Checklista och information SITHS e-id - för ansvarig utgivare Informationen i detta dokument riktar sig främst till ansvarig utgivare, id-administratörer och övriga personer som jobbar med SITHS. Dokumentet innehåller information om sådant som din organisation måste göra med anledning av införandet av SITHS e-id. Om ni inte hanterar detta kan konsekvensen bli driftstörningar och att användare inte kan använda SITHS e-id. Se övergripande tidplan för arbetet med SITHS Kontinuitetssäkring och SITHS e-id på denna sida: www.inera.se/siths-kontinuitetssakring OBS! Detta är ett levande dokument som kommer att uppdateras kontinuerligt. Tänk därför på att hela tiden gå till inera.se för att ladda ner den senaste versionen. Revisionshistorik Datum Version Vad har förändrats 2019-08-30 1.0 Första version 1.1 Små förtydliganden genomgående i hela texten. Begreppsförklaring SITHS e-id = Samlingsnamn för allt som förknippas med den nya PKI-strukturen (SITHS e-id Root CA v2). SITHS e-id certifikat = Certifikat som är utgivna från den nya PKI-strukturen. o Dessa kan ha både tillitsnivå 3 (LoA3) och tillitsnivå 2 (LoA2). o Det finns både certifikat som innehåller personnummer och certifikat som innehåller HSA-id o Det finns olika typer av SITHS e-id certifikat, de som ska användas på kort, för mobila bärare eller för att identifiera system och kryptera information vid överföring mellan servrar. SITHS e-id kort = Det nya ordinarie kortet som redan vid leverans har SITHS e-id certifikat. De nya korten har en ny kortprofil. SITHS-certifikat = Certifikat utfärdade från SITHS Root CA v1. SITHS-kort = Nuvarande ordinarie kort som vid leverans har certifikat utfärdade under SITHS Root CA v1. Dessa SITHS-kort kan uppgraderas med ett SITHS e-id certifikat med tillitsnivå 3 SITHS reservkort Nuvarande reservkort som ett SITHS-certifikat kan hämtas till. SITHS Självadministration byter namn till Mina sidor. Utseendet ändras, nuvarande funktionalitet finns kvar och viss funktionalitet är ny.
Detta behöver din organisation göra med anledning av övergången till SITHS e-id Vi rekommenderar att du som ansvarig utgivare snarast möjligt tar fram en plan och påbörjar arbetet med att förbereda din organisation för att ge ut SITHS e-id till era användare. Nedan kan du i kort punktform se de viktigaste aktiviteterna ni måste planera och genomföra. Mer information om detta kommer sedan längre ner. Detta behöver ni planera och genomföra: Innan 4 november 2019 Installera tillit till SITHS e-id Root CA v2 i alla e-tjänster och IdP:er där SITHS kommer att användas för autentisering i god tid innan den 4 november. Bestämma datum för när ni ska informera och uppmana era användare att distansuppgradera befintliga SITHS-kort med SITHS e-id. Distansuppgradering är möjligt att göra från 4 november 2019. Se nedan vad som gäller för id-administratörer. Länk till distansuppgraderingen kommer senare. Uppgradera till senaste versionen av Net id Enterprise snarast möjligt för att undvika problem. Innan 3 februari 2020 Uppgradera SIS Capture Station till version 3.4.6 eller senare, annars kan ni inte utfärda SITHS e-id. Planera in när era id-administratörer ska börja beställa SITHS e-id kort. Detta är möjligt från och med den 3 februari 2020. Planera in när ni ska börja utfärda nya funktionscertifikat för server-till-serverkommunikation från nya PKI-strukturen. Detta är möjligt från och med den 3 februari 2020. Informera alla som berörs att Mina sidor ersätter SITHS Självadministration från och med 3 februari 2020. Utseendet ändras, nuvarande funktionalitet finns kvar och viss funktionalitet är ny. Mellan den 4 november 2019 och 5 maj 2020 kommer gamla SITHS Admin och Mina sidor att kunna användas parallellt. Ny kortbilaga lanseras. Det innebär bland annat att kundunika produkter försvinner och att det inte går att hämta SITHS e-id certifikat till Telia-id eller Skatteverkets id-kort. Innan 5 maj 2020 Planera in när ni ska sluta att beställa gamla SITHS-kort och gamla SITHS funktionscertifikat. Gamla SITHS Admin stängs 5 maj 2020, vilket är det sista datumet när ni kan beställa SITHS-certifikat utfärdade från gamla PKI-strukturen SITHS Root CA v1. Byt vid behov ut SITHS publika funktionscertifikat på grund av utträde ur Microsofts rotcertifikatprogram.
Fördjupad information Distansuppgradering till SITHS e-id Börja med att planera in datum för när din organisation ska få information om att distansuppgraderingen av SITHS-korten kan starta. Denna information ansvarar respektive organisation för. Den 4 november kommer vi att publicera länken till distansuppgraderingen här nedan. Länk till distansuppgraderingen kommer här senare Id-administratörer bör inte uppgradera sina SITHS-kort Rekommendationen är att id-administratörer INTE uppgraderar sina SITHS-kort vid lanseringen den 4 november 2019, utan helst väntar till tidigast den 3 februari 2020. Detta beror på att det gamla SITHS-certifikatet tas bort i samband med att kortet uppgraderas med SITHS e-id vilket medför att id-administratör inte kan logga in i nuvarande SITHS Admin. De id-administratörer som ändå råkar uppgradera sina kort, kan hämta sina gamla certifikat i SITHS självadministration. Instruktionen kommer senare. Om det finns behov av att uppgradera SITHS-kortet som id-administratör, rekommenderar vi att id-administratören beställer ett extra ordinarie kort i förväg och enbart uppgraderar ett av korten. Ny kortbilaga Länk till kortbilagan kommer här senare. Korten blir giltiga i 5 år. Kundunika kort försvinner mappas mot ny kortprodukt enligt kortbilagan. Att lägga SITHS e-id certifikat på kort från andra utfärdare kommer inte att tillåtas. Telia e-leg - ännu oklart om det kommer att finnas på korten. Om det inte finns påverkas användare som använder det för inloggning. Befintliga behörigheter till nuvarande kortprodukter för id-administratörer (bilaga 1.3) överförs automatiskt till de nya kortprodukterna. Streckkoden för alla kort kommer att innehålla kortserienummer (undantag SISkort som behåller personnummer). Inga titlar eller namnteckning på de nya korten (undantag SIS-kort som behåller namnteckning). Utfärdarnummer måste finnas i kortserienummer, se www.inera.se/siths/dokument.
Ny kortprofil: Tjänster som integrerat direkt mot nuvarande kortprofil istället för att ta hjälp av operativsystemet och Net id kommer inte per automatik att fungera med SITHS e-id kort. De nya korten har en annan färg och andra säkerhetsdetaljer. Reservkort - befintliga reservkort i oöppnade kuvert kan användas även i SITHS e-id. Net id Enterprise Eftersom det finns kända brister i äldre versioner av Net id Enterprise, rekommenderar vi er att snarast möjligt uppgradera till den senaste versionen av Net id. Den finns tillgänglig på SecMakers webbplats: https://service.secmaker.com/secure/siths. SITHS-kort krävs för inloggning. SIS Capture Station För att kunna beställa SITHS e-id kort med certifikat från den nya PKI-strukturen (SITHS Root CA v2) krävs en uppgradering till version 3.4.6 eller senare av SIS Capture Station. Du kan du beställa den från Gemalto enligt information på www.inera.se/siths under länken Programvaror & tillbehör. Beställ nya SITHS e-id certifikat för både kort och funktion Från och med den 3 februari är det möjligt att ge ut SITHS e-id certifikat, både för kort och funktion. SITHS Admin delas upp i två vyer När id-administratören: Loggar in med ett SITHS-kort öppnas den gamla vyn (rosa vyn) där du bara kan beställa kort och certifikat från gamla PKI-strukturen (SITHS Root CA v1). Loggar in med ett SITHS e-id kort öppnas den nya vyn (gröna vyn) där du kan beställa SITHS e-id från den nya PKI-strukturen (SITHS Root CA v2). För att en id-administratör ska kunna beställa kort och certifikat från både nya och gamla PKI-strukturerna under övergångsperioden måste ni: Beställa ett extra ordinarie kort till id-administratören INNAN denna utför distansuppgradering på ett av sina två SITHS-kort. Om du av misstag distansuppgraderar sitt SITHS-kort går det att via Mina Sidor hämta tillbaka sitt gamla SITHS-certifikat. Förändringar i rutiner Id-sätt intygsgivning kommer inte att vara tillåtet för ordinarie kort.
