administratörer | |
Mina sidor | Användare |
Spärrlistor
Nedan hittar du sökvägar till SITHS spärrlistor som används för att kontrollera om certifikat är spärrade eller inte. Listan visar sökvägar per Rot- och utfärdare.
För mer information om SITHS PKI-strukturer se: PKI-struktur och rotcertifikat
SITHS e-id Root CA v2
Utfärdare | Sökväg |
---|---|
Internet & Sjunet | |
SITHS e-id Root CA v2 | |
SITHS e-id Person ID 2 CA v1 | |
SITHS e-id Person ID 3 CA v1 | |
SITHS e-id Person ID Mobile CA v1 | |
SITHS e-id Person HSA ID 2 CA v1 | |
SITHS e-id Person HSA ID 3 CA v1 | |
SITHS e-id Function CA v1 |
OCSP
Nedan hittar du sökvägar till SITHS OCSP-tjänster som kan användas för att kontrollera om certifikat är spärrade eller inte.
Listan visar sökvägar per Rot- och utfärdare.
För mer information om SITHS PKI-strukturer se: PKI-struktur och rotcertifikat
Utfärdare | Sökväg |
---|---|
Internet | |
Samtliga under SITHS e-id Root CA v2 | |
Sjunet | |
Samtliga under SITHS e-id Root CA v2 |
AIA
AIA-sökvägar används för att kunna bygga tillitskedjor från slutanvändarcertifikat via utfärdardande CA till rot. Används främst på Microsoft-system.
Listan visar sökvägar per Rot- och utfärdare.
För mer information om SITHS PKI-strukturer se: PKI-struktur och rotcertifikat
SITHS e-id Root CA v2
Utfärdare | Sökväg |
---|---|
Internet & Sjunet | |
SITHS e-id Root CA v2 | |
SITHS e-id Person ID 2 CA v1 | |
SITHS e-id Person ID 3 CA v1 | |
SITHS e-id Person ID Mobile CA v1 | |
SITHS e-id Person HSA ID 2 CA v1 | |
SITHS e-id Person HSA ID 3 CA v1 | |
SITHS e-id Function CA v1 |
Preproduktion
Administration av certifikat
Nedan hittar du webbadresser för de olika användargränssnitt som används inom SITHS vid beställning och administration av certifikat på SITHS-kort
Funktion | Målgrupp | Sökväg |
---|---|---|
Internet | ||
SITHS Admin | ID-administratörer | |
Mina sidor | Användare | https://cve.preprod.trust.telia.com/ccu och https://minasidor.preprod.siths.se efter 2020-02-03 |
Testsida | ||
Sjunet | ||
SITHS Admin | ID-administratörer | |
Mina sidor | Användare | https://ccu.preprod.trust.telia.com/ccu och https://minasidor.preprod.siths.se efter 2020-02-03 |
Testsida | N/A |
SITHS eID Portal - Administration av certifikat
Dessa Webbadresser och sökvägar tas i bruk i samband med lanseringen av SITHS eID Portal
Nedan hittar du webbadresser för de olika användargränssnitt som används inom SITHS vid beställning och administration av certifikat på SITHS-kort
Funktion | Målgrupp | Sökväg |
---|---|---|
Internet & Sjunet | ||
SITHS eID Portal | ID-administratörer | |
Mina sidor | Användare |
Spärrlistor
Nedan hittar du sökvägar till SITHS spärrlistor som används för att kontrollera om certifikat är spärrade eller inte. Listan visar sökvägar per Rot- och utfärdare.
För mer information om SITHS PKI-strukturer se: PKI-struktur och rotcertifikat
SITHS e-id Root CA v2
Utfärdare | Sökväg |
---|---|
Internet & Sjunet | |
TEST SITHS e-id Root CA v2 | |
TEST SITHS e-id Person ID 2 CA v1 | |
TEST SITHS e-id Person ID 3 CA v1 | |
TEST SITHS e-id Person ID Mobile CA v1 | |
TEST SITHS e-id Person HSA ID 2 CA v1 | |
TEST SITHS e-id Person HSA ID 3 CA v1 | |
TEST SITHS e-id Function CA v1 |
OCSP
Nedan hittar du sökvägar till SITHS OCSP-tjänster som kan användas för att kontrollera om certifikat är spärrade eller inte.
Listan visar sökvägar per Rot- och utfärdare.
För mer information om SITHS PKI-strukturer se: PKI-struktur och rotcertifikat
Utfärdare | Sökväg |
---|---|
Internet | |
Samtliga under TEST SITHS e-id Root CA v2 | |
Sjunet | |
Samtliga under TEST SITHS e-id Root CA v2 |
AIA
AIA-sökvägar används för att kunna bygga tillitskedjor från slutanvändarcertifikat via utfärdardande CA till rot. Används främst på Microsoft-system.
Listan visar sökvägar per Rot- och utfärdare.
