1.2 110908 (1)18 TjänsteID+, Privata vårdgivare
1.2 110908 (2)18
1.2 110908 (3)18 Innehåll Dokumentstruktur... 4 Bakgrund... 5 Organisation... 5 Extern information... 6 Certifikaten... 6 E-legitimation... 6 Tjänstecertifikat... 6 Rootcertifikat... 7 Behörigheter... 7 Kataloger: KIV och HSA... 7 Övrig funktionalitet på kortet... 7 RFID... 7 Magnetremsa... 7 Servicedesk... 8 Vanliga användarfel... 8 Hårdvarufel... 11 PIN och PUK koder... 12 Självadministration... 13 Klientservice... 15 Tekniska krav... 15 Kortläsare... 15 Net ID klient... 15 Trusted Sites... 15 SITHS CA root certifikat... 15 Datorarbetsplatser... 16 Datorarbetsplats för Slutanvändare :... 16 Infrastruktur... 17 Brandväggskonfigurationer... 17 Innehållet i chip samt certifikat... 17 Chip innehåller vad?... 17 Extern support... 18 Länkar... 18 SITHS Självadministration... 18 Revokeringslistor... 18
1.2 110908 (4)18 Dokumentstruktur Dokumentet är grupperat enligt nedanstående: Bakgrund Servicedesk Klientservice Infrastruktur Syftar till att ge en förstående för SITHS som koncept samt certifikatshantering i allmänhet samt Västra Götalandsregionens tillämpning av ovanstående. Användarrelaterade frågor Installation och tekniska krav Server och nätverksfrågor mm
1.2 110908 (5)18 Bakgrund Västra Götalandsregionen ingår som en del av nationella SITHS (Säker IT inom Hälso och Sjukvård) en standardiserad teknik vilken nyttjar s.k. hårda certifikat för att elektroniskt identifiera en individ.. Organisation Ytterst ansvarig för SITHS certifikat är CA (Certificate Authority) vilken idag innehas av Inera AB s förvaltare av SITHS. Inera AB upphandlar drifttjänster samt primärcertifikat (e-legitimation). Västra Götalandsregionens certifikatsansvarige benämns RA (Registration Authority) och ansvarar för utgivning av SITHS inom Västra Götalandsregionens RAområde. Säkerhetsansvarig för Västra Götalandsregionens certifikatshantering ansvarar för tillsyn och behörighetstilldelning.
1.2 110908 (6)18 Extern information Allmän information om SITHS och TjänsteID+ finns att hämta under: http://www.siths.se Certifikaten Det finns två typer av certifikat med två varianter av vardera. E-legitimation Primärcertifikatet som är ett Telia e-legitimation och finns i två varianter, ett för legitimering och ett för signering. E-legitimationen kan under vissa omständigheter ersättas med andra typer av primärcertifikat. Tjänstecertifikat Sekundärcertifikatet vilket ofta benämns som HCC (HealthCare Certificate), SITHScertifikat eller Tjänstecertifikat. Även här finns det ett för legitimering och ett för signering.
1.2 110908 (7)18 PIN-koderna är knutna till primärcertifikatet (e-legitimation) och tjänstecertifikatet nyttjar dessa genom primärcertifikatet. Det finns således två PIN-koder: Ett för Legitimering av både e-legitimation som tjänstecertifikat Ett för Signering av både e-legitimation som tjänstecertifikat Rootcertifikat Ett så kallat root-certifikat finns även på kortet (för närvarande version 3: SITHS CA v3, Carelink). Detta skall även vara installerat på alla PC. Rootcertifikat hämtas från http://www.siths.se Behörigheter Certifikaten anger vem användaren är men ger inga behörigheter. Dessa sätts inom respektive system. Kataloger: KIV och HSA KIV skickar personposter till den nationella motsvarigheten HSA. Det är enbart från HSA kort och certifikat kan beställas. Övrig funktionalitet på kortet RFID Kortet innehåller även en beröringsfri teknik för identifiering i passagesystem mm enligt specifikation Mifare. Krypterat finns i varsin sektor kortnummer respektive HSAid. Magnetremsa Kortnumret med de tre första siffrorna trunkerade återfinns även på spår 2 i magnetremsan
1.2 110908 (8)18 Servicedesk Vanliga användarfel Problem/meddelande Orsak Åtgärd Användaren har inte fått Kontrolleras genom att Installera mjukvarupaket. programvara (NetID) ikonen syns i aktivitetslisten. Användaren har inte satt i kortet (rätt) Användaren anger fel PIN kod Användaren har valt fel certifikat Kortet sitter normalt med chipet in och framsidan upp, alternativt chipet ner och framsidan mot användaren för de som har kortläsare i tangentbordet. För att ingen av misstag skall signera något använder signeringscertifikatet en annan PINkod än legitimeringscertifikatet. Båda levereras i PUKbrevet och består normalt sett av 6 siffror. För privat bruk används alltid Telia e-legitimation. För tjänsteanvändning används (nästan) alltid SITHS tjänstelegitimation. Tjänstelegitimationen känns igen då utfärdare är SITHS. Flertalet kortläsare har en indikeringslampa som blinkar vid läsning av att ett kort stoppas in. Utlåst PIN kod Efter tre felaktiga försök måste användaren med sin PUK kod låsa upp sin PIN kod igen. Se nedan tabell om PIN och PUK.
1.2 110908 (9)18 Problem/meddelande Orsak Åtgärd Felaktig kod därefter går det inte att komma åt sidan via Internet Explorer. Anges fel kod måste alla instanser av Internet Explorer stängas ned för att By design Internet Explorer Funktionskontroll e-legitimation Flera program för certifikatshantering (bankid, Nexus mm) kan medföra konflikt med NetID. Webbläsarens egna funktioner som Framåt/Bakåt navigering fungerar inte Jag ser en tredje persons certifikat när jag skall logga in men har bara ett kort i datorn Får felmeddelande direkt jag öppnar Internet Explorer sedan startas igen. Användaren kan själv kontrollera om e- legitimationen fungerar antingen genom att gå till Självadministration eller nyttja någon av tjänsterna på http://e-legitimation.se. Använd aldrig Internetprogrammets Framåt/Bakåt funktioner. Webapplikationer som använder säkra kort är säkerhetsbaserate program liknande Internetbank, mm, och uppkoppling mot systemet avbryts om man aktiverar funktioner utanför programmets kontroll, t ex Internet Explorers menyrader. Någon har installerat sitt certifikat från kortet till datorn. Har en inloggning misslyckats eller påbörjats utan att kortet suttit i ligger detta sparat i Internet Explorer. Avinstallera program för annat certifikat än NetiD Ta (om möjligt) bort personens certifikat från datorn. Tillse att inget kort sitter i kortläsaren då det går att radera tjänstecertifikat på korten. Stäng alla sessioner av Internet Explorer och försök igen.
1.2 110908 (10)18 Problem/meddelande Orsak Åtgärd Jag har fått ett reservkort men det finns inget SITHS-certifikat på detta. Reservkorten innehåller ett s.k. transportcertifikat istället för e-legitimation. Transportcertifikatet heter samma som kortnumret. När reservkortet utfärdats får användaren själv hämta SITHS-certifikatet. Användaren går in i Självadministration och loggar in med transportcertifikatet och PINkoderna från PINkodskuvertet och följer anvisningarna. Länken till Självadministration finns i slutet av detta dokument.
1.2 110908 (11)18 Hårdvarufel Problem/meddelande Vad gör jag när kortläsaren i min dator inte kan läsa kortets chip? Vad kan man göra om datorn inte hittar kortläsaren? Åtgärd Kontrollera om NetID läser kortet genom att högerklicka på symbolen för NetID i Aktivitetsfältet längst nere till höger på skärmen och välja Administration. Om ingen information visas i mittenrutan (innehavarens namn syns ingenstans) kan följande göras: a) Ta ut kortet ur kortläsaren och sätt in det igen. Vänta. b) Testa om det går att läsa direkt mot chip: Högerklicka Netid, välj kortläsare, välj Innehåll. Går det att se minst 5 certifikat fungerar NetID och kortläsaren. Problemet kan då ligga i applikationen. c) Stänga av NetID och starta den igen. d) Fungerar kortet i annan dator, eller fungerar annans kort i denna dator? e) Konstateras fel på kortet hänvisa till förvaltningens kortadministratörer. Om det är en kortläsare som är ansluten via USB kan man prova att ta bort USB-anslutningen och starta om datorn innan man ansluter kortläsaren igen. I annat fall behöver drivrutinerna installeras om.
1.2 110908 (12)18 PIN och PUK koder Problem/meddelande Åtgärd Byte av PIN kod Högerklicka på ikonen för Net id klienten. Återställande av PINkod med hjälp av PUK kod Välj Ändra säkerhetskod och välj om du skall ändra PINkoden för legitimering eller signering. Skriv din befintliga PIN-kod och den önskade PIN-koden två gånger. Högerklicka på ikonen för Net id klienten. Välj Låsa upp säkerhetskod och välj om du skall låsa upp PIN-koden för legitimering eller signering. Skriv din upplåsningskod (PUK inte PIN-kod) och den önskade PIN-koden två gånger. PUKkoden finns sa det PINkodskuvert som användaren använt för att kvittera ut sitt kort med.
