NLS - Kontinuitetssäkring

Checklista och information om SITHS eID            
- för Ansvarig utgivare

Informationen i detta dokument riktar sig främst till ansvarig utgivare, id-administratörer och övriga personer som jobbar med SITHS. Dokumentet innehåller information om sådant som din organisation måste göra med anledning av införandet av SITHS eID. Om ni inte hanterar detta kan konsekvensen bli driftstörningar och att användare inte kan använda SITHS eID.

Vi vill be dig som är ansvarig utgivare att hjälpa oss att sprida informationen vidare till rätt personer inom din organisation, som ska hantera det som står i checklistan.

Se övergripande tidplan för arbetet med SITHS Kontinuitetssäkring och SITHS eID på denna sida: https://www.inera.se/utveckling/pagaende-projekt-och-utredningar/siths-kontinuitetssakring/

OBS! Detta är ett levande dokument som kommer att uppdateras kontinuerligt. Tänk därför på att hela tiden gå till inera.se för att ladda ner den senaste versionen.

Revisionshistorik

Datum

Version

Vad har förändrats

2019-08-30

1.0

Första version

2019-09-06

1.1

Små förtydliganden genomgående i hela texten.

2019-09-18

1.2

Endast byte av dokumentmall för att fixa sidnumreringen

2019-09-23

1.3

Ett tillägg i andra punktlistan om att vi rekommenderar att distansuppgraderingen börjas i mindre skala för att kunna testa att de uppgraderade korten fungerar bra i den lokala it-miljön.

2019-09-26

1.4

Förtydligande i ingressen att vi vill ha hjälp att sprida denna information vidare till rätt personer.

2019-10-08

1.5

Under länken ”Ny kortbilaga” har punktlistan uppdaterats med en ny punkt, ”Telia e-leg kommer att finnas på nya korten som sekundärt certifikat”.

 

2019-10-25

1.6

Ändrat texten om att länken till distansuppgraderingen kommer att skickas ut till ansvariga utgivare, istället för att publiceras i denna checklista.

2019-10-31

1.7

Vid andra punkten under rubriken ”Fördjupad information” har vi lagt till länken till instruktionerna för att hämta tillbaka sina gamla certifikat i SITHS självadministration.

2019-11-04

1.8

Förtydligat i första punkten under ”Det här behöver din organisation göra” – att tilliten till SITHS eID Root CA v2 måste göras innan en organisation kan använda SITHS eID.

2019-12-17

1.9

Lagt in länken till SITHS Kortkatalog (tidigare kallad kortbilagan)

2020-02-03

2.0

Nya rubriker och justerade punktlistor under stycket ”Detta behöver ni planera och genomföra”. Uppdaterade datum för lansering av nya SITHS eID certifikat och funktionscertifikat. Även några mindre justeringar har gjorts i texten för att förtydliga, dock ingen förändring i sak.

2020-02-04

2.1

Ändrade tillbaka till att version 3.4.6 och senare av SIS Capture Station fungerar att beställa SITHS eID kort med certifikat från nya PKI-strukturen.

2020-02-12

2.2

Ändrat texten om nya Kortkatalogen, som nu ersatts av Kortspecifikation och tillbehör med bilder - Bilaga 1.2.

2020-04-02

2.3

Ändrat datum för hur länge ett gammalt ordinarie SITHS-kort kan uppgraderas.

2020-08-12

2.4

Ändrat datum för när gamla SITHS Admin stängs, från 5 maj till 2 september.

 

Begreppsförklaring

  • SITHS eID = Samlingsnamn för allt som förknippas med den nya PKI-strukturen (SITHS eID Root CA v2).

  • SITHS eID certifikat = Certifikat som är utgivna från den nya PKI-strukturen.

    • Dessa kan ha både tillitsnivå 3 (LoA3) och tillitsnivå 2 (LoA2).

    • Det finns både certifikat som innehåller personnummer och certifikat som innehåller HSA-id

    • Det finns olika typer av SITHS eID certifikat, de som ska användas på kort, för mobila bärare eller för att identifiera system och kryptera information vid överföring mellan servrar.