För mer information om SITHS PKI-strukturer se: PKI-struktur och rotcertifikat
SITHS e-id Root CA v2
Utfärdare | Sökväg |
---|---|
Internet & Sjunet | |
TEST SITHS e-id Root CA v2 | |
TEST SITHS e-id Person ID 2 CA v1 | |
TEST SITHS e-id Person ID 3 CA v1 | |
TEST SITHS e-id Person ID Mobile CA v1 | |
TEST SITHS e-id Person HSA ID 2 CA v1 | |
TEST SITHS e-id Person HSA ID 3 CA v1 | |
TEST SITHS e-id Function CA v1 |
DEV och TEST
Administration av certifikat - TEST
Nedan hittar du webbadresser för de olika användargränssnitt som används inom SITHS vid beställning och administration av certifikat på SITHS-kort
Funktion | Målgrupp | Sökväg |
---|---|---|
Internet OCH Sjunet | ||
SITHS eID Portal | ID-administratörer | |
Mina sidor | Användare |
Administration av certifikat - DEV
Nedan hittar du webbadresser för de olika användargränssnitt som används inom SITHS vid beställning och administration av certifikat på SITHS-kort
Funktion | Målgrupp | Sökväg |
---|---|---|
Internet OCH Sjunet | ||
SITHS eID Portal | ID-administratörer | |
Mina sidor | Användare |
Spärrlistor
Nedan hittar du sökvägar till SITHS spärrlistor som används för att kontrollera om certifikat är spärrade eller inte. Listan visar sökvägar per Rot- och utfärdare.
För mer information om SITHS PKI-strukturer se: PKI-struktur och rotcertifikat
SYSTEMTEST SITHS e-id Root CA v2
Utfärdare | Sökväg |
---|---|
Internet & Sjunet | |
SYSTEMTEST SITHS e-id Root CA v2 | |
SYSTEMTEST SITHS e-id Person ID 2 CA v1 | http://crl.test.siths.se/systemtestsithseidpersonid2cav1.crl |
SYSTEMTEST SITHS e-id Person ID 3 CA v1 | http://crl.test.siths.se/systemtestsithseidpersonid3cav1.crl |
SYSTEMTEST SITHS e-id Person ID Mobile CA v1 | http://crl.test.siths.se/systemtestsithseidpersonidmobilecav1.crl |
SYSTEMTEST SITHS e-id Person HSA ID 2 CA v1 | http://crl.test.siths.se/systemtestsithseidpersonhsaid2cav1.crl |
SYSTEMTEST SITHS e-id Person HSA ID 3 CA v1 | http://crl.test.siths.se/systemtestsithseidpersonhsaid3cav1.crl |
SYSTEMTEST SITHS e-id Function CA v1 |
OCSP
Nedan hittar du sökvägar till SITHS OCSP-tjänster som kan användas för att kontrollera om certifikat är spärrade eller inte.
Listan visar sökvägar per Rot- och utfärdare.
För mer information om SITHS PKI-strukturer se: PKI-struktur och rotcertifikat
Utfärdare | Sökväg |
---|---|
Internet & Sjunet | |
Samtliga under TEST SITHS e-id Root CA v2 |
AIA
AIA-sökvägar används för att kunna bygga tillitskedjor från slutanvändarcertifikat via utfärdardande CA till rot. Används främst på Microsoft-system.
Listan visar sökvägar per Rot- och utfärdare.
För mer information om SITHS PKI-strukturer se: PKI-struktur och rotcertifikat
SITHS e-id Root CA v2
Utfärdare | Sökväg |
---|---|
Internet & Sjunet | |
TEST SITHS e-id Root CA v2 | |
TEST SITHS e-id Person ID 2 CA v1 | http://aia.test.siths.se/systemtestsithseidpersonid2cav1.cer |
TEST SITHS e-id Person ID 3 CA v1 | http://aia.test.siths.se/systemtestsithseidpersonid3cav1.cer |
TEST SITHS e-id Person ID Mobile CA v1 | http://aia.test.siths.se/systemtestsithseidpersonidmobilecav1.cer |
TEST SITHS e-id Person HSA ID 2 CA v1 | http://aia.test.siths.se/systemtestsithseidpersonhsaid2cav1.cer |
TEST SITHS e-id Person HSA ID 3 CA v1 | http://aia.test.siths.se/systemtestsithseidpersonhsaid3cav1.cer |
TEST SITHS e-id Function CA v1 |
Teknisk information om SITHS Certifikatsutfärdare
Rot- och utfärdarcertifikat (Installation av tillit)
Här hittar du information om SITHS rot- och utfärdarcertifikat, samt vad som gäller kring installation av tillit till dessa
Innehållsförteckning
Klicka nedan för att visa innehållsförteckning
Revisionshistorik
Klicka nedan för att visa revisionshistorik
Version | Datum | Författare | Kommentar |
---|---|---|---|
1.0 | 2019-05-08 | SITHS Förvaltning | Framtagande av dokumentet |
1.1 | 2019-06-04 | SITHS Förvaltning | Redaktionella ändringar |
1.2 | 2019-07-03 | SITHS Förvaltning | Justerat tid för CrossBorder och att länkar i produktion är nåbara |
1.3 | 2019-08-26 | SITHS Förvaltning | Justerat att alla länkar är nåbara, samt att tid för utträde ur Microsofts rotcertifikatprogram ännu inte fastställts. |
1.4 | 2019-09-30 | SITHS Förvaltning | Förtydligat att klienten måste lita på utfärdaren vid AD-inloggning. |
1.5 | 2020-11-11 | SITHS Förvaltning | Tillägg av utfärdarcertifikat för utfärdare av Mobilt SITHS |
1.6 | 2021-02-05 | SITHS Förvaltning | Flytt av sida för PKI-struktur till att bli rubriker på denna sida |
1.7 |
| SITHS Förvaltning | Uppdaterade med information om att SITHS CA CrossBorder och motsvarigheten i TEST avvecklats |
1.71 |
| SITHS Förvaltning | Flyttade SITHS CA CrossBorder till avvecklade PKI-strukturer |
1.72 |
| SITHS Förvaltning | Rättade till AIA-länkar för 2 certifikatutfärdare, TEST SITHS e-id Person ID 2 CA v1 och TEST SITHS e-id Person ID 3 CA v1 i TEST-miljön |
1.73 |
| SITHS Förvaltning | Borttag av SITHS Root CA v1 från aktiva pki strukturer och från Rot och utfärdarcertifikat. |
1.74 |
| SITHS Förvaltning | Lade till information om SYSTEMTEST SITHS e-id Root CA v2 som används av DEV och TEST-miljöerna för SITHS eID Portal |
1.75 |
| SITHS Förvaltning | Justerade information om att tillit till TEST-miljöns CA (SYSTEMTEST SITHS e-id Root CA v2) kan behöva installeras för kunder/leverantörer som integrerar mot IdP:ns TEST-miljö |
Inledning
Denna sida innehåller information om vilka aktiva PKI-strukturer som finns inom SITHS.
