Inom SITHS e-id finns det certifikat för olika syften som grupperas enligt:

Relevanta dokument
Inom SITHS e-id finns det certifikat för olika syften som grupperas enligt:

Version Datum Kommentar Etablering av dokumentet Efter första genomgång av Cygate och SITHS PA

Certifikatspecifikation för Sveriges kommuner och landsting med samarbetspartners HCC

Certifikatspecifikation för Sveriges kommuner och landsting med samarbetspartners HCC

Certifikatspecifikation för Sveriges kommuner och landsting med samarbetspartners HCC

Certifikat. svensk vård och omsorg HCC

Specifikation av CA-certifikat för SITHS

Efos PKI-struktur. Den nya PKI-strukturen. Användningsområden för certifikat

Termer och begrepp. Identifieringstjänst SITHS

Termer och begrepp. Identifieringstjänst SITHS

Riktlinjer och anvisningar avseende säkerhet. vid informationsutbyte via EDI. Version

Se övergripande tidplan för arbetet med SITHS Kontinuitetssäkring och SITHS e-id på denna sida:

Modul 3 Föreläsningsinnehåll

Certifikat - Ett av en CA elektroniskt signerat intyg som knyter en publik nyckel till en specifik nyckelinnehavare. Källa: Inera (BIF)

SITHS Thomas Näsberg Inera

Åtgärdsplan. CRL Åtgärdsplan Copyright 2015 SecMaker AB Författare: Jens Alm

TjänsteID+ Teknisk översiktsdokument etjänstekort, Privata vårdgivare

Telias Utfärdardeklaration, CPS, för Telia e-legitimation Version 1.3. Datum:

Kontaktchip - annat innehåll och nya kortprofiler för integration

SITHS på egna och andra organisationers kort. Hur SITHS kort-information uppdateras i HSA

Guide till Inera IdP. Information angående anslutning av Nationella e-tjänster

Checklista. För åtkomst till Svevac

E-identitet för offentlig sektor (Efos) Kerstin Arvedson, Inera

Mobilt Efos och ny metod för stark autentisering

En övergripande bild av SITHS

1 Exempel på att kontrollera XML-signatur manuellt

Rutin för utgivning av funktionscertifikat

Checklista för tekniskt ansvarig

Filleveranser till VINN och KRITA

Mobilt Efos och ny metod för stark autentisering

Portförändringar. Säkerhetstjänster 2.1 och framåt

Protokollbeskrivning av OKI

SITHS anpassning av IT system. Användarguide: Gör så här SITHS anpassning av IT System

Mobilt Efos och ny metod för stark autentisering

Ändringar i utfärdande av HCC Funktion

Instruktion för att kunna använda Säkerhetstjänsternas administrationsgränssnitt

Checklista. Anslutning till NPÖ som konsument

Telias Utfärdardeklaration, CPS,

VGC RAPS RA Practice Statement för Västra Götalandsregionens intern PKI

Certifikattjänsten - testbädd. Anläggningsprojekt för ett nationellt inkomstregister

SITHS inloggning i AD

Identifieringstjänst SITHS. - Beskrivning och tjänstespecifika villkor

Policy Underskriftstjänst Svensk e-legitimation

SSEK Säkra webbtjänster för affärskritisk kommunikation

Leanlink Ao LKDATA. Teknik spåret. Föreläsare: Michael Lööw, Linköpings Kommun

Tekniskt ramverk för Svensk e- legitimation

MVK SSO 2.0 Mina vårdkontakter

XML-produkter. -Registret över verkliga huvudmän (RVH) Teknisk handledning för webbtjänst mot RVH (Web Services) Datum: Version: 1.