  • SITHS eID-kort = Det nya ordinarie kortet som redan vid leverans har SITHS eID-certifkat. De nya korten har en ny kortprofil

  • ·SITHS-certifikat = Certifikat utfärdade från SITHS Root CA v1.

  • ·SITHS-kort = Nuvarande ordinarie kort som vid leverans har certifikat utfärdade under SITHS Root CA v1. Dessa SITHS-kort kan uppgraderas med ett SITHS eID-certifikat med tillitsnivå 3

  • ·SITHS reservkort – Nuvarande reservkort som ett SITHS-certifikat kan hämtas till.

  • SITHS Självadministration byter namn till Mina sidor. Utseendet ändras, nuvarande funktionalitet finns kvar och viss funktionalitet är ny.

Detta behöver din organisation göra med anledning av
övergången till SITHS eID

Du som ansvarig utgivare bör snarast möjligt verkställa din plan för införandet av SITHS eID och påbörjar arbetet med att ge ut SITHS eID till era användare. Nedan kan du i kort punktform se de viktigaste aktiviteterna ni måste planera och genomföra. Mer information om detta kommer sedan längre ner.

Detta behöver ni planera och genomföra

 

Steg 1: Detta bör göras innan något av nedanstående påbörjas

  • Installera tillit till SITHS eID Root CA v2 i alla e-tjänster och IdP:er där SITHS kommer att användas för autentisering innan ni börjar distansuppgradera kort eller utfärda nya SITHS eID. Det går inte att använda SITHS eID förrän tilliten är installerad.  

  • Uppgradera till senaste versionen av Net iD Enterprise snarast möjligt för att undvika problem. Läs mer om detta längre ner på sidan.

  • Byt vid behov ut SITHS publika funktionscertifikat på grund av utträde ur Microsofts rotcertifikatprogram. Läs mer om detta längre ner på sidan.

Distansuppgradering av befintliga SITHS-kort

  • Bestäm datum för när ni ska informera och uppmana era användare att distansuppgradera befintliga SITHS-kort med SITHS eID. Distansuppgradering är möjlig att göra från 5 november 2019 till och med mitten av december 2020.

  • Vi rekommenderar att ni börjar distansuppgraderingen i mindre skala för att testa att de uppgraderade korten fungerar bra i er lokala it-miljö.

  • Id-administratörer bör inte uppgradera sina kort förrän tidigast den 11 februari 2020, läs mer om detta längre ner under fördjupad information.

  • Länken till distansuppgraderingen har skickats ut till ansvariga utgivare.

Utfärdande av nya SITHS eID kort

  • Uppgradera SIS Capture Station till version 3.4.6 eller senare, annars kan ni inte utfärda SITHS eID.

  • Planera in när era id-administratörer ska börja beställa SITHS eID kort. Detta är möjligt från och med den 11 februari 2020.

  • Planera in när ni ska börja utfärda nya funktionscertifikat för server-till-server-kommunikation från nya PKI-strukturen. Detta är möjligt från och med den 11 februari 2020.

  • Informera alla som berörs att Mina sidor ersätter SITHS Självadministration från och med 11 februari 2020. Utseendet ändras, nuvarande funktionalitet finns kvar och viss funktionalitet är ny.

  • Mellan den 4 november 2019 och 2 september 2020 kommer gamla SITHS Admin och Mina sidor att kunna användas parallellt.

  • Från och med att SITHS eID lanseras den 11 februari, går det att komma åt nya SITHS Admin. Läs mer om detta längre ner på sidan.

  • Ny kortbilaga har lanserats. Det innebär bland annat att kundunika produkter försvinner och att det inte går att hämta SITHS eID certifikat till Telia-id eller Skatteverkets id-kort.

Planera sista beställningen av gamla SITHS-kort och funktionscertifikat

  • Planera in när ni ska sluta att beställa gamla SITHS-kort och gamla SITHS funktionscertifikat. Gamla SITHS Admin stängs 2 september 2020, vilket är det sista datumet när ni kan beställa SITHS-certifikat utfärdade från gamla PKI-strukturen SITHS Root CA v1.