Sidan innehåller också information om vilka användningsområden olika certifikat har och länkar till de rot- och utfärdarcertifikat som tjänster behöver installera tillit till om de ska använda SITHS.
SITHS Funktionscertifikat bör inte användas i användargränssnittet för en tjänst som en användare når med hjälp av exempelvis en webbläsare. All sådan användning sker under eget ansvar och riskerar att sluta fungera i framtiden.
PKI-struktur
Aktiva PKI-strukturer
Utfärdande PKI-strukturer
SITHS e-id Root CA v2
Började utfärda:
4 november 2019 genom distansuppgradering via SITHS Mina sidor
11 februari 2020 via beställningar av kort och certifikat i SITHS Admin
TEST-miljöns PKI-struktur ser likadan ut, men namnen på CA är kompletterade med “TEST” innan respektive CA-namn för att indikera att det är testmiljöer
Avvecklade PKI-strukturer
SITHS Root CA v1
giltig till 2022-05-08 (stängdes 2022-10-18)
SITHS CA v3
giltig till 2015-11-28 (stängdes 2015-12-08)
SITHS CA CrossBorder
giltig till 2019-09-15, omsignerad och då giltig till 2029-05-31 (stängdes 2021-09-21)
Rot- och utfärdarcertifikat
Produktion (SITHS e-id Root CA v2)
Giltighet: 2019-05-15 till 2049-09-15
Expandera nedan för att se tabellen för SITHS e-id Root CA v2
Användningsområde | Typ av certifikat | Namn på CA och sökväg tlll certifikat | Vart ska tillit installeras | Vem ska installera |
---|---|---|---|---|
Generell tillit till SITHS | Rotcertifikat | Servrar/Tjänster
| Kunder och leverantörer som driftar/förvaltar tjänster där SITHS används | |
Inloggning av användare med HSA-id som identifierare | Utfärdarcertifikat | Olika per tillitsnivå. OBS! rekommendationen är att använda O.I.D i attributet Certifikatprinciper för slutanvändarcertifikatet för att avgöra tillitsnivån matris för detta finns här | Servrar/Tjänster
OBS! Även klienter som används för AD-inloggning måste lita på dessa utfärdare och roten | Kunder och leverantörer som driftar/förvaltar tjänster där SITHS används för inloggning av användare |
IdP - Inloggning av användare för Mobilt SITHS eID | Utfärdarcertifikat | IdP Om en IdP vill verifiera certifikatet som levereras tillbaka från Autentiseringstjänsten vi inloggning med Mobilt SITHS eID | Kunder och leverantörer som driftar/förvaltar IdP:er som ska använda Autentiseringstjänsten för inloggning med Mobilt SITHS eID | |
System-till-System kommunikation | Utfärdarcertifikat | Servrar/Tjänster
Exempelvis TGP, HSA-WS, Tjänsteplattformen | Kunder och leverantörer som driftar/förvaltar tjänster där SITHS används för server-till-server kommunikation | |
Valfritt att komplettera senare | ||||
Inloggning av användare med Personnummer som identifierare | Utfärdarcertifikat | Olika per tillitsnivå. OBS! rekommendationen är att använda O.I.D i attributet Certifikatprinciper för slutanvändarcertifikatet för att avgöra tillitsnivån matris för detta finns här | Servrar/Tjänster
| Nya tjänster som förbereds för att använda personnummer istället för HSA-id som unik identifierare för användaren |
QA (TEST SITHS e-id Root CA v2)
Giltighet: 2019-04-01 till 2049-09-15
Expandera nedan för att se tabellen för TEST SITHS e-id Root CA v2
Användningsområde | Typ av certifikat | Namn på CA och sökväg tlll certifikat | Vart ska tillit installeras | Vem ska installera |
---|---|---|---|---|
Generell tillit till SITHS | Rotcertifikat | Servrar/Tjänster
| Kunder och leverantörer som driftar/förvaltar tjänster där SITHS används | |
Inloggning av användare med HSA-id som identifierare | Utfärdarcertifikat | Olika per tillitsnivå. OBS! rekommendationen är att använda O.I.D i attributet Certifikatprinciper för slutanvändarcertifikatet för att avgöra tillitsnivån matris för detta finns här | Servrar/Tjänster
OBS! Även klienter som används för AD-inloggning måste lita på dessa utfärdare och roten | Kunder och leverantörer som driftar/förvaltar tjänster där SITHS används för inloggning av användare |
IdP - Inloggning av användare för Mobilt SITHS eID | Utfärdarcertifikat | IdP Om en IdP vill verifiera certifikatet som levereras tillbaka från Autentiseringstjänsten vi inloggning med Mobilt SITHS eID | Kunder och leverantörer som driftar/förvaltar IdP:er som ska använda Autentiseringstjänsten för inloggning med Mobilt SITHS eID | |