Beställning av certifikat för anslutning till BankID (RP certificate) Version

!! Sambi!! Attributspecifikation! Version 1.0

Testa ditt SITHS-kort

Utfärdande av HCC. Utbyte av SITHS CA v3 på kort som kan hantera SITHS CA v1

Kortprodukter. E-identitet för offentlig sektor

Riktlinjer för informationssäkerhet

Kryptering. Krypteringsmetoder

Tjänstebeskrivning Extern Åtkomst COSMIC LINK. Version 1.0

Avtal om Kundens användning av Identifieringstjänst SITHS

EFOS-dagen, Lanseringsplan. 26 September 2018

Frågehantering XML-produkter Bolagsverket 1 (15)

Utfärdande av SITHS-kort. Utbyte av kort som inte klarar av SITHS CA v1 certifikat

Certifikatpolicy (CP) och utfärdardeklaration (CPS)

Ditt nya smarta etjänstekort!

Revisionsfrågor HSA och SITHS 2015

Teknisk Anslutningsguide Efos Server

Innehåll Net ID installation... 2 Instruktion för nedladdning av HCC... 7 Låsa upp kort med hjälp av PUK-koden Byt säkerhetskod...

DNSSEC och säkerheten på Internet

Introduktion Schenker-BTL AB, Stab IT Beskrivning över informationsintegreringmed Schenker, metodbeskrivning version 1.

Hämta SITHS-certifikat till Telia e-leg och logga in till Telia SITHS Admin med SITHS-certifikat

Tekniskt ramverk för Svensk e-legitimation

Avtal om Kundens användning av E-identitet för offentlig sektor

Pratpunkter. Siths och Efos godkänd som Svensk e-legitimation Sambi Förtida utbyte av kort Prisbild för Efos.

Krypteringteknologier. Sidorna ( ) i boken

Lathund. Beställa F-kort i Tandvårdsfönster

Pascal tillämpningsanvisning Anrop av Pascal via uthopp från annan applikation

Tillitsramverk. Identifieringstjänst SITHS

Detta är en sammanfattande information och checklista över vad införandet av E- identitet för offentlig sektor, Efos, innebär.

Samverka effektivare via regiongemensam katalog

Systemkrav och rekommendationer. Åtkomst till Pascal

Systemkrav. Åtkomst till Pascal

Introduktion till protokoll för nätverkssäkerhet

Snabbstart - "första gången användare"

Registration Authority Practice Statement RAPS

Massutbyte av HCC. Manual för administration av massutbyte i SITHS Admin

HSA-schema tjänsteträdet. Version

Sammanfattning och specifikationer för POT

Bakgrund Avgränsningar Begreppsförklaring Kortfattade anvisningar... 2

Ansökningsanvisning för SUNET TCS-certifikat via SLU CA.

Manual Användaradministration

Lathund. Hantera boendeenheter i Tandvårdsfönster

Anvisning Tjänsteplattformen Driftsättning av Virtualiseringsplattformen

Beställning av certifikat v 3.0

256bit Security AB Offentligt dokument

BILAGA 2 Tekniska krav Version 0.81

Certifikatbaserad inloggning via SITHS, tillämpningsexempel

Mallar för kvittenser och e-post. Exempel på text till kvittenser och e-post i administrationshantering av SITHS-kort

Testning av Sambi. Testplan. Version PA12. Fil namn: SAMBI_TP.docx Senast sparad: Copyright (c) 2014 IIS

Kontroll av e-tjänstekort och tillhörande PIN-koder

Helen Sigfast Tomas Ahl Thomas Näsberg Sjukvårdsrådgivningen.

Transkript:

Version 0.3 Revisionshistorik Version Datum Kommentar 0.1 2019-01-07 Etablering av dokumentet 0.2 2019-01-18 Efter första genomgång av Cygate och SITHS PA 0.3 Efter andra genomgång av SITHS PA Inledning Inom SITHS e-id finns det certifikat för olika syften som grupperas enligt: Slutanvändarcertifikat för informationsutbyte mellan servrar, tjänster och applikationer SITHS e-id Function v1 Slutanvändarcertifikat för identifiering av personer SITHS e-id Person ID 2 v1 SITHS e-id Person ID 3 v1 SITHS e-id Person ID obile v1 SITHS e-id Person HSA-id 2 v1 (beskrivs i detta dokument) SITHS e-id Person HSA-id 3 v1 (beskrivs i detta dokument) Certifikaten som beskrivs i denna specifikation utfärdas till personer: Som finns i HSA med HSA-id Som ett certifikatpar, dvs. ett certifikat för legitimering och ett certifikat för underskrift. Tillsammans med ytterligare ett certifikatpar som innehåller personnummer eller samordningsnummer som identifierare istället för HSA-id. OBS! undantaget är personer som inte finns i den svenska folkbokföringen, så kallade CrossBorder, som endast får ett certifikatpar med HSA-id På enheter med hårdvaruskydd av de privata nycklarna. T ex. smarta kort. Kodning av attribut sker i enlighet med de för respektive attribut gällande specifikationer. Observera särskilt att vissa attribut kodas enligt UTF-8. 1

Version 0.3 Testmiljö - PKI Testmiljön för PKI har till största delen likadana certifikatspecifikationer som produktion vad gäller innehåll och egenskaper. Undantagen är följande: Samtliga utfärdares namn kompletteras med ett begynnande TEST, t ex. TEST SITHS e-id Root v2 Samtliga URL:er för AIA, CRL och CDP kompletteras med o o pp i url, t ex. https://crl1pp.siths.se eller https://ocsp1pp.siths.se ett inledande test i själva filnamnet, t ex. https://crl1pp.siths.se/testsithseidpersonid3cav1.crl Åtkomst via Sjunet Samtliga URL:er för CRL, AIA och OCSP går att nå både via Internet och Sjunet. Detta baserar sig dock på att respektive DNS-värde slås upp korrekt mot Sjunets DNS-server. Tekniken för detta kalla Dual-view DNS och i praktiken innebär det att ett DNS-värde kan resultera i olika IP-adresser beroende på vilken IP-adress den som ställer frågan presenterar mot DNS-servern. T ex kommer crl1.siths.se ge: En IP-adress om frågan ställs via Internet En annan IP-adress om frågan ställs via Sjunet Inom SITHS Root v1 finns det olika sökvägar för detta, men eftersom PKI som teknik är utformad så att systemen som default förväntar sig att samtliga sökvägar ska vara nåbara från det nätverk frågan ställs från har vi valt denna alternativa lösning istället. Tillitsnivå Certifikat för personer kan ha olika tillitsnivå (LoA=Level of Assurance). För SITHS e-id anges detta i attributet Certifikatprinciper genom att olika O.I.D:er skrivs beroende på egenskaper som: vilken utfärdandeprocess som användes hur de privata nycklarna skyddats under tillverkning och leverans till användaren hur aktiveringsdata, dvs. pin-koder, säkerhetskoder och puk-koder som krävs för att använda e-legitimationen har skyddats under tillverkning och leverans till användaren Vilken tillitsnivå en viss O.I.D motsvarar representeras av den matris som återfinns på https://www.inera.se/siths/repository Siths tillitsnivåer baserar sig på tillitsramverket för Svensk e-legitimation 2

Personcertifikat för legitimering med HSA-id ed maxlängd i tabellen nedan avses antal tecken i datadelen av attributet. Attribut (O.I.D) ax längd Värde Exempel Källa Optional/ andatory version 1 3 serialnumber 64 <Randomiserad med hemlig algoritm i -systemet> 00d9b4778ba5ed51e811f2a664a79 3ae3a191 signaturealgorithm sha-256withrsaencryption (1.2.840.113549.1.1.11) issuer countryname (2.5.4.6) 2 SE organizationname (2.5.4.10) 64 Inera AB commonname (2.5.4.3) 64 SITHS e-id Person HSA-id 2 v1 ELLER SITHS e-id Person HSA-id 3 v1 validity <minst 1 dagar max 5 år> Ytterligare begränsningar kan komma av den portal som används subject notbefore 13 190601084459Z notafter 13 240601084459Z Critical/ Noncritical 1