Fördjupad information

Distansuppgradering till SITHS eID

Börja med att planera in datum för när din organisation ska få information om att distansuppgraderingen av SITHS-korten kan starta. Denna information ansvarar respektive organisation för. Den 5 november skickade vi ut länken till distansuppgraderingen till ansvariga utgivare. 

Id-administratörer bör inte uppgradera sina SITHS-kort

  • Rekommendationen är att id-administratörer INTE uppgraderar sina SITHS-kort vid lanseringen den 5 november 2019, utan helst väntar till tidigast den
    11 februari 2020. Detta beror på att det gamla SITHS-certifikatet tas bort i samband med att kortet uppgraderas med SITHS eID vilket medför att
    id-administratör inte kan logga in i nuvarande SITHS Admin.

  • De id-administratörer som ändå råkar uppgradera sina kort, kan hämta sina gamla certifikat i SITHS självadministration. Instruktionen finns att hämta här

  • Om det finns behov av att uppgradera SITHS-kortet som id-administratör, rekommenderar vi att id-administratören beställer ett extra ordinarie kort i förväg och enbart uppgraderar ett av korten.

Information om de nya korten i Kortspecifikation och tillbehör med bilder - Bilaga 1.2

  • Länken till information om de nya korten, som finns i Kortspecifikation och tillbehör med bilder - Bilaga 1.2 hittar återfinner du här

  • Korten blir giltiga i 5 år.

  • Kundunika kort försvinner – mappas mot ny kortprodukt enligt kortbilagan.

  • Att lägga SITHS eID certifikat på kort från andra utfärdare kommer inte att tillåtas.

  • Telia e-leg kommer att finnas på nya korten som sekundärt certifikat.

  • Befintliga behörigheter till nuvarande kortprodukter för id-administratörer (bilaga 1.3) överförs automatiskt till de nya kortprodukterna.

  • Streckkoden för alla kort kommer att innehålla kortserienummer (undantag SIS-kort som behåller personnummer).

  • Inga titlar eller namnteckning på de nya korten (undantag SIS-kort som behåller namnteckning).

  • Utfärdarnummer måste finnas i kortserienummer

  • Ny kortprofil: Tjänster som integrerat direkt mot nuvarande kortprofil istället för att ta hjälp av operativsystemet och Net iD kommer inte per automatik att fungera med SITHS eID kort.

  • De nya korten har en annan färg och andra säkerhetsdetaljer.

  • Reservkort - befintliga reservkort i oöppnade kuvert kan användas även i SITHS eID.

Net iD Enterprise

Eftersom det finns kända brister i äldre versioner av Net iD Enterprise, rekommenderar vi er att snarast möjligt uppgradera till den senaste versionen av Net iD. Den finns tillgänglig på SecMakers webbplats: https://service.secmaker.com/secure/siths.
SITHS-kort krävs för inloggning.

SIS Capture Station  

För att kunna beställa SITHS eID kort med certifikat från den nya PKI-strukturen (SITHS Root CA v2) krävs en uppgradering till version 3.4.6 eller senare av SIS Capture Station. Du kan du beställa den från vår leverantör enligt information som återfinns här.

Beställ nya SITHS eID certifikat för både kort och funktion

Från och med den 11 februari är det möjligt att ge ut SITHS eID certifikat, både för kort och funktion.

 

SITHS Admin delas upp i två vyer

SITHS Admins nya vy blir tillgänglig från och med den 11 februari 2020, samtidigt som det går att utfärda nya SITHS eID kort.

När id-administratören:

  • Loggar in med ett SITHS-kort öppnas den gamla vyn (rosa vyn) där du bara kan beställa kort och certifikat från gamla PKI-strukturen (SITHS Root CA v1).

  • Loggar in med ett SITHS eID kort öppnas den nya vyn (gröna vyn) där du kan beställa SITHS eID från den nya PKI-strukturen (SITHS Root CA v2).

För att en id-administratör ska kunna beställa kort och certifikat från både nya och gamla PKI-strukturerna under övergångsperioden måste ni:

  • Beställa ett extra ordinarie (gammalt) SITHS-kort till id-administratören INNAN denna utför distansuppgradering på ett av sina två SITHS-kort.    

  • Om du av misstag distansuppgraderar ditt SITHS-kort till SITHS eID går det att via ”Mina Sidor” hämta tillbaka sitt gamla SITHS-certifikat.

Förändringar i rutiner

  • Id-sätt intygsgivning kommer inte att vara tillåtet för ordinarie kort.

  • Id-administratör kan inte utfärda kort och certifikat till sig själv.

  • Det kommer inte gå att logga in i SITHS Admins gröna vy med reservkort eftersom nya SITHS Admin kräver tillitsnivå 3.

Mina sidor ersätter SITHS självadministration

Från och med den 11 februari 2020 ersätter Mina sidor SITHS självadministration. Utseendet ändras, nuvarande funktionalitet finns kvar och viss funktionalitet är ny.

Nya funktioner är distansuppgradering, lista certifikat och ny testsida.

Länken till distansuppgraderingen publicerades den 5 november. Mina sidor i sin helhet kommer att fungera från 11 februari 2020.


Mina sidor kommer att nås via nuvarande länk till SITHS självadministration och via den nya länken för distansuppgradering.

SITHS Admin stängs 2 september 2020. Planera in sista datum för
beställning av SITHS-kort och certifikat utfärdade från gamla PKI-strukturen

Från och med den 2 september stängs SITHS Admin och därefter går det inte att utfärda SITHS-certifikat från gamla PKI-strukturen (SITHS Root CA v1). Observera att alla certifikat som utfärdas från den gamla PKI-strukturen gäller som längst fram till och med den 8 maj 2022, och kan inte användas för inloggning i tjänster som kräver tillitsnivå 3.

Vår rekommendation är att ni i så stor utsträckning som möjligt utfärdar nya SITHS eID certifikat från och med att den möjligheten lanseras, och därefter bara i undantagsfall utfärdar SITHS-certifikat från gamla PKI-strukturen. Beställda SITHS-kort och SITHS certifikat kan lämnas ut och hämtas via nya SITHS Admin.

Installera tillit till nya SITHS eID Root CA v2

Med anledning av att SITHS eID kommer att utfärdas från en ny CA, SITHS eID Root CA v2, måste alla e-tjänster och IdP:er som ska använda SITHS för autentisering installera tillit till den nya CA:n.

De nya rot- och utfärdarcertifikaten och en vy över de båda PKI-strukturerna finns i dokumentet ”Rot- och utfärdarcertifikat för SITHS” på denna sida: www.inera.se/siths/repository

 

Det kommer att finnas användarcertifikat med både personnummer och HSA-id. Vår rekommendation är att ni inledningsvis bara installera tillit till HSA-id certifikaten tills ni har tjänster som stödjer personnummercertifikaten.

Den nya PKI-strukturen för SITHS eID kommer att utfärda e-legitimationer där det går att skilja på e-legitimationer med tillitsnivå 3 och e-legitimationer med tillitsnivå 2 (tillitsnivå 2 omfattas inte av kvalitetsmärket Svensk e-legitimation). 


Om ni har behov av att kunna avgöra tillitsnivån för ett certifikat från SITHS eID kan det göras med hjälp av OID i attributet “certifikatprinciper” enligt informationen i dokumentet "Matris - tolkning av SITHS tillitsnivåer" som finns på denna sida: www.inera.se/siths/repository

Sökvägar och brandväggsöppningar

SITHS eID använder samma DNS-namn och IP-adresser som SITHS. Det ska därför inte behöva beställas några nya brandväggsöppningar.

Certifikatsfilerna och spärrlistorna har andra namn. Om ni hämtar filerna med skript behöver sökvägarna till de nya filerna inkluderas i skriptet.

Se dokumentet ”Sökvägar och brandväggsöppningar för SITHS” på www.inera.se/siths/repository

Byt ut SITHS funktionscertifikat på grund av utträdde ur
Microsofts rotcertifikatprogram

SITHS har beslutat att lämna Microsofts rotcertifikatprogram, vilket kommer att innebära ett antal förändringar för SITHS funktionscertifikat.

Vi rekommenderar att din organisation inventerar era SITHS funktionscertifikat och byter ut de vars funktion påverkas av ändringen. Det vill säga de SITHS funktionscertifikat som används ”publikt” på användargränssnitt, och som nås via en webbläsare på Windows.

Beroende på hur tilliten till SITHS är installerad kan server-till-server-kommunikation och möjligheten att logga in med SITHS-kort också komma att påverkas.
Läs mer om detta i tidigare notis från SITHS nyhetsbrev: www.inera.se/siths_nyhetsbrev_2019_april_rootcertifikatprogram

 

Frågor och svar

Varför har det blivit färre kortprodukter i SITHS Admin?

Vi har tagit bort kundunika kortprodukter för att hålla nere priset för alla, och för att harmonisera kortutbudet. Därför ser du inte lika många kortprodukter i SITHS Admin.

 

Varför har kundunika kortprodukter tagits bort?

Minskning av antalet kortprodukter är till för att hålla nere kortpriset för alla.

 

Varför tas titeln bort från de nya SITHS eID-korten?

Beslutet att ta bort titel från korten togs redan i samband med Efos, och kommer att gälla även för SITHS e-id kort.

 

Anledningen till beslutet att inte ha titel med på korten grundar sig i att det inte finns någon kvalitetssäkrad grunddatakälla som vi kan hämta titeln från. I dagsläget är det enbart den legitimerade titeln som finns registrerad hos Socialstyrelsen över hälso- och sjukvårdspersonal som är kvalitetssäkrad. Problemet är att det oftast inte är dessa titlar som man vill ha tryckta på korten, utan det är andra typer av titlar som inte finns hos Socialstyrelsen, och som inte går att verifiera eller styrka i ett officiellt register.

 

Vad krävs för att en person ska kunna få ett ordinarie SITHS-kort/SITHS eID-kort?

Det är endast personer som arbetar inom en SITHS-ansluten organisation, och som har ett svenskt personnummer med format ååååmmdd-xxxx, samt en svensk folkbokföringsadress - som kan få ett ordinarie SITHS-kort/SITHS e-id kort.

 

Varför måste jag välja certifikat när jag ska beställa SITHS e-id kort i SITHS Admin och SIS Capture Station?

Från och med den 11 februari, då SITHS eID lanserades, måste du som är id-administratör ”välja rätt certifikat” när du loggar in i SITHS Admin och ska beställa SITHS e-id kort (5xx-serien).

Du ska välja ”SITHS e-id Person HSA-id 3 CA v1 certifikat” för att kunna beställa nya SITHS e-id kort av typen 5xx-serien (grön vy). Om du väljer ” SITHS-certifikat (HCC)” kommer du in till den gamla vyn av SITHS Admin, där du endast kan skapa beställningar för gamla SITHS-kort (rosa vyn).

Observera att det fungerar olika i SITHS Admin och SIS Capture Station.

 

SITHS Admin (skapa beställningar)

Loggar du in med SITHS e-id Person HSA-id 3 CA v1 får du bara skapa beställningar för nya SITHS e-id certifikat på nya kort (gröna/IP1).

Loggar du in med SITHS-certifikat (HCC) får du endast skapa beställningar för gamla SITHS-certifikat (HCC) på gamla kort (gråa/EID IP5a).

 

SIS Capture Station, SCS (Skicka beställningar till Thales)

Kontrollera att du väljer rätt certifikat när du loggar in. Det kan vara så att SIS Capture Station förväljer Telia e-leg, men sparar det du senast använde.

Använd SITHS e-id Person ID 3 Ca v1 när du skickar beställningar både för nya SITHS eID-kort (som har SITHS e-id certifikat) och gamla SITHS-kort (som har HCC).

Använder du Telia e-leg (som egentligen finns på både gamla och nya kort) får du bara skicka beställningar för gamla SITHS-kort (som har HCC).

 

Jag har problem med att nå sidan till distansuppgarderingen på grund av tekniska konfigurationer i den lokala it-miljön. Vad gör jag?

Du måste se till att domänen ”siths.se” är med i er lista för ”trusted sites”. Er konfiguration måste lita på domänen siths.se. Detta bör åtgärda problemet med att nå sidan.

 

Hur länge kan jag distansuppgradera befintliga SITHS-kort till SITHS eID?

Deadline för att kunna distansuppgradera befintliga SITHS-kort till SITHS eID med LoA3 är mitten av december 2020, därefter måste man utfärda nya SITHS eID-kort.

 

Går det att distansuppgradera ett kort från till exempel Skatteverket eller Telia?

Nej, endast ordinarie SITHS-kort går att distansuppgradera. Detta eftersom SITHS och Inera måste äga och förklara hela distributionsprocessen gentemot DIGG för att kunna uppnå tillitsnivå 3.

 

Går det att uppgradera ett reservkort till SITHS eID?

Nej, distansuppgraderingen är endast till för SITHS e-id med tillitsnivå 3, vilket befintlig utgivningsprocess för reservkort i dagsläget inte kan uppnå.

 

Hur kommer man kunna administrera de uppgraderade SITHS-korten under november 2019 – februari 2020?

Via dagens SITHS Admin, precis som vanligt.

 

Hur lång tid tar det att distansuppgardera ett kort?

I vanliga fall tar det några minuter att uppgradera kortet. I vissa fall något längre.

 

Jag har fått meddelandet om att SITHS-kortet är för fullt, fast att det inte är det. Varför då?

Du som tidigare har raderat certifikat upprepade gånger från kortet kan riskera att kortet ”blir trasigt” och därför inte går att uppgradera på ett korrekt sätt. Det formateras inte korrekt. Risken är liten att det blir så, men det kan inträffa. Vi rekommenderar därför att du inte uppgradera kortet, utan istället väntar tills att det är möjligt att beställa ett nytt kort med SITHS e-id.

 

Vad händer efter uppgraderingen med de certifikat som finns på kortet?

Det finns begränsningar för hur många certifikat som får plats på ett SITHS-kort. I regel kan SITHS-kortet innehålla upp till 8 SITHS-certifikat + Telia e-leg.

När SITHS-kortet uppgraderas skriver vi 4 stycken SITHS e-id certifikat från den organisation som utfärdat kortet, vilket gör att det max får finnas 4 stycken SITHS-certifikat (eller lokala certifikat) på kortet sedan tidigare (utöver Telia e-leg). Efter lyckad skrivning tas de gamla SITHS-certifikaten från den organisation som utfärdade kortet bort.

  • Om kortet även innehåller certifikat från andra utfärdare än SITHS och SITHS-certifikat från andra organisationer än den som utfärdat kortet, kommer dessa att ligga kvar.

  • Om kortet innehåller för många giltiga SITHS-certifikat eller för många lokala certifikat (oavsett status) kommer användaren att få en uppmaning i uppgraderingsflödet att ta bort överflödigt antal certifikat med hjälp av Net iD.

  • Telia e-leg påverkas aldrig av uppgraderingen, utan ligger kvar oförändrad.

 

Behöver vi lämna in nya tillitsdeklarationer i och med att vi går över till SITHS eID?

Nej, men årets ordinarie tillitsdeklaration kommer att skickas ut i samband med årsskiftet.

 

Kommer SITHS eID kunna användas på dagens reservkort?

Ja, reservkort i oöppnade kuvert kan användas även med SITHS eID, men inledningsvis endast på tillitsnivå 2.

 

När kan vi beställa funktionscertifikat från nya PKI-strukturen?

Från och med den 3 februari 2020.

 

Ska det vara möjligt att ge ut reservkort LoA2 även efter mitten av juni 2020 och i framtiden?

Ja