System-till-System kommunikation | Utfärdarcertifikat | Servrar/Tjänster
Exempelvis TGP, HSA-WS, Tjänsteplattformen | Kunder och leverantörer som driftar/förvaltar tjänster där SITHS används för server-till-server kommunikation | |
Valfritt att komplettera senare | ||||
Inloggning av användare med Personnummer som identifierare | Utfärdarcertifikat | Olika per tillitsnivå. OBS! rekommendationen är att använda O.I.D i attributet Certifikatprinciper för slutanvändarcertifikatet för att avgöra tillitsnivån matris för detta finns här TEST SITHS e-id Person ID 2 CA v1 TEST SITHS e-id Person ID 3 CA v1
| Servrar/Tjänster
| Nya tjänster som förbereds för att använda personnummer istället för HSA-id som unik identifierare för användaren |
DEV och TEST (SYSTEMTEST SITHS e-id Root CA v2)
DEV och TEST-miljö är primärt till för förvaltningen på Inera. Undantaget är Mobilt SITHS där appen T SITHS eID i Appstore och Google Play används av vissa kunder vid integration till Ineras IdP i TEST-miljö. Därav kan även kundorganisationer behöva installera tillit till vissa certifikatutfärdare från TEST-miljön (SYSTEMTEST SITHS e-id Root CA v2) enl. tabellen nedan
Giltighet: 2022-10-12 till 2049-09-15
Expandera nedan för att se tabellen för SYSTEMTEST SITHS e-id Root CA v2
Användningsområde | Typ av certifikat | Namn på CA och sökväg tlll certifikat | Vart ska tillit installeras | Vem ska installera |
---|---|---|---|---|
Generell tillit till SITHS | Rotcertifikat | Servrar/Tjänster
| Kunder och leverantörer som driftar/förvaltar tjänster där SITHS används | |
Inloggning av användare med HSA-id som identifierare | Utfärdarcertifikat | Olika per tillitsnivå. OBS! rekommendationen är att använda O.I.D i attributet Certifikatprinciper för slutanvändarcertifikatet för att avgöra tillitsnivån matris för detta finns här | Servrar/Tjänster
OBS! Även klienter som används för AD-inloggning måste lita på dessa utfärdare och roten | Kunder och leverantörer som driftar/förvaltar tjänster där SITHS används för inloggning av användare |
IdP - Inloggning av användare för Mobilt SITHS eID | Utfärdarcertifikat | IdP Om en IdP vill verifiera certifikatet som levereras tillbaka från Autentiseringstjänsten vi inloggning med Mobilt SITHS eID | Kunder och leverantörer som driftar/förvaltar IdP:er som ska använda Autentiseringstjänsten för inloggning med Mobilt SITHS eID | |
System-till-System kommunikation | Utfärdarcertifikat | Servrar/Tjänster
Exempelvis TGP, HSA-WS, Tjänsteplattformen | Kunder och leverantörer som driftar/förvaltar tjänster där SITHS används för server-till-server kommunikation | |
Valfritt att komplettera senare | ||||
Inloggning av användare med Personnummer som identifierare | Utfärdarcertifikat | Olika per tillitsnivå. OBS! rekommendationen är att använda O.I.D i attributet Certifikatprinciper för slutanvändarcertifikatet för att avgöra tillitsnivån matris för detta finns här SYSTEMTEST SITHS e-id Person ID 2 CA v1 SYSTEMTEST SITHS e-id Person ID 3 CA v1
| Servrar/Tjänster
| Nya tjänster som förbereds för att använda personnummer istället för HSA-id som unik identifierare för användaren |
Spärr och spärrkontroll
Ett certifikat kan spärras för att förhindra vidare användning. Detta kan ske när man ska avsluta sin anställning, när man har tappat bort sitt SITHS eID eller när en server ska avvecklas.
Klicka nedan om du vill läsa mer om hur SITHS spärrkontroll
Beställning och utförande av spärr
En spärr inom SITHS kan utföras enligt följande matris
Aktör/Beställare | Utförare | Metod | Kommentar |
---|---|---|---|
Användare | Nationell spärrfunktion hos Telia Kundtjänst | Telefon till 020-32 32 62 | Ej funktionscertifikat |
Användare | Användare | Mina sidor | Ej funktionscertifikat |
Användare | ID-administratör | SITHS Admin
|
|
Användare/Innehavare | SITHS Föraltning | SITHS Admin | Vid anmälan om missbruk |
ID-administratör | ID-administratör | SITHS Admin |
|
SITHS PA | SITHS Förvaltning | SITHS Admin |
|
Kortproduktion | Kortproduktion | Via API om det är problem att producera kort |
|
Realisering av spärr
När en spärr har begärts av respektive Utförare kan det beroende på metod för kontroll ta en viss tid innan ett system kan få uppdaterad information om detta och använda den för att neka en användare att logga in.
