Version Datum Kommentar Etablering av dokumentet Efter första genomgång av Cygate och SITHS PA

Relevanta dokument
Inom SITHS e-id finns det certifikat för olika syften som grupperas enligt:

Inom SITHS e-id finns det certifikat för olika syften som grupperas enligt:

Certifikatspecifikation för Sveriges kommuner och landsting med samarbetspartners HCC

Certifikatspecifikation för Sveriges kommuner och landsting med samarbetspartners HCC

Certifikatspecifikation för Sveriges kommuner och landsting med samarbetspartners HCC

Specifikation av CA-certifikat för SITHS

Certifikat. svensk vård och omsorg HCC

Riktlinjer och anvisningar avseende säkerhet. vid informationsutbyte via EDI. Version

Termer och begrepp. Identifieringstjänst SITHS

Termer och begrepp. Identifieringstjänst SITHS

Rutin för utgivning av funktionscertifikat

Efos PKI-struktur. Den nya PKI-strukturen. Användningsområden för certifikat

Modul 3 Föreläsningsinnehåll

Ändringar i utfärdande av HCC Funktion

Åtgärdsplan. CRL Åtgärdsplan Copyright 2015 SecMaker AB Författare: Jens Alm

Se övergripande tidplan för arbetet med SITHS Kontinuitetssäkring och SITHS e-id på denna sida:

Certifikat - Ett av en CA elektroniskt signerat intyg som knyter en publik nyckel till en specifik nyckelinnehavare. Källa: Inera (BIF)

E-identitet för offentlig sektor (Efos) Kerstin Arvedson, Inera

Checklista för tekniskt ansvarig

Certifikattjänsten - testbädd. Anläggningsprojekt för ett nationellt inkomstregister

En övergripande bild av SITHS

Instruktion för att kunna använda Säkerhetstjänsternas administrationsgränssnitt

SITHS Thomas Näsberg Inera

1 Exempel på att kontrollera XML-signatur manuellt

Telias Utfärdardeklaration, CPS, för Telia e-legitimation Version 1.3. Datum:

Guide till Inera IdP. Information angående anslutning av Nationella e-tjänster

TjänsteID+ Teknisk översiktsdokument etjänstekort, Privata vårdgivare

Beställning av certifikat för anslutning till BankID (RP certificate) Version

Protokollbeskrivning av OKI

EFOS-dagen, Lanseringsplan. 26 September 2018

SITHS anpassning av IT system. Användarguide: Gör så här SITHS anpassning av IT System

Systemkrav. Åtkomst till Pascal

Revisionsfrågor HSA och SITHS 2015

Filleveranser till VINN och KRITA

XML-produkter. -Registret över verkliga huvudmän (RVH) Teknisk handledning för webbtjänst mot RVH (Web Services) Datum: Version: 1.

Policy Underskriftstjänst Svensk e-legitimation

SITHS på egna och andra organisationers kort. Hur SITHS kort-information uppdateras i HSA

Kryptering. Krypteringsmetoder

SSEK Säkra webbtjänster för affärskritisk kommunikation

Beställning av certifikat v 3.0

Checklista. För åtkomst till Svevac

HSA-schema tjänsteträdet. Version

Utfärdande av HCC. Utbyte av SITHS CA v3 på kort som kan hantera SITHS CA v1

Portförändringar. Säkerhetstjänster 2.1 och framåt

Bakgrund Avgränsningar Begreppsförklaring Kortfattade anvisningar... 2

Beställning av certifikat v 2

Identifieringstjänst SITHS. - Beskrivning och tjänstespecifika villkor

Avtal om Kundens användning av Identifieringstjänst SITHS

Testning av Sambi. Testplan. Version PA12. Fil namn: SAMBI_TP.docx Senast sparad: Copyright (c) 2014 IIS

Introduktion Schenker-BTL AB, Stab IT Beskrivning över informationsintegreringmed Schenker, metodbeskrivning version 1.

256bit Security AB Offentligt dokument

Introduktion till protokoll för nätverkssäkerhet

DNSSEC och säkerheten på Internet

Att bygga VPN. Agenda. Kenneth Löfstrand, IP-Solutions AB. Olika VPN scenarios. IPsec LAN - LAN. IPsec host - host SSH

Riktlinjer för informationssäkerhet

Frågehantering XML-produkter Bolagsverket 1 (15)

Teknisk Anslutningsguide Efos Server

Ansökningsanvisning för SUNET TCS-certifikat via SLU CA.