1.2 110908 (13)18 Självadministration Självadministration är ett sätt för kortinnehavaren att själv hämta redan utfärdade certifikat eller radera utgångna: Notera att vid all Självadministration används inte tjänstecertifikatet (HCC eller SITHS) utan den personliga e-legitimationen, eller i förekommande fall de koder du fått med reservkort Nedan tabell listar de problem som kan uppkomma i samband med Självadministration: Problem/meddelande Orsak Åtgärd Hur loggar jag in i Självadministrationen (HCC Administration)? Det går inte att logga in i Självadministrationen Vad gör jag om hämtning eller spärrning i Självadministrationen inte fullföljs? Inloggning till Självadministrationen sker genom att först sätta in kortet i kortläsaren. Det finns två länkar för att nå Självadministrationen. Inloggning till självadministration kräver att användaren väljer e- legitimation och inte SITHS Tjänstecertifikat! Fel på nätförbindelse eller i Telias system Användaren försöker logga in med sitt SITHScertifikat Ibland inträffar det att en hämtning inte fullföljs. Några tänkbara orsaker kan vara att kortet är skadat, att kortet saknar plats för ytterligare e- tjänstelegitimation eller att hämtningen avbrutits på grund av att du klickat på knappen Nej eller avbryt i dialogrutan. Det kan även bero på att du varit för snabb vid genomgång i guiden och klickat på nästa innan NetID hunnit hämta ner e- https://ccu.trust.telia.com/ccu ( Sjunet) https://cve.trust.telia.com/ccu ( Internet) Felanmälan till Telias helpdesk. Logga in med antingen din e-legitimation eller reservkortets serienummer. Prova att genomföra hämtningen en gång till och försäkra dig om att NetID avslutat hämtningen (timglas visas vid NetID-ikonen när den arbetar) innan du går vidare i guiden.
1.2 110908 (14)18 Problem/meddelande Orsak Åtgärd tjänstelegitimationen.
1.2 110908 (15)18 Klientservice Tekniska krav Kortläsare Dessa skall följa standarden PC/SC. Det rekommenderas att testa kortläsare innan inköp. Kortläsare med känd bugg som inte stöds är: GEMPC430. Mer info finns på: http://www.inera.se/nyheter/infrastrukturtjanster/siths/nyproducerade-siths-kort-far-andra-chip/ Net ID klient Net id är en PKI klient som kan agera CSP (Cryptographic Service Provider), dvs en funktion som ombesörjer kontakten mellan kortläsare och Windows. Net ID klienten är synlig i aktivitetslisten. Trusted Sites Internet Explorer skall ha https://*.trust.telia.com i Tillförlitliga platser. SITHS CA root certifikat Installeras normalt första gången en användare matar in ett SITHSkort och har erforderliga behörigheter på datorn. Kan även distribueras genom Active Directory eller motsvarande. Aktuella CAcertifikat kan hämtas från http://www.siths.se. Detta kan kontrolleras enligt nedan:
1.2 110908 (16)18 SITHS CA v3 eller motsvarande version skall finnas under Betrodda rootcertifikatsutfärdare. Datorarbetsplatser Datorarbetsplats för Slutanvändare : Kortläsare (med eventuella drivrutiner) NetID Trusted sites i Internet Explorer skall innehålla https://*.trust.telia.com SITHS CA root-certifikat
1.2 110908 (17)18 Infrastruktur Brandväggskonfigurationer Port 80 och 389 måste vara öppna, vilket beror på att: a) CRL kontroll sker via en http adress (port 80) b) CRL kontroll sker på en LDAP server (port 389) Innehållet i chip samt certifikat Chip innehåller vad? Innehållet i chipen på ordinarie kort ser därmed ut enligt nedan bild: 2 st Tjänstecertifikat med HSAid, 2 st e-legitimationer med personnummer samt 1 st root-certifikatet. Denna vy nås genom att högerklicka på NetIDikonen, välja kortläsaren där kortet sitter och i dialogrutan välja Innehåll.
1.2 110908 (18)18 Extern support Länkar SITHS Självadministration Inloggning med e-legitimationen! Sjunet https://ccu.trust.telia.com/ccu Internet https://cve.trust.telia.com/ccu Revokeringslistor Verifiering av certifikat sker främst på tre källor: ldap://sithscrl.carelink.sjunet.org/c%3dse?certificaterevocationlist http://www.carelink.se/siths-ca/ca001.crl http://sithsocsp.trust.telia.com Notera att ovan gäller för nuvarande version 3 av SITHS och senare versioner kommer att använda andra URL. Minst en av revokeringslistorna måste vara tillgänglig för att inte certifikatet skall betraktas som ogiltigt.