OCSP
Är en metod där ett system kontrollerar ett certifikat åt gången
För denna metod realiseras spärren I princip omedelbart
Varje OCSP-svar får en tidsstämpel som säger hur länge svaret får användas av förlitande part. För SITHS gäller:
notBefore → Tidpunkt då frågan ställs
notAfter → 48 h framåt från notBefore
CRL
Är en metod där ett system kan hämta en lista över samtliga spärrade certifikat per certifikatsutfärdare
För denna metod finns en ledtid på upp till 65 minuter. En ny spärrlista ges ut av CA var 60:e minut, samt att det finns en cache på 5 minuter innan ny hämtas till den server (CDP) som är avlämningspunkt mot förlitande part.
Varje CRL får en tidsstämpel som säger hur länge den får användas av en förlitande part, för SITHS gäller:
Spärrlistor för certifikat till slutanvändare och funktionscertifikat:
lastUpdate → Tidpunkten då CRL skapas av CA
nextUpdate → 72h från lastUpdate
Spärrlistor som utfärdas av Root CA för utfärdande CAs:
lastUpdate → Tidpunkten då CRL skapas manuellt då rooten är offline
nextUpdate → ~12 månader
Legitimering och underskrift av användare kan ske med olika tekniker. Samtliga är förknippade med någon form av inloggningsmetod, ofta med en tillhörande applikation som installeras på användarens dator.
I SITHS finns i dagsläget två applikationer som används för att möjliggöra användning av SITHS e-legitimation vid legitimering och underskrift av användare:
SITHS eID appen som även innefattar Mobilt SITHS
Teknisk generationsinformation för SITHS-kort
Revisionshistorik
Klicka nedan för att visa revisionshistorik
Version | Datum | Författare | Kommentar |
---|---|---|---|
1.0 | 2021-03-04 | SITHS Förvaltning | Etablering av dokument och tillägg av supporttider per Kortgeneration |
1.01 |
| SITHS Förvaltning | Justering av supporttider för reservkort för IDClassic 410 |
1.02 |
| SITHS Förvaltning | Lade till produktnummer som en kolumn i matrisen |
1.1 |
| SITHS Förvaltning | Lade till information om pin-policy. |
1.2 |
| SITHS Förvaltning | Lade till information om 940 i testmiljö |
1.3 |
| SITHS Förvaltning | Tog bort kolumn för Modell-ID då den aldrig togs i bruk |
1.4 |
| SITHS Förvaltning | Lade till sep/okt för leverans av 6xx kort |
1.41 |
| SITHS Förvaltning | Lade till prestandamått för chippet 940B (MSA153) |
1.42 |
| SITHS Förvaltning | Korrigering av antal puk-kodsförsök från 8 till 3 för 6XX och 7XX (940-kort) |
1.43 |
| SITHS Förvaltning | Bytte ut termen Modell-id ordet SITHS Admin i inledningen. Tillägg av teknisk information om profilen på 7xx kortgeneration |
Inledning
Nedan är en förteckning över de generationer av SITHS-kort som finns aktiva på marknaden och hur beståndsdelar på dem som har förändrats över tid.
Från och med införandet av generationen IDPrime 940 inför vi begreppet Produktnummer som både kommer att tryckas visuellt på SITHS-kortet och kunna visas i SITHS eID Portal och Statistik och Loggar.
Produktnummer | Första leverans i testmiljö | Första leverans i Produktionsmiljö | Kortnamn | Profil | Chip | Prestanda | ATR | Kontaktlös inpassering | Kontaktlös PKI | Certifiering | Korttyp: certifikat från fabrik | End of Support | Pin-policy |
---|---|---|---|---|---|---|---|---|---|---|---|---|---|
4XX eller 9XX |
| < Hösten 2014 | IDClassic 410 | Telia EID IP5a | MSA081 | RSA op: ca 2700 ms | 3B7D96000080318065B0A31100C883009000 | MIFARE Classic | Nej | Dokumentation saknas | Reservkort:
Efter nedladdning:
Ordinarie kort:
Eller via uppgradering:
| 2026 (Det finns reservkort giltiga till 2027-04-07) | Tecken: 6-8 siffror Antal försök:
|
| Grå: okt/nov 2014 < SIS: ~feb 2015 | samma som ovan | samma som ovan | MPH117 | RSA op: ca 800 ms | 3B7D96000080318065B0A31101F383009000 | samma som ovan | Samma som ovan | CCEAL5+/PP JavaCard | samma som ovan | 2026 (Giltighetstid enl. kortyta: Max 2026-12-31. Faktisk giltighetstid funktionellt: 2025-09-28) | ||
| Grå: Jun/aug 2015< SIS: apr 2016 | samma som ovan | samma som ovan | samma som ovan | samma som ovan | samma som ovan | MIFARE Classic EV1 | Samma som ovan | samma som ovan | samma som ovan | 2026 (Giltighetstid enl. kortyta: Max 2026-12-31. Faktisk giltighetstid funktionellt: 2025-09-28) | ||
5XX |
| Inte reserv: 11 Feb 2020 Reserv: 7 april 2020 | IDPrime SIS 840 | SIS EID IP1 | G260 | RSA op: ca 350ms | 3B7F96000080318065B0850300EF1202F0829000 | MIFARE Classic EV1 | Samma som ovan | CCEAL5+/PPSSCD & CCEAL5+/PPJavaCard | Reservkort:
Ordinarie kort:
| 2028 Ordinarie kort September/oktober 2027 (Det finns reservkort giltiga till 2031-05-02) | Tecken: 6-8 siffror Antal försök:
|
6XX | Efter 15 juni 2021 (endast NMT) Q4-2021
| Sep/okt 2022 | IDPrime 940 SIS | N/A (unik för kortet) | G286 (940A NXP)
| RSA2048 signering: ca 344ms | 3B7F96000080318065B0850400111202F0829000 | Samma som ovan | Samma som ovan | CC EAL6+ chip CC EAL5+ / PP JavaCard CC EAL5+ / PP QSCD | Samma som ovan | Ej fastställt | Tecken: 6-16 tecken (inkl. bokstäver och udda tecken) Men begränsat i SITHS eID-appen till 6-8 siffror för att vara enhetligt med tidigare generationer Antal försök:
|
6XX | Samma som ovan
| Samma som ovan | IDPrime 940B SIS | Samma som ovan | MSA153 (940B Samsung) | RSA2048 signering: ca 328ms | Samma som ovan | Samma som ovan | Samma som ovan | Samma som ovan | Samma som ovan | Samma som ovan | Samma som ovan |
7XX | ~Q2-2023 i samband med acceptanstester av av SITHS eID Portal | ~Q1-2024 i samband med lansering av SITHS eID Portal | Samma som ovan | Samma som ovan | Samma som ovan | Samma som ovan | Samma som ovan | Samma som ovan | Samma som ovan | Samma som ovan | Reservkort:
Vid utfärdande av ordinarie kort:
| Samma som ovan | Samma som ovan |
För mer information om profilen på 6xx och 7xx kortgeneration se undersidan.
Revisionshistorik
Klicka nedan för att visa revisionshistorik
Version | Datum | Författare | Kommentar |
---|---|---|---|
1.0 |
| SITHS Förvaltning | Etablerad och godkänd av SITHS Förvaltning |
1.1 |
| SITHS Förvaltning | Utökad med 6xx kortgeneration |
Bakgrund
SITHS-kortgeneration med tresiffrig produktnummer som börjar på 6 och 7 är IDPrime 940/940B SIS kort. IDPrime 940/940B SIS kort har definierade utrymmen för följande nyckelpar och tillhörande certifikat:
8x RSA 2048-bit nyckelspar för Legitimering
8x RSA 2048-bit nyckelspar för Underskrift
4x RSA 3072-bit nyckelspar för Legitimering
2x RSA 3072-bit nyckelspar för Underskrift
2x RSA 4096-bit nyckelspar för Legitimering
2x RSA 4096-bit nyckelspar för Underskrift
2x ECC 256-bit nyckelspar för Legitimering
2x ECC 256-bit nyckelspar för Underskrift
Ordinarie SITHS-kort och reservkort personaliseras och levereras med nycklar och certifikat från fabrik enligt information i de avsnitt nedan. De personaliserade korten har då egna modellnamn i filarea EF.0025 som kan användas för att särskilja de på ett tekniskt sätt. “SITHS Standard” för ordinarie kort respektive “SITHS Temp” för reservkort.
Viktig information
De personaliserade delar av kortet, dvs de utrymmen som innehåller nycklar avsedda för SITHS eiD och/eller SITHS eID certifikat och som finns beskrivna nedan, får ej uppdateras av annan mjukvara än SITHS eID-appen.
De icke-personaliserade delar av kortet, dvs de utrymmen som inte innehåller nycklar avsedda för SITHS eiD och/eller SITHS eID certifikat, kan nyttjas.
Notera att om problem uppstår med SITHS-kort som uppdaterats med andra certifikat än SITHS eID måste man kontakta sin egen leverantör för support.
Notera också att Inera inte kan garantera samexistens med kortdrivrutin från 3e part.
Personaliserade delar av kortet
Ordinarie kort med produktnummer 6xx
På ordinarie- och testkort med produktnummer som börjar på 6 finns vid leveransen tre certifikatspar för legitimering och underskrift, ett Telia eLeg certifikatspar, ett Person-id certifikatspar och ett HSA-id certifikatspar. Telia eLeg och Person-id certifikatsparen är skrivskyddade dvs att det ej kan raderas eller uppdateras medan HSA-id certifikatsparet kan raderas och uppdateras.
Varje certifikat kommer med sitt eget 2048-bit RSA nyckelpar. Två ytterligare 2048-bit RSA nyckelpar finns på kortet vilka inte är kopplade till några certifikat när kortet levereras. Den ena är avsedd för legitimering, den andra för underskrift. Sammanfattningsvis levereras kortet med totalt 7 skrivskyddade 2048-bit RSA nyckelpar.
"Behållaren" ("Container" enligt Microsoft minidriver-specifikation) som används för HSA-id-certifikat och associerad nyckel flaggas som standard. Det betyder att certifikat skall föreslås som standard av de system som stödjer den funktionen.