Attribut (O.I.D) ax längd Värde Exempel Källa Optional/ andatory Critical/ Noncritical emailaddress (1.2.840.113549.1.9.1) 255 rane.l.ramberg@test.rvn.se RA (HSA) IP 1 serialnumber (2.5.4.5) 64 SE5565594230-ADDGS RA (HSA) givenname (2.5.4.42) 64 Rane RA (HSA) IP 1 surname (2.5.4.4) 64 Larsson Ramberg RA (HSA) commonname (2.5.4.3) 64 Rane Larsson Ramberg RA (HSA) organizationname (2.5.4.10) 64 Region Västernorrland RA (HSA) localityname (2.5.4.7) 128 Västernorrlands län RA (HSA) IP 1 countryname (2.5.4.6) 2 SE cardnumber (1.2.752.34.2.1) CardNumber enligt svensk standard SS614331 9752269875705018685 NC subjectpublickeyinfo Algorithm rsaencryption {1.2.840.113549.1.1.1} subjectpublickey crldistributionpoints (2.5.29.31) Certifikatets publika nyckel, beräknad enligt angiven algoritm, 2048-bitar lång [1] CRL Distribution Point Distribution Point Name: Full Name: URL=http://crl1.siths.se/sithseidpersonhsaid2cav1.crl ELLER NC 1 IP andatory if present 2

Attribut (O.I.D) authorityinformationaccess (1.3.6.1.5.5.7.1.1) subjectaltname (2.5.29.17) ax längd Värde Exempel Källa Optional/ andatory URL=http://crl1.siths.se/sithseidpersonhsaid3cav1.crl [1] Authority Info Access Access ethod=on-line Certificate Status Protocol (1.3.6.1.5.5.7.48.1) Alternative Name: URL=http://ocsp1.siths.se [2] Authority Info Access Access ethod=certification Authority Issuer (1.3.6.1.5.5.7.48.2) Alternative Name: URL=http://aia.siths.se/sithseidpersonhsaid2cav1.cer ELLER URL=http://aia.siths.se/sithseidpersonhsaid3cav1.cer NC Critical/ Noncritical NC userprincipalname (1.3.6.1.4.1.311.20.2.3) 255 rlrg@test.lvn.se RA (HSA) IP 1 rfc822name 255 rane.l.ramberg@test.lvn.se RA (HSA) IP 1 certificatepolicies (2.5.29.32) [1]Certificate Policy: Policy Identifier=2.23.140.1.2.3 [1,1]Policy Qualifier Info: Policy Qualifier Id=CPS Qualifier: https://www.inera.se/siths/repository [2]Certificate Policy: Policy Identifier=SE EXEPEL --> [2,1]Policy Qualifier Info: Policy Qualifier Id=CPS Värdet Qualifier i det andra [2] av dessa objekt kommer att kunna anta olika värden beroende på vilken rutin som användes vid utfärdande av certifikatet. Detta indikerar också tillitsnivån för den identitet som certifikatet pekar enligt tillitsramverket för Svensk e- legitimation atris som indikerar detta återfinns på https://www.inera.se/siths/repository NC 3

Attribut (O.I.D) ax längd Värde Exempel Källa Optional/ andatory Qualifier: https://www.inera.se/siths/repository enhancedkeyusage O NC clientauthentication (1.3.6.1.5.5.7.3.2) smartcardlogon (1.3.6.1.4.1.311.20.2.2) emailprotection (1.3.6.1.5.5.7.3.4) subjectkeyidentifier (2.5.29.14) keyidentifier authoritykeyidentifier (2.5.29.35) keyidentifier <octet sträng> Byggs upp av en del av certifikatets publika nyckel kombinerat med HASH över SHA-1 <octet sträng> bestående av subjectkeyidentifier för utfärdande keyusage (2.5.29.15) digitalsignature, keyencipherment C Signature RSA-signatur över SHA256 RA RA RA Critical/ Noncritical NC NC 4