Id-administratör kan inte utfärda kort och certifikat till sig själv. Det kommer inte gå att logga in i SITHS Admins gröna vy med reservkort eftersom nya SITHS Admin kräver tillitsnivå 3. Mina sidor ersätter SITHS självadministration Från och med den 3 februari 2020 ersätter Mina sidor SITHS självadministration. Utseendet ändras, nuvarande funktionalitet finns kvar och viss funktionalitet är ny. Nya funktioner är distansuppgradering, lista certifikat och ny testsida. Länken till distansuppgraderingen publiceras 4 november. Mina sidor i sin helhet kommer att fungera från 3 februari 2020. Mina sidor kommer att nås via nuvarande länk till SITHS självadmin och via den nya länken för distansuppgradering. SITHS Admin stängs 5 maj 2020. Planera in sista datum för beställning av SITHS-kort och certifikat utfärdade från gamla PKIstrukturen Från och med den 5 maj stängs SITHS Admin och därefter går det inte att utfärda SITHS-certifikat från gamla PKI-strukturen (SITHS Root CA v1). Observera att alla certifikat som utfärdas från den gamla PKI-strukturen gäller som längst fram till och med 2022-05-08, och ska inte användas för inloggning i tjänster som kräver tillitsnivå 3. Vår rekommendation är att ni i så stor utsträckning som möjligt utfärdar nya SITHS e-id certifikat från och med att den möjligheten lanseras, och därefter bara i undantagsfall utfärdar SITHS-certifikat från gamla PKI-strukturen. Beställda SITHS-kort och SITHS certifikat kan lämnas ut och hämtas via nya SITHS Admin. Installera tillit till nya SITHS e-id Root CA v2 Med anledning av att SITHS e-id kommer att utfärdas från en ny CA, SITHS e-id Root CA v2, måste alla e-tjänster och IdP:er som ska använda SITHS för autentisering installera tillit till den nya CA:n. De nya rot- och utfärdarcertifikaten och en vy över de båda PKI-strukturerna finns i
dokumentet Rot- och utfärdarcertifikat för SITHS på denna sida: www.inera.se/siths/repository Det kommer att finnas användarcertifikat med både personnummer och HSA-id. Vår rekommendation är att inledningsvis bara installera tillit till HSA-id certifikaten tills ni har tjänster som stödjer personnummercertifikaten. Den nya PKI-strukturen för SITHS e-id kommer att utfärda e-legitimationer där det går att skilja på e-legitimationer med tillitsnivå 3 och e-legitimationer med tillitsnivå 2 (ej svensk e- legitimation). Om ni har behov av att kunna avgöra tillitsnivån för ett certifikat från SITHS e-id kan det göras med hjälp av OID i attributet certifikatprinciper enligt informationen i dokumentet "Matris - tolkning av SITHS tillitsnivåer" som finns på denna sida: www.inera.se/siths/repository Sökvägar och brandväggsöppningar SITHS e-id använder samma DNS-namn och IP-adresser som SITHS. Det ska därför inte behöva beställas några nya brandväggsöppningar. Certifikatsfilerna och spärrlistorna har andra namn. Om ni hämtar filerna med skript behöver sökvägarna till de nya filerna inkluderas i skriptet. Se dokumentet Sökvägar och brandväggsöppningar för SITHS på www.inera.se/siths/repository Byt ut SITHS funktionscertifikat på grund av utträdde ur Microsofts rotcertifikatprogram SITHS har beslutat att lämna Microsofts rotcertifikatprogram, vilket kommer att innebära ett antal förändringar för SITHS funktionscertifikat. Vi rekommenderar att din organisation inventerar era SITHS funktionscertifikat och byter ut de vars funktion påverkas av ändringen. Det vill säga de SITHS funktionscertifikat som används publikt på användargränssnitt, och som nås via en webbläsare på Windows. Beroende på hur tilliten till SITHS är installerad kan server-till-server-kommunikation och möjligheten att logga in med SITHS-kort också komma att påverkas. Läs mer om detta i tidigare notis från SITHS nyhetsbrev: www.inera.se/siths_nyhetsbrev_2019_april_rootcertifikatprogram