Tabellen nedan ger en beskrivning av relationen mellan certifikat, nycklar och "container" på kortet:
Certifikat/Nycklar | Ändamål | Container-id | Container namn | Nyckel-id | Skrivskydd |
---|---|---|---|---|---|
SITHS Person-id | Underskrift | 0x00 | Signature | 0x50 | Nycklar och certifikat |
SITHS Person-id | Legitimering | 0x01 | Identification | 0x5E | Nycklar och certifikat |
Telia eLeg | Underskrift | 0x02 | SignatureB | 0x51 | Nycklar och certifikat |
Telia eLeg | Legitimering | 0x03 | IdentificationB | 0x5F | Nycklar och certifikat |
SITHS HSA-id | Underskrift | 0x04 | SignatureC | 0x52 | Nycklar |
SITHS HSA-id | Legitimering | 0x05 | IdentificationC | 0x60 | Nycklar |
SITHS HSA-id tilläggscert (enbart nycklar) | Legitimering | 0x07 | ADD_Identification | 0x61 | Nycklar |
SITHS HSA-id tilläggscert (enbart nycklar) | Underskrift | 0x06 | ADD_Signature | 0x53 | Nycklar |
Ordinarie kort 7xx
På ordinarie- och testkort med produktnummer som börjar på 7 finns vid leveransen två certifikat för legitimering, ett Person-id certifikat och ett HSA-id certifikat. Person-id certifikat är skrivskyddade dvs att det ej kan raderas eller uppdateras medan HSA-id certifikat kan raderas och uppdateras. Varje certifikat kommer med sitt eget 2048-bit RSA nyckelpar. Tre ytterligare 2048-bit RSA nyckelpar finns på kortet vilka inte är kopplade till några certifikat när kortet levereras. Sammanfattningsvis levereras kortet med totalt 5 skrivskyddade 2048-bit RSA nyckelpar.
"Behållaren" ("Container" enligt Microsoft minidriver-specifikation) som används för HSA-id-certifikat och associerad nyckel flaggas som standard. Det betyder att certifikat skall föreslås som standard av de system som stödjer den funktionen.
Tabellen nedan ger en beskrivning av relationen mellan certifikat, nycklar och "container" på kortet:
Certifikat/Nycklar | Ändamål | Container-id | Container namn | Nyckel-id | Skrivskydd |
---|---|---|---|---|---|
SITHS Person-id | Legitimering | 0x01 | Identification | 0x5E | Nycklar och certifikat |
SITHS HSA-id (enbart nycklar) | Underskrift | 0x04 | SignatureC | 0x52 | Nycklar |
SITHS HSA-id | Legitimering | 0x05 | IdentificationC | 0x60 | Nycklar |
SITHS HSA-id tilläggscert (enbart nycklar) | Underskrift | 0x06 | ADD_Signature | 0x55 | Nycklar |
SITHS HSA-id tilläggscert (enbart nycklar) | Legitimering | 0x07 | ADD_Identification | 0x61 | Nycklar |
Reservkort 673x
På reservkort med produktnummer som börjar på 6 finns vid leveransen ett transportcertifikatspar för legitimering och underskrift. Certifikaten är skrivskyddade dvs att de ej kan raderas eller uppdateras. Varje certifikat kommer med sitt eget 2048-bit RSA nyckelpar. Ytterligare fyra 2048-bit RSA nyckelpar finns på kortet vilka inte är kopplade till några certifikat när kortet levereras. Sammanfattningsvis levereras kortet med totalt 6 skrivskyddade 2048-bit RSA nyckelpar.
Tabellen nedan ger en beskrivning av relationen mellan certifikat, nycklar och "container" på kortet:
Certifikat/Nycklar | Ändamål | Container-id | Container namn | Nyckel-id | Skrivskydd |
---|---|---|---|---|---|
Telia Card Identifier | Underskrift | 0x00 | Signature | 0x50 | Nycklar och certifikat |
Telia Card Identifier | Legitimering | 0x01 | Identification | 0x5E | Nycklar och certifikat |
enbart nycklar | Underskrift | 0x02 | SignatureB | 0x51 | Nycklar |
enbart nyckel | Legitimering | 0x03 | IdentificationB | 0x5F | Nycklar |
enbart nycklar | Underskrift | 0x04 | SignatureC | 0x52 | Nycklar |
enbart nycklar | Legitimering | 0x05 | IdentificationC | 0x60 | Nycklar |
Reservkort 773x
På reservkort med produktnummer som börjar på 7 finns vid leveransen ett transportcertifikat för legitimering. Certifikatet är skrivskyddat dvs att det ej kan raderas eller uppdateras. Certifikat kommer med sitt eget 2048-bit RSA nyckelpar. Ytterligare fyra 2048-bit RSA nyckelpar finns på kortet vilka inte är kopplade till några certifikat när kortet levereras. Sammanfattningsvis levereras kortet med totalt 5 skrivskyddade 2048-bit RSA nyckelpar.
Tabellen nedan ger en beskrivning av relationen mellan certifikat, nycklar och "container" på kortet:
Certifikat/Nycklar | Ändamål | Container-id | Container namn | Nyckel-id | Skrivskydd |
---|---|---|---|---|---|
SITHS e-id Card Identifier | Legitimering | 0x01 | Identification | 0x5E | Nycklar och certifikat |
enbart nycklar | Underskrift | 0x02 | SignatureB | 0x51 | Nycklar |
enbart nyckel | Legitimering | 0x03 | IdentificationB | 0x5F | Nycklar |
enbart nycklar | Underskrift | 0x04 | SignatureC | 0x52 | Nycklar |
enbart nycklar | Legitimering | 0x05 | IdentificationC | 0x60 | Nycklar |
Icke-personaliserade delar av kortet
Följande nyckel-id finns tillgängliga på kortet. De är avsedda för en viss nyckeltyp och ändamål.