Personcertifikat för underskrift med HSA-id ed maxlängd i tabellen nedan avses antal tecken i datadelen av attributet. Attribut (O.I.D) ax längd Värde Exempel Källa Optional/ andatory version 1 3 serialnumber 64 <Randomiserad med hemlig algoritm i -systemet> 00d9b4778ba5ed51e811f2a664a79 3ae3a191 signaturealgorithm sha-256withrsaencryption (1.2.840.113549.1.1.11) issuer countryname (2.5.4.6) 2 SE organizationname (2.5.4.10) 64 Inera AB commonname (2.5.4.3) 64 SITHS e-id Person HSA-id 2 v1 ELLER SITHS e-id Person HSA-id 3 v1 validity <minst 1 dagar max 5 år> Ytterligare begränsningar kan komma av den portal som används subject notbefore 13 190601084459Z notafter 13 240601084459Z emailaddress (1.2.840.113549.1.9.1) 255 rane.l.ramberg@test.rvn.se RA (HSA) IP 1 serialnumber (2.5.4.5) 64 SE5565594230-ADDGS RA (HSA) givenname (2.5.4.42) 64 Rane RA (HSA) IP 1 surname (2.5.4.4) 64 Larsson Ramberg RA (HSA) Critical/ Noncritical 5

Attribut (O.I.D) ax längd Värde Exempel Källa Optional/ andatory commonname (2.5.4.3) 64 Rane Larsson Ramberg RA (HSA) organizationname (2.5.4.10) 64 Region Västernorrland RA (HSA) Critical/ Noncritical localityname (2.5.4.7) 128 Västernorrlands län RA (HSA) IP 1 countryname (2.5.4.6) 2 SE cardnumber (1.2.752.34.2.1) CardNumber enligt svensk standard SS614331 9752269875705018685 RA NC subjectpublickeyinfo algorithm rsaencryption {1.2.840.113549.1.1.1} subjectpublickey crldistributionpoints (2.5.29.31) authorityinformationaccess (1.3.6.1.5.5.7.1.1) Certifikatets publika nyckel, beräknad enligt angiven algoritm, 2048-bitar lång [1] CRL Distribution Point Distribution Point Name: Full Name: URL=http://crl1.siths.se/sithseidpersonhsaid2cav1.crl ELLER URL=http://crl1.siths.se/sithseidpersonhsaid3cav1.crl [1] Authority Info Access Access ethod=on-line Certificate Status Protocol (1.3.6.1.5.5.7.48.1) Alternative Name: URL=http://ocsp1.siths.se [2] Authority Info Access Access ethod=certification Authority Issuer (1.3.6.1.5.5.7.48.2) Alternative Name: NC NC 6

Attribut (O.I.D) certificatepolicies (2.5.29.32) subjectkeyidentifier (2.5.29.14) keyidentifier authoritykeyidentifier (2.5.29.35) keyidentifier ax längd Värde Exempel Källa Optional/ andatory URL=http://aia.siths.se/sithseidpersonhsaid2cav1.cer ELLER URL=http://aia.siths.se/sithseidpersonhsaid3cav1.cer [1]Certificate Policy: Policy Identifier=2.23.140.1.2.3 [1,1]Policy Qualifier Info: Policy Qualifier Id=CPS Qualifier: https://www.inera.se/siths/repository [2]Certificate Policy: Policy Identifier=SE EXEPEL --> [2,1]Policy Qualifier Info: Policy Qualifier Id=CPS Qualifier: https://www.inera.se/siths/repository <octet sträng> Byggs upp av en del av certifikatets publika nyckel kombinerat med HASH över SHA-1 <octet sträng> bestående av subjectkeyidentifier för utfärdande Värdet Qualifier i det andra [2] av dessa objekt kommer att kunna anta olika värden beroende på vilken rutin som användes vid utfärdande av certifikatet. Detta indikerar också tillitsnivån för den identitet som certifikatet pekar enligt tillitsramverket för Svensk e- legitimation atris som indikerar detta återfinns på https://www.inera.se/siths/repository NC keyusage (2.5.29.15) nonrepudiation C signature RSA-signatur över SHA256 Critical/ Noncritical NC NC 7