Manual Användaradministration

Anvisning Tjänsteplattformen Driftsättning av Virtualiseringsplattformen

VGC RAPS RA Practice Statement för Västra Götalandsregionens intern PKI

Tjänstebeskrivning Extern Åtkomst COSMIC LINK. Version 1.0

MVK SSO 2.0 Mina vårdkontakter

Leanlink Ao LKDATA. Teknik spåret. Föreläsare: Michael Lööw, Linköpings Kommun

Utfärdande av SITHS-kort. Utbyte av kort som inte klarar av SITHS CA v1 certifikat

Utkast/Version (8) Användarhandledning - inrapportering maskin-till-maskin

Certifikatpolicy (CP) och utfärdardeklaration (CPS)

Checklista. Anslutning till NPÖ som konsument

Krypteringteknologier. Sidorna ( ) i boken

Massutbyte av HCC. Manual för administration av massutbyte i SITHS Admin

Rekommendationer teknisk lösning_samsa_ ver

Avtal om Kundens användning av E-identitet för offentlig sektor

Systemkrav och rekommendationer. Åtkomst till Pascal

Konfigurationer Video- och distansmöte Bilaga till Tekniska anvisningar

Driftsättning av DKIM med DNSSEC. Rickard Bondesson Examensarbete

E-Betalning Teknisk handbok Version 0702 Innehåll

Detta är en sammanfattande information och checklista över vad införandet av E- identitet för offentlig sektor, Efos, innebär.

Kontaktchip - annat innehåll och nya kortprofiler för integration

Internetdagarna NIC-SE Network Information Centre Sweden AB

Snabbstart - "första gången användare"

Byta bort SITHS-cert i frontend

Mallar för kvittenser och e-post. Exempel på text till kvittenser och e-post i administrationshantering av SITHS-kort

Introduktion till integrering av Schenkers e-tjänster. Version 2.0

HSA Tjänsteanslutningsprocess. Kriterier och anslutningsinstruktioner för tjänster som vill nyttja informationen i HSA

Rutin vid kryptering av e post i Outlook

DNSSec. Garanterar ett säkert internet

Manual Användaradministration

Avancerad SSL-programmering III

Revisionsfrågor HSA och SITHS 2016

SITHS Anslutningsavtal RA Policy

Lathund. Hantera boendeenheter i Tandvårdsfönster

Pratpunkter. Siths och Efos godkänd som Svensk e-legitimation Sambi Förtida utbyte av kort Prisbild för Efos.

Bilaga 2 utdrag urinförandehandbok

Registration Authority Practice Statement RAPS

Beställning av Förlitandepart-certifikat Version

Manual - Administration

Sammanfattning och specifikationer för POT

Att använda kryptering. Nyckelhantering och protokoll som bygger på kryptering

Föreläsning 7. DD2390 Internetprogrammering 6 hp

Mobilt Efos och ny metod för stark autentisering

Transkript:

Revisionshistorik Version Datum Kommentar 0.1 2019-01-07 Etablering av dokumentet 0.2 Efter första genomgång av Cygate och SITHS PA Inledning Inom SITHS e-id finns det certifikat för olika syften som grupperas enligt: Slutanvändarcertifikat för informationsutbyte mellan servrar, tjänster och applikationer (beskrivs i detta dokument) Slutanvändarcertifikat för identifiering av personer SITHS e-id Person ID 2 CA v1 SITHS e-id Person ID 3 CA v1 SITHS e-id Person ID Mobile CA v1 SITHS e-id Person HSA-id ID 2 CA v1 SITHS e-id Person HSA-id ID 3 CA v1 Certifikaten som beskrivs i denna specifikation utfärdas till funktioner: Som finns i HSA med HSA-id Vars namn är formaterat som ett FQDN (ex. www.inera.se) Vars namn är godkänt för organisationen genom domänvalidering Kodning av attribut sker i enlighet med de för respektive attribut gällande specifikationer. Observera särskilt att vissa attribut kodas enligt UTF-8. Testmiljö - PKI Testmiljön för PKI har till största delen likadana certifikatspecifikationer som produktion vad gäller innehåll och egenskaper. Undantagen är följande: Samtliga utfärdares namn kompletteras med ett begynnande TEST, t ex. TEST SITHS e-id Root CA v2 Samtliga URL:er för AIA, CRL och CDP kompletteras med o o pp i url, t ex. https://crl1pp.siths.se eller https://ocsp1pp.siths.se ett inledande test i själva filnamnet, t ex. https://crl1pp.siths.se/testsithseidpersonid3cav1.crl 1