Nyckel-id | Nyckel typ | Ändamål |
---|---|---|
0x54 | RSA 2048 | Underskrift |
0x55 | RSA 2048 | Underskrift |
0x56 | RSA 2048 | Underskrift |
0x57 | RSA 2048 | Underskrift |
0x58 | RSA 3072 | Underskrift |
0x59 | RSA 3072 | Underskrift |
0x5A | RSA 4096 | Underskrift |
0x5B | RSA 4096 | Underskrift |
0x5C | EC 256 | Underskrift |
0x5D | EC 256 | Underskrift |
0x62 | RSA 2048 | Legitimering |
0x63 | RSA 2048 | Legitimering |
0x64 | RSA 2048 | Legitimering |
0x65 | RSA 2048 | Legitimering |
0x66 | RSA 3072 | Legitimering |
0x67 | RSA 3072 | Legitimering |
0x68 | RSA 3072 | Legitimering |
0x69 | RSA 3072 | Legitimering |
0x6A | RSA 4096 | Legitimering |
0x6B | RSA 4096 | Legitimering |
0x6C | EC 256 | Legitimering |
0x6D | EC 256 | Legitimering |
Dessa nyckel-id är inte kopplad till någon specifik “container”. Container 0x08 och följande container finns tillgängliga på kortet.
RFID - Inpassering, parkering och lunchautomater mm.
SITHS-kort används också för Inpassering, paerkering och lunchautomater hos många kunder. I detta sammanhang är det inte e-legitimationen på SITHS-kortet som används. Istället används en annan teknik och ett annat chip som också finns på SITHS-kortet.
I dagsläget används MIFARE Classic EV 1 som teknik för RFID. För att ta del av den A-nyckel som behövs för att kunna läsa information i sektor 14 & 15 kontakta Inera support.
För support kring inköp av läsare och integration av SITHS-kortet för dessa användningsområden hänvisas till era egna leverantörer för dessa lösningar.
Mifarekodning
Användning av sektorer
Sektor 0
Block 2 - MAD information
Carelink AID A00C i MAD position 14 oh 15
Sektor 14
På alla kortprodukter kodas de 16 sista siffrorna kortets serienummer i sektor 14 på både block 0 och block 1.
Block 0 – ASCII
Block0Sector14 = 30 38 33 35 32 35 34 30 31 31 30 35 39 37 30 32
ASCIIDecode(Block0Sector14) = 0835254011059702
Block 1 – 2 binära heltal, SystemNo och CardNo
Block1Sector14 = 00 7F 73 1C 00 A8 C1 F6 00 00 00 00 00 00 00 00
SystemNo = Int32(00 7F 73 1C)
CardNo = Int32(00 A8 C1 F6)
SystemNo + CardNo = 0835254011059702
Block 2 - Innehåller det statiska värdet ”1.3KNR”.
Sektor 15
Personaliseras inte av SITHS på Reservkort
På de kortprodukter som i fabrik förses med HSA-id certifikat kodas dessutom HSA-id i sektor 15.
Block 0 används till den första delen av HSA-id (HSA-id prefix) upp till 16 ASCII tecken. Om HSA-id inte tar upp 16 bytes på sektorn nulltermineras strängen med 0x00
Block 1 används till den andra delen av HSA-id (HSA-id suffix) upp till 16 tecken ASCII. Om HSA-id inte tar upp 16 bytes på sektorn nulltermineras strängen med 0x00
Bindestrecket som separerar prefix och suffix utelämnas. {hsa-id prefix}-{hsa-id suffix}
Övriga sektorer
Får användas fritt av Ineras kunder.
Applikations ID
Health Services Carelink AB, dvs Inera AB, är registerar som ägare AID ”A00C” hos NXP.
Specifikationen beskriver att informationen läggs på en sektor med 4 block men skulle likaväl läggas på en sektor med 16 block. I detta fall så kommer MAD2 att användas.
Åtkomststyrning och kryptering
Sektor 0
Låst så att endast Leverantör av Kortproduktionstjänst kan ändra i MAD
Nyckel | Värde | Rättighet |
---|---|---|
A | A0 A1 A2 A3 A4 A5 | Läs |
B | Hemlig nyckel som ägs av leverantör av kortproduktionstjänst | Skriv |
Sektor 14 & 15
Sektor 14 och 15 är skrivskyddade och är ej publikt åtkomliga varken för läsning eller skrivning. Kontakta Inera support om du behöver det hemliga värde som används som A- och B-nyckel och som kan användas för att läsa dessa sektorer
Nyckel | Värde | Rättighet |
---|---|---|
A | Hemlig nyckel som ägs av Inera AB | Läs |
B | Hemlig nyckel som ägs av Inera AB | Läs |
Övriga sektorer
Lämnas orörd med standard accessvillkor och nycklar
Nyckel | Värde | Rättighet |
---|---|---|
A | FF FF FF FF FF FF | Läs |
B | FF FF FF FF FF FF | Läs |
MIFARE-dokument
Nedan finns en specifikation över vilken information som skrivs i detta chip och hur den kodas:
Här finns också ett par guider för verifiering av dessa chip:
Övrig teknisk dokumentation
Nedan guider ska ses som exempel och Inera har idag inte möjlighet att ge någon detaljerad support eller konsultation kring integration med SITHS-certifikat i den egna miljön. Våra kunder tecknar oftast egna avtal med olika tjänsteleverantörer och leverantörer av konstulttjänster på marknaden.
Bland annat tecknar många avtal direkt med egna leverantör.
- Inga etiketter