Kommentarer attribut för attribut Version Anger version av X.509 certifikatstandard. serialnumber Unikt nummer för certifikat utfärdade av denna, som också genererar numret. Skall vara ett heltal. Representeras som ett heltal ( Integer ) signaturealgorithm Denna sträng anger signerings- och hash-algoritm som agerar underlag för signatur. Issuer I detta objekt anges utfärdarens identitet. Sätts av certifikatsutfärdaren. Validity countryname Detta attribut skall alltid vara SE och anger att certifikatsutfärdaren är en organisation registrerad i Sverige. Anges som printable_string. organizationname Namnet på certifikatsutfärdaren. Anges som UTF8_string. commonname Utfärdande. Anges som UTF8_string. Detta objekt innehåller två attribut: notbefore här anges när certifikatet skall börja gälla; detta kan sättas till valfri tid fram till tidpunkten notafter, men anges idag av certifikatsutfärdaren till den tidpunkt då certifikatet signeras av utfärdaren. notafter här anges när certifikatet skall sluta gälla; detta attribut sätts idag av certifikatsutfärden till maximalt samma notafter som i primärcertifikatet från SITHS e-id Person 2 resp. 3 v1 dvs. som längst till tidpunkten för då certifikatet signeras av utfärdaren plus fem år. Tidpunkterna kodas som UTCTime. Subject I detta objekt anges egenskaper hos personen i certifikatstermer även kallad nyckelinnehavaren (subjektet). countryname 1

Detta attribut skall alltid vara SE och anger att nyckelinnehavaren är en organisation eller person registrerad i Sverige. Sätts av certifikatsutfärdaren. Hämtas ur HSA. Anges som printable_string. localityname Detta attribut innehåller namn på ort i klartext. LocalityName är sätet för den organisation som har ansvaret för utgivningsprocessen 2. Hämtas från katalogstrukturen i HSA i förekommande fall. Anges som UTF8string. organizationname Detta attribut innehåller namn på huvudman eller motsvarande. Skall vara en juridisk person med organisationsnummer. OrganizationName är namnet på den organisation som har ansvaret för utgivningsprocessen 2. Hämtas från katalogstrukturen i HSA i förekommande fall. Anges som UTF8string. commonname Bildas av givenname följt av surname. Hämtas ur HSA. Anges som UTF8_string. surname I de fall en person har ett mellannamn (middlename i HSA) används även det i surname. Hämtas ur HSA. Anges som UTF8_string. givenname Det är obligatoriskt om det finns i folkbokföringen, om det inte finns lämnas attributet tomt. Hämtas ur HSA. Anges som UTF8_string. serialnumber Personens HSA-id. Hämtas ur HSA. Anges som printable_string. emailaddress Här anges personens e-postadress då en sådan förekommer i HSA-katalogen. OBS! För att emailaddress ska få finnas i Subject, SKALL samma adress även finnas i attributet rfc822name under SubjectAltName (se även RFC 3280). Hämtas ur attributet mail i HSA-katalogen. Anges som IA5_string. subjectpublickeyinfo Detta objekt innehåller två attribut som definierar den publika nyckeln i certifikatet. Algorithm Anger vilken algoritm som skall används vid kryptering/dekryptering med den publika 2 Rättegångsbalken 10 kap 1 : För bolag, förening eller annat samfund, stiftelse eller annan sådan inrättning gälle som hemvist den ort, där styrelsen har sitt säte eller, om säte för styrelsen ej är bestämt eller styrelse ej finnes, där förvaltningen föres. Lag samma vare i fråga om kommun eller annan sådan menighet. 2

nyckeln. Värdet skall alltid vara rsaencryption {1.2.840.113549.1.1.1}. Sätts av certifikatsutfärdaren. subjectpublickey Detta attribut innehåller den publika nyckeln. Genereras av certifikatsutfärdaren. Anges som bit string. cardnumber Innehåller kortets serienummer. CardNumber skall alltid finnas om ett kort är bärare av den/de privata nycklarna. Hämtas ur e-legitimationen på kortet alternativt ur kortets transportcertifikat. Anges som printable_string. crldistributionpoints Identifierar platserna där spärrlistan lagras. Två platser finns, en på Internet och en på Sjunet. Dessa delar dock samma URL som returnerar olika IP-adresser beroende på om frågan till DNSservern ställs via Internet eller Sjunet authorityinformationaccess Innehåller adress till aktuell OCSP-tjänst (online certificate status protocol) samt länkar som leder till utfärdarens -certifikat. Två platser finns, en på Internet och en på Sjunet. Dessa delar dock samma URL som returnerar olika IP-adresser beroende på om frågan till DNSservern ställs via Internet eller Sjunet. subjectaltname Används inte i certifikat för underskrift rfc822name Här anges personens e-postadress då en sådan förekommer i HSA-katalogen. Observera att detta attribut SKALL finnas om attributet emailaddress är använt i Subject. Hämtas ur HSA. Anges som UTF8_string. userprincipalname Detta attribut används framförallt då certifikat ska kunna användas för inloggning mot S Active Directory. Hämtas ur HSA. Anges som UTF8_string. certificatepolicies policyidentifer [1] OID som pekar på Individual validated enligt Browser Forum Baseline requirements. Sätts av certifikatsutfärdaren. samt [2] OID som reflekterar vilken utfärdanderutin som använts och även tillitsnivån för certifikatet enligt tillitsramverket för Svensk e-legitimation, se separat matris på https://www.inera.se/siths/repository. Sätts av certifikatsutfärdaren. policyqualifier En per identifier [1,1] & [2,1], innehåller länkar som pekar på https://www.inera.se/siths/repository enhancedkeyusage 3

Tilldelas certifikat för legitimering om UPN finns i HSA, innehåller nedanstående utökade syften. Certifikat för signering använder inte attributet enhancedkeyusage. clientauthentication Certifikat med detta syfte kan användas för att identifiera en användare som anropar en server. emailprotection Certifikat med detta syfte kan användas för säker e-post. En del e-postsystem kräver detta syfte för att det ska vara möjligt att kryptera och signera e-post (gäller speciellt S Exchange/Outlook). smartcardlogon Certifikat med detta syfte kan användas för inloggning till S Windows/Active Directory. subjectkeyidentifier keyidentifier Obligatoriskt attribut som består av en SHA-1 HASH av en del av certifikatet publika nyckel. Anges som octet_string. authoritykeyidentifier keyidentifier Detta attribut innehåller subjectkeyidentifier för den certifikatsutfärdare som utfärdat certifikatet. Detta möjliggör att det kan finnas flera samtidigt gällande publika nycklar. Anges som octet_string. keyusage I detta attribut definieras hur den publika nyckel (och den privata) får användas. Anges som bit_string. Attributet kan ha två olika kombinationer av värden: a) Legitimering - digitalsignature + keyencipherment b) Underskrift - nonrepudiation digitalsignature anger att nyckeln används för att verifiera autentiseringsdata, till exempel vid inloggning. keyencipherment anger att nyckeln används för kryptering/dekryptering, till exempel vid nyckelutbyte. nonrepudiation anger att nyckeln används för att verifiera elektroniska signaturer. Vid begäran om certifikat utfärdas två certifikat, ett med keyusage = digitalsignature + keyencipherment, detta certifikat kan således användas både för autentisering och kryptering/dekryptering, och ett med keyusage = nonrepudiation, detta certifikat kan bara användas för elektroniska signaturer. 4

Översikt mappning av certifikatinnehållet och HSAinnehåll * - Finns endast i legitimeringscertifikatet Subject serialnumber givenname Surname commonname organizationname localityname countryname emailaddress organizationalperson i HSA hsaidentity givenname surname middlename commonname organizationname localityname countryname mail* SubjectAltName rfc822name userprincipalname userprincipalname* 5

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss