Gå till slutet av bannern
Gå till början av bannern

5.2.0 - Spärrkontroller - Övningar och testfall

Hoppa till slutet på meta-data
Gå till början av metadata

Du visar en gammal version av den här sidan. Visa nuvarande version.

Jämför med nuvarande Visa sidhistorik

« Föregående Version 3 Aktuell »

Innehållsförteckning

 Visa innehållsförteckning

Revisionshistorik

 Visa revisionshistorik

Version

Datum

Författare

Kommentar

0.1

Stefan Ehlert

  • Upprättat

Övningar

Övningar som behöver genomföras med jämna mellanrum för att säkerställa att funktionaliteten för spärrkontroller kan upprätthållas även vid driftstörningar av olika slag.

Testfall och scenarion

Testa spärrkontroller via OCSP

Spärrkontroller via OCSP ska alltid vara den föredragna metoden. Om inget annat ska testas så är det endast en konfiguration som behöver justeras.

Konfiguration för testfallet

inera.common.trust.prefer-crls=false

Testa spärrkontroller via CRL

Spärrkontroller via CRL:er ska aldrig vara den föredragna metoden om inte under särskilda omständigheter. Om inget annat ska testas så är det endast en konfiguration som behöver justeras.

Konfiguration för testfallet

inera.common.trust.prefer-crls=true

Testa otillgängliga OCSP-adresser och tillgängliga CRL-adresser

Detta test syftar till att simulera ett scenariot då OCSP-adresserna på certifikaten inte är tillgängliga eller inte går att nå. Med fördel så är OCSP den föredragna metoden för att evaluera rekoveringsstatus. På så sätt testas i detta scenario att fallback-mekanismen mot CRL:erna fungerar som tänkt. Ifall konfigurationen av spärrkontrollerna ser ut som “vanligt” är det endast blockeringar av OCSP-responders i driftleverantörernas brandväggar som behöver komma på plats för att säkerställa att tjänsterna inte ska få nå OCSP-adresserna. Ta kontakt med aktuell driftleverantör för att få hjälp med hur detta sätts upp.

För att hitta vilka adresser som ska blockeras, öppna ett certifikat som är utfärdad av aktuell utfärdare och leta fram fältet Authority Information Access. Där hittas sedan med fördel något som heter Access Method=On-line Certificate Status Protocol. Adressen som syns i det fältet behöver blockeras. Se exempel nedan.

bild-20241105-125407.png

Konfiguration för testfallet

inera.common.trust.prefer-crls=false

Testa tillgängliga OCSP-adresser och otillgängliga CRL-adresser

Detta test syftar till att simulera att samtliga aktuella CRL-adresser är otillgängliga eller inte går att nå. I normal drift hade detta test inte haft någon effekt då OCSP alltid ska vara den föredragna metoden.

Om ett onormalt driftläge då revokeringskontroller via CRL:er är föredraget är aktivt så kan man på så sätt simulera ifall fallback-mekanismen för att nytta OCSP fungerar som tänkt. För att säkerställa att tjänsten inte kan nå CRL-adresserna är det blockeringar av CRL-adresserna i driftleverantörernas brandväggar som behöver komma på plats. Ta kontakt med aktuell driftleverantör för att få hjälp med hur detta sätts upp.

För att hitta vilka adresser som ska blockeras, öppna ett certifikat som är utfärdad av aktuell utfärdare och leta fram fältet CRL Distribution Points. Där hittas sedan med fördel en eller flera URL:er som i exemplet netdan. Adressen eller adresserna som syns i det fältet behöver blockeras. Se exempel nedan.

bild-20241106-123402.png

Konfiguration för testfallet

inera.common.trust.prefer-crls=true

Testa otillgängliga OCSP-adresser och otillgängliga CRL-adresser

  • Inga etiketter

Publik Information