Åtkomst via Sjunet Samtliga URL:er för CRL, AIA och OCSP går att nå både via Internet och Sjunet. Detta baserar sig dock på att respektive DNS-värde slås upp korrekt mot Sjunets DNS-server. Tekniken för detta kalla Dual-view DNS och i praktiken innebär det att ett DNS-värde kan resultera i olika IP-adresser beroende på vilken IP-adress den som ställer frågan presenterar mot DNS-servern. T ex kommer crl1.siths.se ge: En IP-adress om frågan ställs via Internet En annan IP-adress om frågan ställs via Sjunet Inom SITHS Root CA v1 finns det olika sökvägar för detta, men eftersom PKI som teknik är utformad så att systemen som default förväntar sig att samtliga sökvägar ska vara nåbara från det nätverk frågan ställs från har vi valt denna alternativa lösning istället. Tillitsnivå Certifikat för funktioner har inte ett tydligt regelverk när det kommer till tillitsnivåer. Siths kommer ändå att tilldela funktionscertifikat olika O.I.D:er baserat på vilken rutin och process som användes vid utfärdandet av certifikatet. Detta indikerar hur väl certifikatets privata nycklar skyddats under tillverkningsprocessen och på sikt kanske det kan komma att användas till något som liknar tillitsnivåer för personer. O.I.D:er för funktionscertifikat återfinns på https://www.inera.se/siths/repository 2

Funktionscertifikat för legitimering med HSA-id Med max i tabellen nedan avses antal tecken i datadelen av attributet. version 1 3 CA M serialnumber 64 <Randomiserad med hemlig algoritm i CA-systemet> 00d9b4778ba5ed51e811f2a664a79 3ae3a191 CA M signaturealgorithm sha-512withrsaencryption (1.2.840.113549.1.1.13) CA M issuer countryname (2.5.4.6) 2 SE CA M organizationname (2.5.4.10) 64 Inera AB CA M commonname (2.5.4.3) 64 CA M validity <minst 1 dagar max 2 år> Exakt tid väljs i portalen av idadministratör subject notbefore 13 190601084459Z CA M notafter 13 240601084459Z CA M 1

emailaddress (1.2.840.113549.1.9.1) 255 test@siths.se RA (HSA) MIP 1 serialnumber (2.5.4.5) 64 SE5565594230-AAAA RA (HSA) M commonname (2.5.4.3) 64 test.siths.se RA (HSA) M organizationname (2.5.4.10) 64 Inera AB RA (HSA) M localityname (2.5.4.7) 128 Stockholm RA (HSA) M countryname (2.5.4.6) 2 SE CA M subjectpublickeyinfo algorithm rsaencryption {1.2.840.113549.1.1.1} CA M subjectpublickey crldistributionpoints (2.5.29.31) authorityinformationaccess (1.3.6.1.5.5.7.1.1) Certifikatets publika nyckel, beräknad enligt angiven algoritm, 2048-4096 bitar lång baserat på nyckel i CSR. [1] CRL Distribution Point Distribution Point Name: Full Name: URL=http://crl1.siths.se/sithseidfunctioncav1.crl [1] Authority Info Access Access Method=On-line Certificate Status Protocol (1.3.6.1.5.5.7.48.1) Alternative Name: URL=http://ocsp.siths.se CA M CA M NC CA M NC 1 MIP if present 2

[2] Authority Info Access Access Method=Certification Authority Issuer (1.3.6.1.5.5.7.48.2) Alternative Name: URL=http://aia.siths.se/sithseidfunctioncav1.cer subjectaltname (2.5.29.17) NC rfc822name 255 test@siths.se RA (HSA) MIP 1 dnsname 255 test.siths.se RA (HSA) MIP 1 certificatepolicies (2.5.29.32) [1]Certificate Policy: Policy Identifier=2.23.140.1.2.2 [1,1]Policy Qualifier Info: Policy Qualifier Id=CPS Qualifier: https://www.inera.se/siths/repository [2]Certificate Policy: Policy Identifier=SEE RIGHT --> [2,1]Policy Qualifier Info: Policy Qualifier Id=CPS Qualifier: https://www.inera.se/siths/repository Värdet Qualifier i det andra [2] av dessa objekt kommer att kunna anta olika värden beroende på vilken rutin som användes vid utfärdande av certifikatet. Kan också på sikt användas indikera olika typer av användningsområden för funktionscertifikat Ej i bruk ännu, men när behovet uppstår kommer det gestaltas i en matris som återfinns på https://www.inera.se/siths/repository CA M NC enhancedkeyusage M NC serverauthentication (1.3.6.1.5.5.7.3.1) RA M clientauthentication (1.3.6.1.5.5.7.3.2) RA M emailprotection (1.3.6.1.5.5.7.3.4) RA MIP subjectkeyidentifier (2.5.29.14) NC 3

keyidentifier authoritykeyidentifier (2.5.29.35) keyidentifier <octet sträng> Byggs upp av en del av certifikatets publika nyckel kombinerat med HASH över SHA-1 <octet sträng> bestående av subjectkeyidentifier för utfärdande CA CA keyusage (2.5.29.15) digitalsignature, keyencipherment CA M C Signature RSA-signatur över SHA512 CA M CA M M NC Funktionscertifikat för underskrift med HSA-id Med max i tabellen nedan avses antal tecken i datadelen av attributet. version 1 3 CA M serialnumber 64 <Randomiserad med hemlig algoritm i CA-systemet> 00d9b4778ba5ed51e811f2a664a79 3ae3a191 CA M signaturealgorithm sha-512withrsaencryption (1.2.840.113549.1.1.13) CA M Issuer countryname (2.5.4.6) 2 SE CA M organizationname (2.5.4.10) 64 Inera AB CA M commonname (2.5.4.3) 64 CA M 4

validity <minst 1 dagar max 2 år> Exakt tid väljs i portalen av idadministratör subject notbefore 13 190601084459Z CA M notafter 13 240601084459Z CA M emailaddress (1.2.840.113549.1.9.1) 255 test@siths.se RA (HSA) MIP 2 serialnumber (2.5.4.5) 64 SE5565594230-AAAA RA (HSA) M commonname (2.5.4.3) 64 test.siths.se RA (HSA) M organizationname (2.5.4.10) 64 Inera AB RA (HSA) M localityname (2.5.4.7) 128 Stockholm RA (HSA) M countryname (2.5.4.6) 2 SE CA M subjectpublickeyinfo algorithm rsaencryption {1.2.840.113549.1.1.1} CA M subjectpublickey crldistributionpoints (2.5.29.31) Certifikatets publika nyckel, beräknad enligt angiven algoritm, 2048-4096 bitar lång baserat på nyckel i CSR. [1] CRL Distribution Point Distribution Point Name: Full Name: CA M CA M NC 2 MIP if present 5

authorityinformationaccess (1.3.6.1.5.5.7.1.1) subjectaltname (2.5.29.17) URL=http://crl1.siths.se/sithseidfunctioncav1.crl [1] Authority Info Access Access Method=On-line Certificate Status Protocol (1.3.6.1.5.5.7.48.1) Alternative Name: URL=http://ocsp.siths.se [2] Authority Info Access Access Method=Certification Authority Issuer (1.3.6.1.5.5.7.48.2) Alternative Name: URL=http://aia.siths.se/sithseidfunctioncav1.cer CA M NC NC dnsname 255 test.siths.se RA (HSA) MIP 1 certificatepolicies (2.5.29.32) [1]Certificate Policy: Policy Identifier=2.23.140.1.2.2 [1,1]Policy Qualifier Info: Policy Qualifier Id=CPS Qualifier: https://www.inera.se/siths/repository [2]Certificate Policy: Policy Identifier=SEE RIGHT --> [2,1]Policy Qualifier Info: Policy Qualifier Id=CPS Värdet Qualifier i det andra [2] av dessa objekt kommer att kunna anta olika värden beroende på vilken rutin som användes vid utfärdande av certifikatet. Kan också på sikt användas indikera olika typer av användningsområden för funktionscertifikat Ej i bruk ännu, men när behovet uppstår kommer det gestaltas i en matris som återfinns på https://www.inera.se/siths/repository CA M NC Qualifier: https://www.inera.se/siths/repository subjectkeyidentifier (2.5.29.14) NC 6

keyidentifier authoritykeyidentifier (2.5.29.35) keyidentifier <octet sträng> Byggs upp av en del certifikatets publika nyckel kombinerat med HASH över SHA-1 <octet sträng> bestående av subjectkeyidentifier för utfärdande CA CA keyusage (2.5.29.15) nonrepudiation CA M C signature RSA-signatur över SHA512 CA M CA M M NC 7

Version 0.2 Kommentarer attribut för attribut Version Anger version av X.509 certifikatstandard. serialnumber Unikt nummer för certifikat utfärdade av denna CA, som också genererar numret. Skall vara ett heltal. Representeras som ett heltal ( Integer ) signaturealgorithm Denna sträng anger signerings- och hash-algoritm som agerar underlag för signatur. Issuer I detta objekt anges utfärdarens identitet. Sätts av certifikatsutfärdaren. Validity countryname Detta attribut skall alltid vara SE och anger att certifikatsutfärdaren är en organisation registrerad i Sverige. Anges som printable_string. organizationname Namnet på certifikatsutfärdaren. Anges som UTF8_string. commonname Utfärdande CA. Anges som UTF8_string. Detta objekt innehåller två attribut: notbefore här anges när certifikatet skall börja gälla; detta kan sättas till valfri tid fram till tidpunkten notafter, men anges idag av certifikatsutfärdaren till den tidpunkt då certifikatet signeras av utfärdaren. notafter här anges när certifikatet skall sluta gälla; detta kan idag väljas i portalen i ett intervall från 1 dag till maximalt 2 år från den dag då certifikatet signeras av utfärdaren. Tidpunkterna kodas som UTCTime. Subject I detta objekt anges egenskaper hos funktionen, i certifikatstermer även kallad nyckelinnehavaren (subjektet). countryname Detta attribut innehåller landskod för det land där företaget som äger domännamnet för servern/e-postadressen finns registrerat. Värdet hämtas från domänvalideringsverktyget. Anges som printable_string. 1

Version 0.2 localityname Detta attribut innehåller namn på ort i klartext. Värdet hämtas från domänvalideringsverktyget. LocalityName sätet 3 för den organisation som äger domännamnet för servern/e-postadressen. Anges som UTF8string. organizationname Detta attribut innehåller namn den organisation som äger domännamnet för servern/epostadressen. Skall vara en juridisk person 2 med organisationsnummer. Värdet hämtas från domänvalideringsverktyget. Anges som UTF8string. commonname Innehåller funktionens domännamn eller en e-postadress. Hämtas ur HSA och kontrolleras mot domänvalideringsverktyget. Anges som UTF8_string. serialnumber Funktionens HSA-id. Hämtas ur HSA. Anges som printable_string. emailaddress Här anges funktionens e-postadress då en sådan förekommer i HSA-katalogen. Finns endast i certifikat för legitimering. OBS! För att emailaddress ska få finnas i Subject, SKALL samma adress även finnas i attributet rfc822name under SubjectAltName (se även RFC 3280). Hämtas ur attributet mail i HSA-katalogen och kontrolleras mot domänvalideringsverktyget. Anges som IA5_string. subjectpublickeyinfo Detta objekt innehåller två attribut som definierar den publika nyckeln i certifikatet. Algorithm Anger vilken algoritm som skall används vid kryptering/dekryptering med den publika nyckeln. Värdet skall alltid vara rsaencryption {1.2.840.113549.1.1.1}. Sätts av certifikatsutfärdaren. subjectpublickey Detta attribut innehåller den publika nyckeln. Genereras av certifikatsutfärdaren. Anges som bit string. crldistributionpoints Identifierar platserna där spärrlistan lagras. Två platser finns, en på Internet och en på Sjunet. Dessa delar dock samma URL som returnerar olika IP-adresser beroende på om frågan till DNSservern ställs via Internet eller Sjunet 3 Rättegångsbalken 10 kap 1 : För bolag, förening eller annat samfund, stiftelse eller annan sådan inrättning gälle som hemvist den ort, där styrelsen har sitt säte eller, om säte för styrelsen ej är bestämt eller styrelse ej finnes, där förvaltningen föres. Lag samma vare i fråga om kommun eller annan sådan menighet. 2

Version 0.2 authorityinformationaccess Innehåller adress till aktuell OCSP-tjänst (online certificate status protocol) samt länkar som leder till utfärdarens CA-certifikat. Två platser finns, en på Internet och en på Sjunet. Dessa delar dock samma URL som returnerar olika IP-adresser beroende på om frågan till DNSservern ställs via Internet eller Sjunet. subjectaltname rfc822name Här anges funktionens e-postadress då en sådan förekommer i HSA-katalogen. Finns endast i certifikat för legitimering. Observera att detta attribut SKALL finnas om attributet emailaddress är använt i Subject. Hämtas ur HSA och kontrolleras mot domänvalideringsverktyget. Anges som UTF8_string. dnsname Här anges serverns DNS-namn då commonname i HSA är formaterat som ett FQDN utan @. Samma innehåll som i attributet commonname.. Anges som UTF8_string. Värdet kontrolleras mot godkända domännamn i domänvalideringsverktyget innan certifikat tillåts utfärdas. certificatepolicies policyidentifer [1] OID som pekar på Organization validated enligt CA Browser Forum Baseline requirements samt [2] OID som pekar på vilken rutin som använts då certifikatet utfärdats och på sikt även certifikatstyp (dvs. vilka egenskaper certifikatet har), se separat matris på https://www.inera.se/siths/repository. Sätts av certifikatsutfärdaren. policyqualifier En per identifier, innehåller länkar som pekar på https://www.inera.se/siths/repository enhancedkeyusage Tilldelas Funktionscertifikat för legitimering och innehåller två eller tre av nedanstående utökade syften Certifikat för signering använder inte attributet enhancedkeyusage. serverauthentication Certifikat med detta syfte kan användas som identifiering av en server som tar emot anrop av en klient (användare/annat system). Tilldelas samtliga certifikat för legitimering clientauthentication Certifikat med detta syfte kan användas för att identifiera klientsystem som anropar en server. Tilldelas samtliga certifikat för legitimering emailprotection Certifikat med detta syfte kan användas för signering och kryptering av e- postmeddelanden. En del e-postsystem kräver detta attribut för att det ska vara möjligt 3

Version 0.2 att kryptera och signera e-post (gäller speciellt MS Exchange/Outlook). Tilldelas endast certifikat för legitimering förutsatt att funktionen i HSA har en e-postadress då certifikatet utfärdas. subjectkeyidentifier keyidentifier Obligatoriskt attribut som består av en SHA-1 HASH av en del av certifikatet publika nyckel. Anges som octet_string. authoritykeyidentifier keyidentifier Detta attribut innehåller subjectkeyidentifier för den certifikatsutfärdare som utfärdat certifikatet. Detta möjliggör att det kan finnas flera samtidigt gällande publika CAnycklar. Anges som octet_string. keyusage I detta attribut definieras hur den publika nyckel (och den privata) får användas. Anges som bit_string. Attributet kan ha två olika kombinationer av värden: a) Legitimering - digitalsignature + keyencipherment b) Underskrift - nonrepudiation digitalsignature anger att nyckeln används för att verifiera autentiseringsdata, till exempel vid inloggning. keyencipherment anger att nyckeln används för kryptering/dekryptering, till exempel vid nyckelutbyte. nonrepudiation anger att nyckeln används för att verifiera elektroniska signaturer. Vid begäran av Funktioncertifikat kan man välja för vilket ändamål certifikatet ska användas, keyusage = digitalsignature + keyencipherment alternativt keyusage = nonrepudiation. 4

Version 0.2 Översikt mappning av certifikatinnehållet och HSAinnehåll * - Finns endast i legitimeringscertifikatet Subject SITHS Domain validation tool organizationalrole I HSA countryname organizationname localityname serialnumber commonname emailaddress countryname organizationname localityname hsaidentity commonname* mail* SubjectAltName dnsname rfc822name 5

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss