Innehållsförteckning Tekniksupport... 4 Brandväggskonfigurationer... 4. Applikationssupport... 17

SITHS UTBILDNING SUP P ORT VER 3. 3 S ID 2(46) Innehållsförteckning Tekniksupport... 4 Brandväggskonfigurationer... 4 Installation och konfiguration... 5 Sökvägar (url) för SITHS... 5 SITHS Admin... 5 SITHS Självadministration... 5 Trusted site för domän... 6 Kortläsare... 6 Net ID... 6 SCS Beställningsstation... 7 SIS Capture Station... 7 Namnteckningsscanner... 11 Kamera... 11 Test av applikation... 12 SITHS Admin (inloggning)... 12 SITHS Självadministration (inloggning)... 13 Kortbeställning (test)... 13 Applikationssupport... 17 Frågor kring avtalet... 17 Frågor kring Handläggare... 18 Frågor kring SITHS korten... 19 Frågor kring Roller inom SITHS... 23 Frågor kring Spärrlistor... 24 Frågor kring Ändringsbegäran... 24 Frågor kring utfärdande av kort och certifikat i SITHS... 24 Styrkande av identitet och giltiga id handlingar... 24 Arkivering... 25 Reservkort... 25 Kortbeställning... 26 Fotografering i SITHS... 27 Spärr av kort... 27 Leveranser... 27 Reklamation... 28 Nya kortprodukter... 29 Funktionscertifikat... 29 Säker e-post... 29 Applikationen SITHS Admin... 30 Länkar... 30 Inloggning... 30 Navigering i SITHS... 32 Roller... 33 Lämna ut kort... 33 Spärr av kort/certifikat... 33 Statistik... 34 Meddelanden... 35 Applikationen SITHS Själv administration... 36 Länkar... 36 Inloggning... 36 Nedladdning av certifikat... 36 Meddelanden... 37 Applikationen SCS Beställningsstation... 37 Påbörjade Beställningsunderlag... 37

SITHS UTBILDNING SUP P ORT VER 3. 3 S ID 3(46) Lagrade Beställningsunderlag... 38 Beställning av Beställningsunderlag... 38 Namnteckningsscanner... 39 Kamera... 39 Meddelanden... 39 Applikationen Net ID... 39 Inläsning av kort/certifikat... 39 Olika program för läsning av kort/certifikat... 40 Byte av PIN-kod... 40 Upplåsning av kort (PUK)... 41 SITHS och HSA... 41 Personnummer/Samordningsnummer... 41 Adresshantering... 41 Misslyckas publicering... 42 Meddelanden... 42 Kundtjänst... 44 SITHS Förvaltning... 44 Nationell IT Service (1:a linjens support)... 44 SITHS support (2:a och 3:e linjens support)... 44 HSA support... 44 Checklista SITHS... 45 Referenslista... 46 Syfte Dokumentet skall kunna användas som stöd för SITHS aktiviteter, såväl frågor kring den dagliga verksamheten som till lite mer extraordinära frågeställningar. Revisionshistorik Revision Datum Ansvarig Kommentar 3.0 2011-01-25 Thomas Näsberg Tredje utgåvan. 3.1 2011-03-25 Thomas Näsberg Uppdatering med ny IP hänvisning för LDAP-crl. 3.2 2011-04-11 Thomas Näsberg Uppdatering med TEST kortbeställning. 3.3 2012-02-13 Thomas Näsberg Uppdatering med tabell SCS och supporterade hårdvaror.

SITHS UTBILDNING SUP P ORT VER 3. 3 S ID 4(46) Tekniksupport Brandväggskonfigurationer Port 80, 389 och 443 kan behövas vara öppna, vilket beror på att: a) webmail sker via en http adress (port 80). b) Brandväggen som skyddar CRL via http sker via port 80. Brandväggen som skyddar CRL via ldap sker via port 389. c) SITHS Admin använder https (port 443) och SCS Beställningsstation skickar krypterade filer till Gemalto via en webservice (port 443). i) Anslutande part (SITHS-kunden) måste säkerställa att den egna brandväggen har port 80 öppen för att möjliggöra nedladdning av spärrlistan (CRL) från en http adress som motsvarar http://www.carelink.se/siths-ca/ca003.crl (för närvarande 217.16.192.80). ii) Anslutande part (SITHS-kunden) måste säkerställa att den egna brandväggen har port 389 öppen för att möjliggöra nedladdning av spärrlistan (CRL) från ldap://sithscrl.carelink.sjunet.org/cn=siths%20ca%20ver%203,o=siths%20ca,c=se?certificat erevocationlist;binary? Verksamhet som avser att ladda ned egen kopia av CRL via LDAP sökväg måste genomföra en beställning till HSA Förvaltning (kundservice@inera.se) för öppnande av brandvägg. Verksamheten måste även öppna sin brandvägg mot den IP adress som motsvarar sithscrl.carelink.sjunet.org (för närvarande 82.136.149.44). Öppningen görs så att ett specifikt ip nummer får möjlighet att göra slagningar över port 389. Brandväggsöppning beställs hos kundservice@inera.se. Ange syftet i beställningen, IP numret till den dator/tjänst som tankar ner CRL. samt att brandväggen skall öppnas för trafik över port 389. iii) OCSP kontroll sker på en OCSP server. Brandväggen som skyddar OCSP-tjänsten är öppen för slagningar på port 80 och port 443. Anslutande part (SITHS-kunden) måste säkerställa att den egna brandväggen har port 80 och port 443 öppna för slagning mot OCSP-tjänsten som publiceras på http://sithsocsp.trust.telia.com. Notera att: Sjunet DNS, som går att nå från både Internet och Sjunet, översätter DNS-namnet sithsocsp.trust.telia.com till IP nummer 82.136.160.42 som enbart är tillgängligt på Sjunet. Sjunet DNS klarar i dagsläget inte att styra DNS-slagningar gjorda från internet till den publika OCSPtjänsten som finns på IP-nummer 194.237.208.174. Konsekvensen av detta är att OCSP slagningar från internet enbart fungerar om hostfilen i anslutande dator styr OCSP slagningar till 194.237.208.174.

SITHS UTBILDNING SUP P ORT VER 3. 3 S ID 5(46) Installation och konfiguration SITHS består av tre system: 1. SITHS Admin är en webbapplikation för administration av kort- och certifikat. 2. SITHS Självadministration är en webbapplikation för att i efterhand ladda ned certifikat på Befintliga kort och Reservkort. 3. SCS Beställningsstation är en lokal klientprogramvara för kortbeställningar. Vad installeras vid de olika arbetsplatserna? # Datorarbetsplats för Slutanvändare : Kortläsare (och eventuella drivrutiner) NetID URL för SITHS Självadministration # Datorarbetsplats för SITHS Administratör (RA/ORA/LRA): Kortläsare (och eventuella drivrutiner) OBS! Dubbla kortläsare krävs om elektronisk underskrift av kvittenser skall hanteras NetID URL för SITHS Admin URL för SITHS Självadministration Upplägg av trusted site för domän # Datorarbetsplats för SITHS Kort administratör (KRA): Kortläsare (och eventuella drivrutiner) OBS! Dubbla kortläsare krävs för elektronisk underskrift av kvittenser skall hanteras NetID URL för SITHS Admin URL för SITHS Självadministration Upplägg av trusted site för domän SCS Beställningsstation (SIS Capture Station) Namnteckningsscanner Digitalkamera eller webbkamera Sökvägar (url) för SITHS SITHS Admin https://ccat.trust.telia.com/ccat https://cve.trust.telia.com/ccat https://ccat.preprod.trust.telia.com/ccat https://cve.preprod.trust.telia.com/ccat SITHS Självadministration https://ccu.trust.telia.com/ccu https://cve.trust.telia.com/ccu https://ccu.preprod.trust.telia.com/ccu/ https://cve.preprod.trust.telia.com/ccu (Skarpmiljö - Sjunet) (Skarpmiljö - Internet) (Testmiljö - Sjunet) (Testmiljö - Internet) (Skarpmiljö - Sjunet) (Skarpmiljö - Internet) (Testmiljö - Sjunet) (Testmiljö - Internet)

SITHS UTBILDNING SUP P ORT VER 3. 3 S ID 6(46) Trusted site för domän Om användaren har admin rättigheter kan *.trust.telia.com läggas med i tillförlitliga platser i Internet alternativ, se figur 1. En ActiveX kontroll kommer att tyst installera sig. Alternativt öppnar man Internetprogrammets säkerhetsinställningar och aktivera egenskapen Tillåt att tidigare oanvända ActiveX-kontroller körs utan meddelande. Figur 1. Internetalternativ och betrodda sidor. Kortläsare Kortläsaren används för att läsa av SITHS-kortet. Allt oftare klarar operativsystemen själv av att förstå och kommunicera en ny hårdvara. Om inte, så måste nödvändiga drivrutiner installeras. Installera aktuell drivrutin, se SITHS projektplats Programvaror/. Drivrutinen kommer som en msi-fil (Microsoft Installer), vilket gör att den går att installera tyst via kommandotolken och växeln /qb!. Exempel: C:\NetID>SVR0004_Client_v5.1.0.16_SSO_iidsetup.msi /qb! Drivrutinen kan även extraheras ifrån msi-paketet via en administrativ installation med växeln /a. Lägg dpinst.exe i samma mapp som *.inf filen (en av de filer som extraheras ur paketet). Drivrutin kan sedan skjutas in med kommando dpinst /s. Net ID NetID används som mjukvara för att tolka mellan SITHS-kortet och drivrutinen för kortläsaren, men har ytterligare funktioner som SSO, kryptering och signering av filer, mm. Installera aktuell drivrutin, se SITHS projektplats Programvaror/. Användare behöver (om så skall tillhandahållas) för att kunna gå in på Administration\Arkiv\Inställningar i Net ID applikationen fullständig behörighet till HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion. Sätt följande rättigheter på %WinDir% Skapa filer/skriva data, se till att det endast tillämpas på den här mappen och filer

SITHS UTBILDNING SUP P ORT VER 3. 3 S ID 7(46) samt att rättigheten endast gäller att lägga till nya filer och skriva data i nya filer, se figur 2. Figur 2. Rättigheter för Net ID. NetID kan editeras för mer användarvänlighet, men spara filen i UTF-8 format. Öppna filen C:\Program\Net id\iid.cfg. [Custom Links] Anger snabblänkar som nås via högerklick på NetID ikonen SITHS=http://www.siths.se SITHS Admin - Via Sjunet=https://ccat.trust.telia/ccat SITHS Självadministration - Via Sjunet=https://ccu.trust.telia.com/ccu [Admin Utility] Anger om Net ID skall kunna köras från Utforskaren, visas i aktivitetsfältet och startmenyn samt varna kortanvändaren om att certifikatet på kortet är på väg att gå ur tiden ExplorerMenu=0/1 TaskbarIcon=0/1 StartMenu=0/1 CheckCardExpire=30 [Dynamic Strings] Anger lämplig beskrivande text i Net ID:s administration Enable=0/1 SE_1008=Byta säkerhetskod (PIN) SE_1009=Låsa upp kort (PUK) SE_1209=Uppdatera SITHS-kortet SE_1686=Ditt kort löper ut om %d dag(ar), vänligen kontakta din kortadministratör för att förnya ditt kort. SE_2406=Byta säkerhetskod (PIN) SE_2426=Låsa upp kort (PUK) [CSP] Anger om Net ID skall erbjuda installation av Rotcertifikat på datorn eller ej InstallCaCert=0/1 SCS Beställningsstation SIS Capture Station Ange kunduppgifter (Kundnummer, Kontorsnummer och Kortprodukter enligt avtalet) [Värdet för Default_customer, Default_office och Default_product] Ange om Beställningsunderlag skall skrivas ut eller inte [Värdet för askforprintbeforesend] Ange mapp för skapade beställningar (peka gärna om till nätverksmapp ej C:) [Värdet för Default_save_path] Ange vald kameratyp i det grafiska gränssnittet (SCSConfigurator.exe) [Canon S3, Canon S5 eller webbkamera, mm] SIS Capture Station är den mjukvara som används för att skapa kortbeställningar. Applikationen installeras som en lokal klient, men kräver vissa rättigheter som lokal PC-administratör.

SITHS UTBILDNING SUP P ORT VER 3. 3 S ID 8(46) Installera aktuell drivrutin, se SITHS projektplats Programvaror/. Standardmapp är C:\Program\Gemalto\SIS Capture Station. Signerade beställningar ligger under EncryptedOrders och osignerade beställningar ligger i CaptureXStore.xml. Filen config.txt används för att mata in verksamhetens standardvärden, t ex produkter som korttyper, om fält skall vara editerbara eller ej. Titel placeras i fältet för Övrig Info och HSA-ID placeras i fältet för Streckkodstyp. Öppna filen C:\Program\Gemalto\SIS Capture Station\Config.txt Sök upp nedanstående avsnitt och editera filen på liknande sätt: //------------------------------------------- #Default_save_path #C:\Program\Gemalto\SIS Capture Station\Encrypted Orders #save_images #false #askforprintbeforesend #false #Enabled_customer #true #Default_customer #4754;Sjukvårdsrådgivningen //------------------------------------------- #Enabled_office #true #Default_office #01;Hornsgatan #02;Erstagatan #03;Rådhusgatan //------------------------------------------- #Enabled_product #true #Default_product #TEST;Provbeställning #459;SIS kort #480;Konsultkort u foto #477;Företagskort m Foto #450;Testkort (SIS) //-------------------------------------------

SITHS UTBILDNING SUP P ORT VER 3. 3 S ID 9(46) OBS! Uppgifter före semikolon, t ex uppgifter om kund 4754, kontor 01 eller produkt 477 skall vara överensstämmande med de uppgifter som framgår av Leverantörens avtal och kommer att ingå i den elektroniska beställningen. Uppgifter efter semikolon, t ex Sjukvårdsrådgivningen, Hornsgatan eller Företagskort m Foto är bara för Handläggarens bekvämlighet och kan editeras om efter behag. Alternativt startas filen SCSConfigurator.exe och nya kunduppgifter kan då matas in via det grafiska gränssnittet, se figur 3. Figur 3. Inmatning av kunduppgifter till SCS Beställningsstation. Filen Config.txt används även för att aktivera/avaktivera SCS Beställningsstations olika inmatningsfält, se figur 4. Figur 4. Editering av SCS Beställningsstation. Användaren behöver fullständig behörighet till HKEY_LOCAL_MACHINE\SOFTWARE\SCS. samt rättigheten ändra behörighet på %ProgramFiles%\Gemalto\SIS Capture Station. Beroende på gruppolicier i domänen kan %WinDir%\Microsoft.Net\Framework\v2.0.50727 behöva låsas upp med Läsa och köra rättigheter.

SITHS UTBILDNING SUP P ORT VER 3. 3 S ID 10(46) SCS Beställningsstation skall också konfigureras via SCSConfigurator.exe, så att eventuella äldre kameramodeller hanteras, se figur 5. Konfigurera även om foton skall erbjudas sparas på disk eller inte efter fullgjord beställning. Figur 5. Konfiguration av kameramodeller i SCS Beställningsstation. Besluta om lokal eller central lagringsplats för Beställningsunderlag skall användas. Konfigurera detta via SCSConfigurator.exe, se figur 6. Besluta även om papperskopia på Beställningsunderlag skall skrivas ut (pappersutskrifter är ej ett krav för elektronisk beställning via SITHS Admin). Besluta slutligen om fotografier som skickas in vid den elektroniska beställningen även skall lagras lokalt inom er IT plattform. Figur 6. Konfiguration av lagringsplats för Beställningsunderlag i SCS Beställningsstation. När en användare loggar in på SITHS Admin kommer webbsidan att säga att användaren måste stänga SIS Capture Station, även fast denna applikation ej är igång. Felmeddelandet försvinner om användare har Skapa filer/skriva data i %WinDir% mappen. Sätt följande rättigheter på %WinDir% Skapa filer/skriva data, se till att det endast tillämpas på den här mappen och filer samt att rättigheten endast gäller att lägga till nya filer och skriva data i nya filer, se figur 7. Figur 7. Rättigheter till SIS Capture Station.

SITHS UTBILDNING SUP P ORT VER 3. 3 S ID 11(46) Namnteckningsscanner Namnteckningsscannern BizCard Reader används för att scanna in medarbetarens signatur (fysiska namnunderskrift). Installera aktuell drivrutin, se SITHS projektplats Programvaror/. Drivrutinen kan även extraheras ifrån msi-paketet via en administrativ installation med växeln /a. Lägg dpinst.exe i samma mapp som *.inf filen (en av de filer som extraheras ur paketet). Drivrutin kan sedan skjutas in med kommando dpinst /s. Kamera Kameran används för att fotografera medarbetaren till det elektroniska beställningsunderlaget. Installera aktuell drivrutin, se SITHS projektplats Programvaror/. Kamera SCS 2.1.1 SCS 2.1.3 SCS 2.1.6 SCS 2.3.14 SCS 2.4.2 S70 x S80 x x x x S3 IS x x x x S5 IS x x x G10 x x Webbkamera -? Kamera SCS 2.5.1 SCS 2.6.5 SCS 3.0.4 XP/Win7 SCS 3.0.5 XP/Win7 S70 - - - S80 - - - S3 IS x x - (XP=OK) - (XP=OK) S5 IS x x - (XP=OK) - (XP=OK) G10?? - - Speed Identity x x x Webbkamera x x x EOS 1000D x x x x

SITHS UTBILDNING SUP P ORT VER 3. 3 S ID 12(46) Test av applikation Ni testar att SITHS kortet är korrekt skapat med certifikat och fungerande för avsedd IT tjänst genom att gå till länk http://test.siths.se Webb sidan redovisar använd webbläsare, operativsystem, Net id installation och använd kortläsare. Kända tekniska förutsättingar som kan vara till problem. Webbsidan återkopplar om användarens IT miljön uppfyller en nationell IT tjänst systemkrav. Webb sidan redovisar SITHS kortets certifikat. Viktigt är att se att såväl inloggningscertifikat som signeringscertifikat finns presenterade. Viktigt är även att e-postadress eller UPN eller andra egenskaper som krävs för aktuell IT tjänst finns på respektive certifikat. SITHS Admin (inloggning) Logga in i SITHS Admin (Utb miljön) med SITHS certifikatet och kontrollera att SITHS Admin laddas upp korrekt, se figur 8. Testa de url:er som skall användas av er organisation (Sjunet/Internet). Syns inte snabblänkar, prova att uppdatera webbsidan med att aktivera fliken HEM. Figur 8. SITHS Admin.

SITHS UTBILDNING SUP P ORT VER 3. 3 S ID 13(46) SITHS Självadministration (inloggning) Logga in i SITHS Självadministration (Utb miljön) med hjälp av e-legitimation och kontrollera att SITHS Självadministration laddas upp korrekt, se figur 9. Testa de url:er som skall användas av er organisation (Sjunet/Internet). Finns inget nytt certifikat att ladda ned, så anges detta. Figur 9. SITHS Självadministration. Kortbeställning (test) A. Logga in i SITHS Admin (Utb miljön) med hjälp av SITHS certifikatet (testcertifikat på ett testkort/utbildningskort). Kontrollera först att SITHS Admin laddar upp fliken SCS Beställningar korrekt, se figur 10. Om den inte gjort detta, så prova, prova med att ladda om sidan med att aktivera Hem-fliken, lägga till domänen som en trusted site och slutligen tillåta visning av pop-up fönster. Allt beroende på era säkerhetsinställningar. Figur 10. SITHS Admin. B. Konfigurera in att produkten TEST kan beställas för er organisation, se figur 3 och avsnittet SIS Capture Station. Konfigurera in aktuellt Kundnummer och Kontorskod för er organisation. C. Genomför ett Beställningsunderlag på fiktiv person. OBS! Har ni inte tillgång till HSA Test-2 och fiktiva personer, så kan initialt er RA person användas som testperson. Då gäller skarp miljö och RA personalens personliga kort (som ej får lånas ut).

SITHS UTBILDNING SUP P ORT VER 3. 3 S ID 14(46) Exempel: sök på personnummer 19841221-2394. D. Aktivera funktionen Beställa HCC för nytt kort. Ange någon av Företagskort med foto. Kontrollera att fem år anges som tid och avsluta med att Signera och skicka. Testpersonens PIN kod för signering (kod nr 2) används. E. Systemet anger därefter att SCS har registrerat Beställningsunderlaget som finns i programmmappen Gemalto eller på någon Nätverksmapp, se figur 6. F. Aktivera fliken SCS Beställningar. Aktivera funktionen Starta SCS i ICKE SIS läge, vilket Företagskort är ett exempel på.

SITHS UTBILDNING SUP P ORT VER 3. 3 S ID 15(46) G. Aktivera Skapa/Hantera kortbeställningar. Logga in i SCS med testkortets kort. Markera önskad person och aktivera Öppna (kan även genomföras med ett dubbelklick). H. Se till att kortprodukten TEST beställs på denna person. I utbildningsmiljön kan korttypen TEST nämligen användas av behöriga beställare för att testa hela beställningsflödet utan att produkten och ett fakturaunderlag skapas. I. Genomför kortbeställningen med fotografering och inskanning av namnteckning enligt utbildningsmaterialet för KRA. Ange personens identifieringssätt, t ex körkort 112212394 (som är ett exempel på ett körkorts referensnummer) J. Aktivera Fånga bild och fotografera personen i fråga. Aktivera Nästa. K. Aktivera Fånga signatur och scanna in namnteckningen.

SITHS UTBILDNING SUP P ORT VER 3. 3 S ID 16(46) L. Verifiera att rätt uppgifter angivits, t ex kortprodukten TEST och Signera beställningen med din testpersons andra PIN kod. M. Aktivera Stäng för att avsluta Skapa/Hantera kortbeställningar. N. Ni är tillbaka vid programmet SIS Capture Station. Aktivera funktionen Övriga kort och Skicka beställningar till Gemalto. O. Logga denna gång in med din Telia E-leg (oavsett skarp eller testkort). P. Skicka in beställningen elektroniskt med funktionen Signera och skicka. Om allt går planenligt skall ett positivt besked ges i form av Beställningen skickad och mottagen. Om inte, så krävs det en uppföljning om varför detta ej kunde genomföras. Kontrollfrågor om TEST beställningen inte kunde genomföras: Angavs rätt Kunduppgifter i beställningen? Finns Handläggaren registrerad som godkänd Handläggare för organisationen? Användes rätt certifikat (E-leg, ej SITHS) vid signeringen av sänd beställning?

SITHS UTBILDNING SUP P ORT VER 3. 3 S ID 17(46) Applikationssupport Frågor kring avtalet Var kan man hämta information om SITHS? Svar: Frågor hänvisas till den publika hemsidan www.siths.se och frågor kan ställas via e-post till kundservice@inera.se. Man kan även ansöka om att få tillgång till SITHS gemensamma kontaktyta www.projektplatsen.se (ett användarkonto måste dock skapas, tillgång ges till RA om inte annat överenskommits). Vilka organisationer kan avropa Leveransavtal Kort 2005, avtalsnummer 144930? Svar: Avtalet bygger på Stadskontorets ramavtal för EID 2004-6680/04 och EID 2008. Ansökande organisation måste finnas med som avropets berättigade parter (bilaga 7). Avtalet är inte begränsat till endast verksamheter för Vård och omsorg. Organisationer som inte var avropsberättigade kan inte avropa mot avtalet utan att bryta mot LOU, dvs. man kan inte ansluta sig till ett ramavtal i efterhand. Organisationen måste enligt LOU göra en egen upphandlig när deras behov av aktuella tjänster eller varor uppkommer om de inte redan är anslutna till ett ramavtal på marknaden. Hur länge gäller avtalet med SITHS? Svar: Avtalet löper över perioden: 2007-03-01 2012-03-01 (plus tre år = 2015-03-01). Avtalet träder ikraft vid datum för undertecknande av båda parter, och gäller till och med fem (5) år efter Effektiv leveransdag. Beställaren (Inera AB) har rätt att påkalla förlängning av Avtalstiden med upp till tre (3) år. Vilka nödvändiga styrdokument behöver man tillgång till? Svar: CA-policy SE-SITHS-CA-Policy-4. RA-policy SE-SITHS-RA-Policy-4. SBC 151 Särskilda Bestämmelser för Certifiering av överensstämmelse med standard SS 61 4314 Identitetskort. Vilka avtal behöver man teckna för att ansluta sig till SITHS? Svar: 1) Grundavtal för IT-tjänster (tecknas med Inera AB) med bilagor Bilaga 1 - Prisvillkor och Bilaga 2 - Kundtjänst 2a) Tjänsteavtal SITHS (tecknas med Inera AB) med bilagor Bilaga Kontaktuppgifter och Bilaga SITHS tillämpningsanvisningar RAPS Nyttjaren 2b) Tjänsteavtal SITHS Funktionscertifikat (tecknas med Inera AB) med bilagor Bilaga Kontaktuppgifter, Bilaga Beställning och Bilaga SITHS tillämpningsanvisningar RAPS Inera 3) Avtal om avrop från SITHS 144930 (tecknas med Cygate/Telia) med bilagorna Kundunika villkor, Beställning, Produktbeskrivning kort (en per överenskommen korttyp), Specifikation av Handläggare, Prislista, Allmänna villkor för Telia, Telia Företagspolicy och Kontaktpersoner. 4) Ansökan om nationellt utfärdarnummer (tecknas med SIS), om nyttjandet av SIS-utfärdarnummer i Företagskort skall användas, vilket är ett krav för standardkortpriser. 5) SIS avtal (tecknas med DNV), om SIS tillstånd skall användas. OBS! Vart femte år genomförs en ny uppdatering av avtal och förnyelse av Namnteckningsprov. Du behöver till DNV bifoga följande med din ansökan:

SITHS UTBILDNING SUP P ORT VER 3. 3 S ID 18(46) - Registerutdrag från Bolagsverket. www.bolagsverket.se - Ifylld blankett Ansökningsblankett tillstånd att utfärda identitetskort - Ifylld blankett Namnteckningsprov tillstånd att utfärda identitetskort Anm: Avser ansökande organisation att utfärda kort, så gäller inte punkt 2b. Avser organisation att endast ansöka om funktionscertifikat, så gäller endast punkterna 1 och 2b. Vilka register behandlar SITHS personuppgifter? Svar: Personuppgifter som behandlar SITHS personuppgifter är: 1) Samkörning mot SPARadressregister, 2) Sammanställning av kataloguppgifter för spärrlistor, 3) Behandling av Kund-, Tillverkar- och Utfärdarregister och 4) Behandling av personuppgifter i samband med att kund brukar TeliaSoneras e-legitimation. Frågor kring Handläggare Vad menas med en Handläggare och hur blir denne behörig? Svar: En Handläggare är den person som utför kortbeställningen och kortutlämnandet till medarbetaren inom organisationen. Varje Handläggare tilldelas rollen KRA i SITHS Admin. Rollen KRA används för att skapa Underlag till kort, t ex foto och namnsignatur. RA rollen hanterar detta också. För att få vara behörig beställare och skicka iväg beställningen krävs även att Handläggaren registrerats och godkänts av Leverantören (och i förekommande fall av SIS). Organisationen måste alltså registrera varje enskild handläggare (och för vilka korttyper och kontor han/hon skall kunna beställa) hos korttillverkare (och SIS om SIS-kort används), vilket sker med beställningsblankett, Bilaga 1.3 Information om handläggare.doc, se figur 11. Dessa blanketter levereras i samband med Cygates Leveransavtal. För att hantera Reservkort måste Handläggare tilldelas rollen LRA i SITHS Admin. Ingen registrering hos Leverantören krävs. Figur 11. Beställningsblankett för Handläggare. Vad kontrolleras vid en ansökan om ny handläggare (kortutgivare/kra)? Svar: SIS/DNV och Cygate/Telia gör en kontroll att organisationen i ansökan är giltig och att namngiven Handläggare har ett tydligt uppdrag åt organisationen (oftast genom anställning).

SITHS UTBILDNING SUP P ORT VER 3. 3 S ID 19(46) Hur meddelar man eventuella ändringar av handläggare i godkänd RAPS? Svar: Verksamheten skall uppdatera sin befintliga RAPS med ny versionshistorik och kortfattad beskrivning. Verksamheten skall även uppdatera respektive avsnitt i RAPS:en, t ex underbilaga 4 eller underbilaga 6. Till Inera behövs endast information om ändring av RA, Registeransvarig eller Säkerhetsansvarig genomföras. RAPS sänds slutligen med e-post (företrädesvis signerad) till kundservice@inera.se. Ändring av Handläggare, se figur 11, måste dock anmälas direkt till Leverantören (och SIS i förekommande fall). Frågor kring SITHS korten Vad kännetecknar ett SITHS-kort? Svar: Korten tillverkas enligt en svensk standard, SS 61 43 14, vilken förvaltas av SIS, och innehåller ett PKCS#15 standardiserat chip (sk. hårda certifikat). För att säkert identifiera att rätt person har tillgång till tjänstecertifikaten inom SITHS (HCC) krävs stark autentisering. Detta innebär att endast kort med e-legitimation kan användas. Idag stöds inom SITHS endast Telias e-legitimation, men planer för stöd av andra smarta kort baserade e-legitimationer finns. Inom SITHS hanteras SIS-godkända kort, Företagskort med eller utan foto samt Reservkort. SITHS hanterar även Testkort för utbildningsändamål och test av tekniska egenskaper hos organisationen, t ex inpassering, mm. Vilka fysiska egenskaper finns på korten? Svar: Foto, namnteckning, magnetband, Mifare, streckkod, Telia E-leg, SITHS certifikat, fält för {organisationens logotyp, kortnummer, nationalitet, personnummer, efternamn, förnamn, giltigt datum, upphittat kort text }. Vilka e-legitimationer finns det på SITHS korten? Svar: TeliaSonera HW CA v1 en giltig e-legitimation och används som medarbetarens personliga e-legitimation. TeliaSonera EU HW CA v1 en giltig e-legitimation och används som medarbetarens personliga e-legitimation. TeliaSonera Enterprise CA v2 en ogiltig e-legitimation, men används för kort med Samordningsnummer. TeliaSonera CardID en ogiltig e-legitimation, men används för de Reservkort som SITHS nyttjar. Det är ett sk transportcertifikat. Istället för en medarbetares personliga attribut, som personnummer, bygger detta transportcertifikat på reservkortets unika serienummer. TeliaSonera Test e-leg CA v1 en ogiltig e-legitimation, men används för våra Testkort. Vilka kan få ett SITHS-kort? Svar: Medarbetare som har ett uppdrag för en organisation, t ex genom en anställning/uppdrag. Särskilda rutiner och produkter finns för personer med skyddade personuppgifter, samordningsnummer, utländsk tillhörighet eller är under 18 år.

SITHS UTBILDNING SUP P ORT VER 3. 3 S ID 20(46) Vilka kortprodukter finns det? Svar: (se även Kortkatalog i Leveransavtalet) Testkort 450 Testkort (SIS) 474 Testkort med foto (Företagskort) 475 Testkort utan foto (Företagskort) Standardkort 459 SIS-kort 477 Företagskort med foto 410 SIS-kort (med Skyddad ID) 413 Företagskort (med Skyddad ID) 480 Konsultkort utan foto 431 Företagskort utan foto 473 Reservkort Specialkort 433 Företagskort utan foto 478 Företagskort (med Samordningsnummer) 448 Företagskort utan foto (med Samordningsnummer) Anmärkning: Anställda med skyddade personuppgifter kan nyttja 410 och 413. Anställda med samordningsnummer kan nyttja 478 och 448. Anställda med Utländsk tillhörighet kan nyttja 473. Personal som ej fyllt 18 år kan nyttja kort 448 och 478. Anställda < 6 mån kan ej nyttja 459 eller 410. Anställda < 6 mån med skyddade personuppgifter kan ej nyttja 410. Vad kan man utläsa ur ett kortnummer? Svar: Om man ansökt om Nationellt Utfärdarnummer i sitt avtal med Leverantören, så kan följande information utläsas: Exempel 9752 2249 TMM 2222 3333 9752 anger att det är ett svenskt kort 2244 anger företagets utfärdarnummer T anger kortets typ enligt: {1=Identitetskort, 2=Identiteskort med företagsuppgifter, 3=Företagskort (SIS), 5=Tjänstekort, 7=Testkort, 8=Företagskort (ej SIS) 9=Reservkort} MM anger tillverkarens kod enligt: {50,52=ID kort stående, 53=ID kort liggande utan chip, 54= ID kort liggande med chip, 55= ID kort liggande med kontaktlöst chip, 57= ID kort liggande med chip och kontaktlöst chip} (Anm: Första posten i MM indikerar kortutfärdare: 50-57 anger Gemalto, 60-67 anger Oberthür, 80-87 anger ACSC) Vad krävs för att få Titel med på SITHS korten? Svar: Antingen matar man in det manuellt i SCS Beställningsstationen (fältet för Övrig info ) eller så anmäler man till Leverantören Cygate/Telia att få detta med automatik i sitt avtal om denna kortprodukt. Attributet "title", HSATitle och PATitle finns i HSA katalogen och kan användas till detta.

SITHS UTBILDNING SUP P ORT VER 3. 3 S ID 21(46) Hur kodas streckkoden på korten? Svar: Streckkod kodas normalt på kortets baksida och innehåller medarbetarens personnummer (eller Reservkortets serienummer), men kan som Kundunik produkt kodas med annan information (t ex HSA-ID) och placeras på kortets framsida. Vad kodas i SITHS kortets magnetband? Svar: Enligt den med SITHS överenskomna standarden (HiCo magnetband med 3 spår - ISO standard 7811 1-6) för dessa kort kodas kortets serienummer med dess 16 sista siffror på magnetbandets spår 2. Det finns dock möjlighet att för vissa korttyper välja vilka spår som ska kodas och vilken information som ska kodas på magnetremsan. Organisationen kan själva fritt koda om spår 2 (eller 1 och 3). Ett problem som uppmärksammats är att vissa magnetbandsläsare vid upprepad användning pga. sin konstruktion nöter sönder chippet och förkortar livslängden på korten. Magnetbandets livslängd förkortas om man drar magnetbandet tvärs för dess längdriktning. Vissa korthållare har den egenskapen. Vilken information innehåller kortens Mifare? Svar: SITHS korten använder sig av en Mifare Classic standard, Mifare RF Interface (ISO 14443 A). Antingen kan mifareserienumret i mifareslingan (sektor 0) användas för kontaktlös inpassering, eller så kan man använda sektorläsning. Sektor 14 kodas med de 16 sista tecknen i kortserienumret och sektor 15 kodas med HSA-id (om kortet har ett HCC). Sektorläsningen kräver tillgång till en A-nyckel. Tanken är att HSA-ID och/eller kortets serienummer exporteras till användarens HSA katalog (precis som certifikatet). En export därifrån till organisationens logistik/intelligens för inpasseringssystemen kan sedan genomföras. Kortläsarna skall då kunna känna igen det som presenteras från Mifaresignalen, dvs. HSA-id eller Kortets serienummer. För mer information om sektorkodning hänvisas till specifikationen av Mifare som är framtagen av Inera, se Carelink_TeliaSonera_Mifare_Specifikation.pdf. Kan Mifare och EM-marine standarder finnas på samma kort? Svar: Det finns endast Mifare på de nuvarande korttyperna inom SITHS. Detta är ett val man gjort i utvecklingen av SITHS-kort på rekommendation av kortleverantören. En EM-Marin RFID slinga tål inte värmen som behövs för att tillverka ett polycarbonatkort (PC). EM-Marin slingan är mycket skörare/ömtåligare än en Mifare slinga. Tillverkningen av ett polycarbonatkort kräver en otroligt hög värme för att kunna tillverka detta säkerhetskort. Däremot tillverkningen av ett PVC kort kräver inte alls lika hög värme, så där går det bra. Varför finns det både ett primärcertifikat och ett sekundärcertifikat på SITHS kortet? Svar: SITHS konceptet bygger på användandet av två olika certifikat. Först ett primärcertifikat en personlig e-legitimation. Sedan ett sekundärcertifikat SITHS certifikatet (kallas även HCC) som skall användas för tjänster inom Vård och Omsorg. SITHS certifikat har samma nyckel till identifierings- och signeringscertifikaten som primärcertifikatet, dvs. medarbetarens personliga e-legitimation. Det är de certifikaten vi skapar och revokerar. Om ett primärcertifikat skadas, så måste ett nytt kort beställas.

SITHS UTBILDNING SUP P ORT VER 3. 3 S ID 22(46) Vad är en PKCS standard? Svar: En standard för krypteringsteknik, förkortning för Public-Key Cryptography Standards. En PKCS#10 är en fil (i ASN.1 struktur) innehållande certifikat för en nyckelinnehavare. Med filextensionen *.csr eller *.p10. Där certifikatet är skapat utifrån en certifikatbegäran, en sk CSR. PKCS#10 filen läses in av SITHS Admin, verifierar dess signatur, godkänner dess innehåll och slutligen beställer ett signerat HCC Funktion från SITHS CA. En PKCS#12 är en fil innehållande privata nycklar och certifikat för en nyckelinnehavare. Filen är signerad av CA och levereras krypterad till mottagaren. En PKCS#15 är slutligen våra hårda certifikat på SITHS korten. Vilka förutsättningar krävs för AD inloggning? Svar: HCC specifikation version 2.35 anger de rätta förutsättningarna. Om organisationen matar in data i attributet userprincipalname, så får kommande SITHS certifikat AD-egenskapen smartcardlogon (ligger i attributet enhancedkeyusage ), vilket krävs för AD-inloggning. Varför kan jag inte logga in på AD-kontot längre? Svar: Om kortet tidigare har använts för att logga in domänen kan felet vara att användarens konto är spärrat. Varför tar inloggningen så lång tid? Svar: Ibland tar det extra lång tid att logga in med smarta kort. Det finns inte en universalmetod för att minska denna tid, utan det måste analyseras noga för den aktuella miljön. Normal tid för inloggning är mellan 5 och 15 sekunder. Saker som påverkar detta är bland annat: a) kortläsare, b) programvara för kommunikation med kortet, c) System/program som man försöker logga in till. Vilka förutsättningar krävs för en VPN förbindelse? Svar: En VPN-tjänst kräver precis som AD att särskilda attribut är satta. Detta ligger i attributet enhancedkeyusage. Detta är dock idag ännu inte infört i SITHS. Är det tillåtet att ge en person två SITHS kort? Svar: Om en person har behov av två kort på grund av sina arbetsuppgifter går det att ge ett extra kort till personen utöver personens ordinarie SITHS kort(ett Reservkort eller ytterligare ett SIS/Företagskort). Rekommendationen är dock att minimera detta till dem som har ett särskilt behov. Är ett SITHS kort giltigt efter det att en person bytt namn? Svar: Regelverket säger att uppgifterna på id-handlingar ska stämma och därför ska kortet bytas omedelbart. I praktiken kommer kortet att vara giltigt så länge ingen kontrollerar, men kortet ska bytas. Är ett SITHS kort giltigt om det är skadat, t ex med bortskrapad information eller hål i kortet för en bältesklämma? Svar: Om kortet är skadat eller förstört på något sätt är kortet ogiltigt. Trycker man ett hål i ett SIS-kort är kortet ogiltigt som visuell ID-handling och nytt kort måste beställas till medarbetaren. Det är inte tillåtet att göra hål i kortet eller att skrapa bort information, t ex personnummer ifrån kortet. Det finns bra korthållare, clips, Jojo, edyl, för att slippa ha sönder ett kort.

SITHS UTBILDNING SUP P ORT VER 3. 3 S ID 23(46) Frågor kring Roller inom SITHS Vilka roller och bemanning krävs för kort och certifikatutgivning inom SITHS? Svar: SITHS RA organisation kräver bemanning av RA, Säkerhetsansvarig och Registeransvarig. RA bör initialt även fungera som Handläggare. I praktiken behöver man även bemanna korthandläggare (KRA/LRA) ute bland verksamheten. 1) Säkerhetsansvarig Säkerhetsansvarig ansvarar för uppföljning av verksamhetens efterlevnad av utgivningsprocesser av SITHS-kort och certifikat och kontrollerar att utfärdandet sker under angivna former och i enighet med de fastslagna skriftliga regler som gäller inom organisationen. Uppdraget innebär planering av säkerhetsrevisioner, mm. Rapport över utförda kontroller kan infodras av Driftleverantören. Säkerhetsansvarig får ej vara RA, Registeransvarig eller ORA/KRA/LRA. 2) Registeransvarig Registeransvarig ansvarar för registret över underskrivna kortkvittenser för utfärdade Reservkort och Företagskort (inkl SIS). Organisationen skall på begäran av Inera, Driftleverantören och/eller SIS bistå och avlämna revisionsmaterial, t ex årsrapporter över utfärdade kort/certifikat. 3) Handläggare Handläggaren är den person som handhar beställningar av Företagskort (inkl SIS). Handläggaren ansvara också för att utlämnandet av kort sker till den person som kortet är utställt till samt att underskrivna kortkvittenser lämnas till Registeransvarig för arkivering. 4) RA Registration Authority, eller ansvarig kort/certifikatutgivare. RA utser, om tillämpbart, ORA i RA-organisationen, ger behörighet och ansvarar för att dessa personer utbildas i gällande rutiner. RA har en förteckning över behöriga ORA personer i organisationen. RA eller ORA utser KRA i RA-organisationen, ger behörighet och ansvarar för att dessa personer utbildas i gällande rutiner. RA/ORA har en förteckning på behöriga KRA/LRA personer inom det egna ansvarsområdet, och KRA/LRA-områdena är klart definierade. RA ansvarar för arkivering av: RA-organisationens avtal med SITHS CA, dess godkända RAPS, dess förteckning av utsedda RA/ORA och dess ställföreträdande, inklusive historik. Där ORA personer inte förekommer ansvarar RA för förteckning av RA-organisationens utsedda KRA/LRA personer, behöriga representanter och dess ställföreträdande samt deras områden, inklusive historik samt dess förteckning över avtal med andra parter, t ex driftleverantörer eller andra ingående organisationer, inklusive historik och slutligen uppgifter vid utfärdande av HCC Organisation och HCC Funktion, t ex kvittens, identitet på behörig representant och datum för utlämnandet av HCC. 5) ORA Organisation Registration Authority, eller områdes-ra. ORA utses i samråd med respektive verksamhetsansvarig och ansvarar, inom sitt ORA-område, för att RAPS tillämpas. RA eller ORA utser KRA i RA-organisationen, ger behörighet och ansvarar för att dessa personer utbildas i gällande rutiner. RA/ORA har en förteckning på behöriga KRA/LRA personer inom det egna ansvarsområdet, och KRA/LRA-områdena är klart definierade. ORA ansvarar för arkivering av: dess utsedda KRA/LRA personer, behöriga representanter och dess ställföreträdande samt deras områden, inklusive historik samt dess förteckning över avtal med andra parter, t ex driftleverantörer eller andra ingående organisationer, inklusive historik och slutligen uppgifter vid utfärdande av HCC Organisation och HCC Funktion, t ex kvittens, identitet på behörig representant och datum för utlämnandet av HCC. 6) KRA Kort Registration Authority, eller Handläggare. KRA/LRA ansvarar för att beställa HCC och för att begära spärrning av HCC enligt denna RAPS. KRA/LRA tillser att relevant information, bland annat rutiner vid spärrning och felanmälan, ges till NI. KRA/LRA ansvarar för att följande inom KRA/LRA-området arkiveras: uppgifter om kortbeställningar, namnteckningsprov och kortkvittenser, uppgifter om utlämnade/återlämnade SITHS-kort, uppgifter om utlämnade och återlämnade reservkort samt åtgärder som vidtas efter att ett använt reservkort har återlämnats, uppgifter om utlämnade/spärrade HCC och uppgifter om utlämnade PIN-koder för reservkort.

SITHS UTBILDNING SUP P ORT VER 3. 3 S ID 24(46) 7) LRA Local Registration Authority, eller Lokal RA. KRA/LRA ansvarar för att beställa HCC och för att begära spärrning av HCC enligt denna RAPS. KRA/LRA tillser att relevant information, bland annat rutiner vid spärrning och felanmälan, ges till NI. KRA/LRA ansvarar för att följande inom KRA/LRA-området arkiveras: uppgifter om kortbeställningar, namnteckningsprov och kortkvittenser, uppgifter om utlämnade/återlämnade SITHS-kort, uppgifter om utlämnade och återlämnade reservkort samt åtgärder som vidtas efter att ett använt reservkort har återlämnats, uppgifter om utlämnade/spärrade HCC och uppgifter om utlämnade PIN-koder för reservkort. Frågor kring Spärrlistor Kan man koppla den interna infrastrukturen till en CRL-tjänst? Svar: Ja, SITHS bygger just på att man aktivt skall kontrollera en id handlings aktualitet och status. Först och främst innehåller varje certifikat information om var dess spärrtjänst (CRL eller OCSP) finns. Sedan kan organisationen även konfigurera om sin DNS hantering, så att lokal kopia av spärrinformation enkelt kan inläsas. Hur stor blir en CRL? Svar: En CRL med ca 200 000 spärrade certifikat ger en filstorlek på ca 7-8 Mbyte. Frågor kring Ändringsbegäran Hur beställer man en ändring av SITHS applikationen? Svar: Det finns en ITIL anpassad rutin för Ändringsbegäran. Frågor hänvisas till i första hand till lokal RA-organisation alternativt till SITHS Förvaltningsgrupp. Frågor kring utfärdande av kort och certifikat i SITHS Styrkande av identitet och giltiga id handlingar Hur sker styrkande av identitet? Svar: Organisationen är ansvarig för att kortinnehavaren styrker sin identitet vid beställning och utlämnande av Företagskort (inklusive SIS). Den som utför kontrollen skall ha erforderlig kompetens för detta och tillgång till nödvändig information. Handläggaren bekräftar genom signatur på kortkvittenser att identitetskontrollen skett enligt lämnade föreskrifter. Handläggaren är ytterst ansvarig för utlämnandet av kortet samt för att korrekt ifylld kortkvittens arkiveras. Det bör påminnas om behovet av skärpt uppmärksamhet i syfte att förhindra bedrägerier i form av exempelvis identitetsstölder. Vid tveksamheter beträffande identifiering får Företagskort inte utfärdas, se även broschyren De sju stegen. Vad är en giltig identitetshandling? Svar: Giltiga identitetshandlingar är: Svenskt körkort, inklusive mopedkörkort Svenskt pass i vinröd bok SIS godkänd ID handling (ej med Samordningsnummer) Nationellt ID kort Skatteverkets ID kort

SITHS UTBILDNING SUP P ORT VER 3. 3 S ID 25(46) Kan ett provisoriskt pass betraktas som en giltig ID-handling? Svar: Ett provisoriskt pass är ingen giltig id-handling när det gäller identifiering av personer för att skapa nya SIS-kort. Det är inte framställt på samma sätt som vanliga pass och räknas inte som ett fullvärdigt pass. Kan en ID-handling betraktas som giltig om namnteckningen har hamnat upp och ner? Svar: Nej, om namnteckningen hamnar upp och ner är kortet inte giltigt. Gäller det organisationens egen produktion av id handling, så går det att rotera en namnteckning som skannats in i beställningsläget, var därför noggrann med att fråga personen själv om beställningsunderlaget ser korrekt ut innan du väljer att skicka iväg en beställning. Vad gör man om en person inte har någon giltig id-handling? Svar: Om en person som ska få ett SITHS kort saknar giltig id-handling måste han/hon ta med sin närmaste chef som kan styrka identiteten. Intygsgivaren måste i detta fall legitimera sig med sin egen id-handling och gå i god för personens identitet. Intygsgivaren måste även finnas i den egna HSA katalogen. Observera att detta förfarande endast kan acceptera om personen saknar giltig idhandling, inte om personen har glömt sin id-handling hemma. Kan man skriva under med ett annat namn än det man är folkbokförd som? Personen heter t ex Karlsson, men skriver sin namnteckning som Carlsson. Svar: En namnteckning är ett för personen särpräglat sätt att skriva sitt namn på. Hur namnteckningen skrivs avgör personen själv. Om en person har annan stavning på sin namnteckning än det folkbokförda namnet så är det ok. Vi bör dock avråda personer från att ha en helt avvikande namnteckning, t ex att man skriver ett helt annat namn i och med att det kommer att ställa till problem för personen då en förlitande part kan välja att neka en id handling som de tror är oäkta. Hur registreras uppgifter om intygsgivare i SITHS Admin vid beställning av kort till personer som saknar giltig ID-handling? Svar: Personnummer registreras i SITHS Admin vid beställningstillfället, men detta omvandlas till HSA-id i statistik och loggar i systemet. Arkivering Vad gäller för hantering av arkivering av kortbeställningar och kortkvittenser? Svar: Kortbeställningar arkiveras endast av korttillverkaren. Kortkvittenser för mottagna SIS-, Företags- och Reservkort arkiveras under kortets giltighetstid och tio år därefter. Registret skall förvaras med betryggande säkerhet, exempelvis valv, värdeskåp eller annat väl skyddat utrymme. Registret får endast vara tillgängligt för register- och säkerhetsansvarig personal samt handläggare och vid kontrollbesök även för Driftleverantörens kontrollant. Kortkvittenser arkiveras förslagsvis i ordning efter födelsedag, exempelvis i pärmar. Registret skall vara i sådan ordning att telefonförfrågningar om uppgifternas riktighet omgående kan besvaras. Reservkort Hur beställer man fler Reservkort till verksamheten? Svar: Det är endast rollerna RA och KRA som kan beställa verksamhetens Reservkort. Markera organisationens o i organisationsträdet och aktivera funktionen Beställ reservkort, se RA Utbildningsmaterial. Verksamheten får då en bunt med Reservkort som tas fram allt eftersom de skall lämnas ut till de enskilda medarbetarna.

SITHS UTBILDNING SUP P ORT VER 3. 3 S ID 26(46) Hur får man använda reservkorten? Svar: Reservkort ska kunna tilldelas personer som av olika anledningar omedelbart behöver ett kort för inloggning till datorresurser, inpassering till dörrar m.m. Anledningar kan vara att personen är nyanställd och ej fått ordinarie SITHS kort, personen har tappat sitt ordinarie kort, kortet har gått sönder eller att kortet är glömt hemma. Reservkortet är alltid personligt och ger NI samma behörigheter som med det ordinarie SITHS kortet. Reservkorten innehåller exakt samma SITHS certifikat som ett ordinarie SITHS kort, vilket innebär att rutiner och kontroller av säkerheten måste uppfylla samma krav som hanteringen av SITHS kortet gör. Reservkorten är helt okänsliga innan en användare har knutits till kortet genom utfärdande av SITHS certifikatet. Det innebär att kortet kan skickas och lagras utan att någon extra hög grad av säkerhet erfordras. Reservkorten kan lagras i en låst låda, med syfte att se till att korten ligger kvar då de behövs. Ett reservkort ska aldrig ha längre giltighetstid än vad som är nödvändigt för den aktuella situationen. Ett kort som är glömt hemma kan ersättas av ett Reservkort med giltighetstid på max 2 dagar (bestäms av organisationen). Ett borttappat kort där en ny beställning av SITHS kort har gjorts eller ska göras bör ersättas med ett Reservkort med giltighetstid som täcker tiden för att få det nya kortet (normalt 1-2 veckor). Kan reservkort återanvändas? Svar: Återanvändningen av reservkort får inte innebära att det uppstår risk för att det inte går att avgöra vem som använt ett visst kort i ett visst givet ögonblick. Informationen om vem som haft ett visst reservkort ska vara skyddad för alla som inte uttryckligen har befogenhet att se detta. Det ska inte vara möjligt att ändra informationen om vilken person som innehaft ett visst reservkort under en viss tidsperiod. Anmärkning: Ett Reservkort får därför endast i undantagsfall återanvändas till en och samma medarbetare. PIN/PUK kodsbrevet är medarbetarens egna värdehandling och skall aldrig återlämnas eller visas upp för adminsitratören. Kortbeställning Hur beställer man kort? Svar: Detta sker i SITHS Admin. Leta först upp medarbetaren i systemet och aktivera funktionen Beställa HCC till nytt kort. Endast registrerade Handläggare med rollen som RA, ORA eller KRA kan utföra detta. Datorn behöver även tillgång till digital kamera och namnteckningsscanner (om foto eller namnteckning skall tas). Utför ID-kontroll på medarbetare. Ange legitimationssätt i applikationen SITHS Admin. Beställningen utförs och skickas elektroniskt. OBS! Applikationen SIS Capture Station måste vara installerad. Organisationen måste även ha fått sina korttyper inregistrerade i SITHS Admin av Cygate/Telia Handläggaren som skickar in beställningarna måste vara registrerad hos Leverantören och slutligen för att skicka in beställningen måste Handläggaren använda med sin privata e-legitimation.

SITHS UTBILDNING SUP P ORT VER 3. 3 S ID 27(46) Fotografering i SITHS Kan man återanvända/exportera foto? Svar: SITHS rekommenderar att man fotograferar och inte återanvänder foto. Handläggaren måste kunna gå i god för att fotografiet är rätt bild på medarbetaren. Officiella krav (SBC 151U) är att Företagskort kräver att fotografiet är porträttlikt och för SIS-kort finns kravet på maximalt 12 månaders ålder på foto. Oavsett korttyp kan man i SCS Beställningsstation enkelt exportera tagna foton till verksamhetens egna filsystem, tex en nätverksserver. Spärr av kort Hur länge kan man vänta med att spärra ett SITHS kort om man inte är säker på att kortet verkligen är borttappat? Svar: SITHS kort ska spärras omedelbart då en kortinnehavare anmäler till handläggaren att kortet är borttappat eller stulet. Om kortinnehavaren inte vet om kortet är borta eller kan återfinnas måste han/hon själv göra en egen bedömning om kortet ska anmälas som borttappat eller inte. När personen anmäler kortförlusten skall kortet omedelbart spärras av handläggaren. Hur kontrollerar man om ett kort är giltigt? Svar: För att kontrollera ett SIS-korts fysiska giltighet kan man ringa Telias kortupplysning (08-530 385 13). Ett Företagskort eller Reservkort har ingen fysisk giltighet ute i samhället och finns därför inte i något publikt register. Vad gör man med ett reservkort som inte går att avregistrera? Personen har slutat och det finns inga giltiga e-tjänstelegitimationer på kortet? Svar: Det enda man behöver göra är att klippa kortet och kasta det. Eftersom det inte finns någon e-tjänstelegitimation på reservkortet så är kortet obrukbart. Leveranser Hur lång tid tar en kortleverans? Svar: - Standardkort = 30 dagar - Kundunika kort = 12 veckor (Logotyp i färg eller annan layout) - Normal produktion av redan framtagen korttyp tar 5 arbetsdagar (oavsett färg/svartvitt). - PIN-kodskuvert dröjer (av säkerhetsskäl) ytterligare 2 arbetsdagar Kontrollera kortstatus genom att leta upp medarbetaren i SITHS Admin och se under statusrutan för kort. Kortstatus anger om kortet har skickats till kontor eller ej, se figur 12. PIN- och PUKkodsbrev levereras till användarens folkbokföringsadress ca två arbetsdagar efter det att kortet levererats. Som handläggare bör man i praktiken räkna med ca 2 veckor innan beställt kort kan lämnas ut till användaren.

SITHS UTBILDNING SUP P ORT VER 3. 3 S ID 28(46) Figur 12. Kontroll av kortstatus i SITHS Admin. Skulle kortet ha status Skickad, så finns den under postgång till administratörens kontor. Varje kortleverans går med REK post och posten kan därför spåra försändelsens framskridande. Ett brådskande kort kan redan ligga på er lokala budcentral. Telias Kundtjänst kan lämna ut REK numret för kontroll med Postverket, www.posten.se, och sök på REK numret, se figur 13. Figur 13. Kontroll av REK försändelse via postens webb. Skulle ett kort ha felaktigt kortstatus, t ex Beställd fastän det är skickat till kontoret, så skall detta felanmälas till Kundtjänst. Ett centralt register måste uppdateras hos Leverantören. Har kort skickats till fel mottagare, t ex fel kontor? Svar: Felanmälan skall genomföras. Leveransrutiner måste kvalitetssäkras. Hur sker leverans av efterbeställda pukkodsbrev? Svar: Efterbeställda pukkodsbrev levereras till användarens närmaste postkontor/utlämningsställe för personlig uthämtning. Hur levereras beställda reservkort? Svar: Reservkort levereras direkt till den kontorsadress som finns registrerad på den beställande enheten. Reklamation Hur hanterar man en Reklamation? Svar: Vid de tillfällen som en reklamation behövs, så finns särskild blankett att använda, se leverantörsbilaga Reklamation.doc.

SITHS UTBILDNING SUP P ORT VER 3. 3 S ID 29(46) Vad gör man om magnetremsan på kortet inte är kodat eller är felkodat? Svar: Om magnetremsan inte innehåller någon information alls, så har kodningen hos korttillverkaren misslyckats. Kortet behöver då kodas av en lokal magnetkodningsmaskin eller reklameras till korttillverkaren. Är kortet felaktigt kodat, så skall en felanmälan till Kundtjänst genomföras. Vad gör man om RFID/Mifare-chipet inte fungerar? Svar: Om kortets RFID/Mifare-chip inte fungerar ska kortet reklameras. Chipet kan vara trasigt eller okodat. Ytterligare orsak till att det upplevs som att RFID/Mifare inte fungerar kan vara att det system som kortet ska användas i inte är konfigurerat rätt eller att användaren saknar behörighet i systemet. Nya kortprodukter Hur beställer man nya kortprodukter? Svar: Beställning av kortprodukter måste genomföras och godkännas av Cygate/Telia, se leverantörsbilaga Bilaga 1.1.1 Beställning.doc. Kundunika kortprodukter beställs via blankett Bilaga 1.1.4 Beställning av korttyp enl. offert.doc. Ifylld och undertecknad blankett sänds till Kundtjänst. Hur avbeställer man en kortprodukt? Svar: Avbeställning av kortprodukt måste genomföras och godkännas av Cygate/Telia, se leverantörsbilaga Bilaga 1.1.3 Annullering av korttyp.doc. Ifylld och undertecknad blankett sänds till Kundtjänst. Funktionscertifikat Hur beställer man Funktionscertifikat? Svar: Funktionscertifikat är ett certifikat som företräder en funktion, oftast i form av en server och kallas därför ofta servercertifikat. Själva formatet på certifikatet är en krypterad fil, en PKCS#12-fil (alternativt PKCS#10-fil). Denna fil innehåller dels det publika certifikatet som mottagaren behöver känna till och dels den privata delen med nyckel som endast ägaren till certifikatet skall ha kännedom om. Det är endast RA och ORA som kan genomföra en beställning av funktionscertifikat. Ett tillhörande regelverk avgör hur en beställning går till Hur man skapar en HCC funktion (eller ett servercertifikat); se RA Utbildningsmaterial. Hur man installerar en HCC funktion (eller ett servercertifikat); se SITHS anpassning av IT system. Vad händer om man glömmer att ladda ned de två certifikat som skapas? Svar: Det går inte att få tag på certifikatet igen (med korrekt struktur), pga. en säkerhetsfråga eftersom CA-systemet inte tillåts lagra nycklar. Det blir alltså en nybeställning. Säker e-post Hanterar SITHS säker e-post? Svar: SITHS certifikat hanterar signering och kryptering av säker e-post. För Lotus Notes och Outlook finns användarhandledning.

SITHS UTBILDNING SUP P ORT VER 3. 3 S ID 30(46) Vilka inställningar ska göras för att man ska kunna signera e-post elektroniskt? Svar: För att kunna signera och kryptera e-post med Outlook hänvisas man till särskild instruktion Säker e-post.doc. För att kunna signera e-post i Lotus Notes behöver vissa inställningar göras i drivrutin: 1. Gå in i Arkiv/ Säkerhet/ Användarsäkerhet och ange Dominolösenordet 2. Välj Din identitet/ Ditt smartkort och sedan konfigurationsdetaljer 3. Under programvarudrivrutiner söker du upp filen C:\program\netid\iidp11.dll För att signera med ett certifikat gör man följande: 1. Gå in i Arkiv/ Säkerhet/ Användarsäkerhet och ange Dominolösenordet 2. Välj Post och markera Signera post som du sänder 3. Gå in i Postalternativ för internetformat och markera Använd MIME-format 4. Välj Certifikatskonfiguration för att se din e-legitimation och din e-tjänstelegitimation, SITHS Applikationen SITHS Admin Länkar Använder man rätt länk till SITHS Admin? Svar: De länkar som används är: SITHS Admin = Administratörens dagliga applikation och SITHS Självadmin = Medarbetarens applikation för nedladdningar av nya certifikat. Rätt adress till dessa finns i avsnittet Sökvägar (url) för SITHS. Använder man länk som fortfarande är aktiv inom Verksamheten? Svar: Prova först med att använda alternativ länk (Sjunet/Internet eller vice versa). Det kan även vara Brandportsinställningar som begränsar en aktiv länk, se avsnitt Brandväggskonfigurationer. Inloggning Hur loggar jag in i SITHS Admin? Svar: Inloggning till SITHS Admin sker genom att först sätta in SITHS kortet i kortläsaren. Aktivera därefter rätt länk. Använder man rätt certifikat vid inloggningen? Svar: Varje kort har två certifikat: medarbetarens etjänstelegitimation, SITHS-certifikatet, och medarbetarens personliga e-legitimation, se figur 14. Det är SITHS-certifikatet man använder för att logga in i SITHS Admin. Säkerställ att SITHS CA v3 används. Den personliga e-legitimationen används endast då: man loggar in i SITHS Självadministration för att ladda ned ett nytt certifikat eller Handläggaren skickar iväg underlag för kortbeställningar.

SITHS UTBILDNING SUP P ORT VER 3. 3 S ID 31(46) Figur 14. SITHS kortets två certifikat etjänstelegitimationen och e-legitimationen. Ingen e-tjänstelegitimation visas i certifikatsväljaren vid inloggning Svar: Kan bero på att NetID inte hunnit läsa kortet innan SITHS Admin startade eller att kortet inte har lästs in rätt i NetID Stäng webbläsaren och ta ur kortet ur kortläsaren och sätt i det igen. Försäkra dig om att NetID läser kortet innan du öppnar SITHS Admin igen. Om problemet kvarstår, kontrollera i NetID att det finns certifikat på kortet.

SITHS UTBILDNING SUP P ORT VER 3. 3 S ID 32(46) Vad gör jag om min e-tjänstelegitimation inte fungerar? Svar: Kontrollera först att e-tjänstelegitimationen finns på kortet genom att högerklicka på NetIDsymbolen och välj Administration. e-tjänstelegitimationen utgiven av "SITHS CA v3, Carelink" ska finnas i två exemplar (s k certifikat), en för legitimering och en för signering. Vilken som är vilken går att se genom att dubbelklicka på respektive certifikat och läsa i informationsrutan för certifikatet som dyker upp. För att logga in med e-tjänstelegitimation behöver nyckelanvändning (under fliken information) ha värdena 'Digital signatur', 'Nyckelchiffrering'. Om e-tjänstelegitimationen används för att logga in till Microsoft AD behöver det dessutom finnas 'Logga in med smart kort' som användningsområde. Har administratören en korrekt e-postadress i sitt certifikat som används? Svar: Administratören i SITHS måste ha en e-postadress i sitt certifikat. E-postadressen används i programmet i samband med att genomföra olika beställningar. Kontrollera detta med att aktivera Administration i Net id, t ex genom att högerklicka på programikonen. Högerklicka på någon av personens SITHS certifikat och välj Visa. Aktivera fliken Information och kontrollera Fältet ämne, se figur 15. Figur 15. Kontroll av certifikat och e-postadress i NetID. Saknas e-postadress, så måste detta skapas. Skapa e-postadress i HSA och se till att annan administratör begär ett nytt certifikat till befintligt kort för personen. Ladda ned ett nytt certifikat via SITHS Självadministration, se KRA Utbildningsmaterial. Navigering i SITHS Har en databasfråga eller liknande använts som resulterar i långa svarstider? Svar: Ett fel har uppstått - Kan inträffa om kommunikationen är bruten mellan webbservern och underliggande system, t ex på grund av långa databassvar. Återgå till föregående webbsida alternativt kan man aktivera någon av flikarna i SITHS Admin för att navigera sig tillbaka till Statistikfrågorna. Prova även att utföra belastande statistikfrågor offline. Används webbläsarens egna funktioner som Framåt/Bakåt navigering? Svar: Använd aldrig Internetprogrammets Framåt/Bakåt funktioner. Återgå till föregående webbsida med kortkommando BACKSTEG och uppdatera denna sida med kortkommando F5. SITHS Admin är ett säkerhetsbaserat program liknande Internetbank, mm, och uppkoppling mot systemet avbryts om man aktiverar funktioner utanför programmets kontroll, t ex Internet Explorers menyrader.

SITHS UTBILDNING SUP P ORT VER 3. 3 S ID 33(46) Roller Vad kan respektive roll utföra i SITHS Admin? Svar: Detta beskrivs i SITHS Admin under Statistik & loggar Roller Rättigheter för roller. Hur tar man reda på vilka roller en medarbetare har blivit tilldelad? Svar: Sök upp medarbetaren i SITHS Admin välj Administrera roller. Hur tar man reda på vilka roller en organisation har blivit tilldelad? Svar: Sök upp organisationen i SITHS Admin välj Administrera roller. Inom vilka delar av organisationen kan en roll utföra arbeten? Svar: I de delar administratören blivit tilldelade. Rollen ärvs automatiskt med samma rättigheter nedåt i organisationens hierarki. Samma administratör kan även ha flera olika roller vid olika delar inom samma huvudorganisation. Samma administratör kan även ha roller över organisationens områden, t ex om man bistår en annan organisation med kort/certifikatutfärdande. Saknar man roll (RA/ORA/KRA eller LRA) till SITHS Admin? Svar: Varje roll kan endast delegeras nedåt i en hierarkisk ordning. En RA kan utse ORA, KRA och LRA inom sitt verksamhetsområde. En ORA kan utse KRA och LRA. Kontrollera administratörens roll. Eventuellt har någon Återtagit roll eller har helt enkelt glömt att Tilldela roll. Om HSA katalogen nyligen har uppdaterats, så prova att Återta roll och Tilldela roll ånyo. Sök reda på administratören i SITHS Admin och kontrollera dess roll. Fliken HCC Administration visar personposten, fliken Statistik och loggar visar historiken kring rollen, se RA Utbildningsmaterial. Lämna ut kort Hur lämnar man ut kort? Svar: Detta sker i SITHS Admin. Leta upp medarbetaren i systemet och aktivera funktionen Lämna ut kort. Utför ID-kontroll på medarbetare. Ange legitimationssätt i applikationen SITHS Admin och se till att medarbetare undertecknar kortutlämnandet. Arkivera det undertecknande mottagandet (elektroniskt eller manuellt på papperskvittenser). OBS! Ett kort kan endast lämnas ut om det har status Skickat. För att ett kort skall vara giltigt och för att det skall kunna ladda ned ytterligare certifikat, så måste det vara Utlämnat i systemet. Uppstår problem med att Lämna ut kort? Svar: Ett kort måste ha status Skickat för att kunna lämnas ut. Kontrollera kortstatus genom att leta upp medarbetaren i SITHS Admin och se under statusrutan för kort. Spärr av kort/certifikat Hur spärrar man kort/certifikat? Svar: Ett kort och dess e-legitimation kan spärras dygnet runt av Telia (020-32 32 62). Det är kortets fysiska serienummer och Telias e-legitimation som då spärras. SITHS Certifikaten spärras av den egna organisationen. Detta sker i SITHS Admin. Leta upp medarbetaren i systemet och aktivera funktionen Spärra certifikat. OBS! Upprepa detta med båda certifikatparen. Om kortet däremot avregistreras i SITHS Admin, så spärras Telia e-legitimation och kortets fysiska giltighet med automatik. Detta sker i SITHS Admin. Leta upp medarbetaren i systemet och aktivera funktionen Avregistrera kort.

SITHS UTBILDNING SUP P ORT VER 3. 3 S ID 34(46) Skall både kort och certifikat avregistreras/spärras? Svar: Leta upp medarbetaren i SITHS Admin och aktivera funktionen Avregistrera kort och ange avregistreringsorsak, se figur 16. SIS-kort och Telias E-legitimation spärras då med automatik. Företags- och Reservkort avregistreras automatiskt på samma sätt samt kortets tillhörande SITHS certifikat spärras inom 5 minuter. Kontrollera även om databas för lokalt inpasseringssystem inom organisationen skall kontaktas/uppdateras med denna spärrinformation. Figur 16. Avregistreringsorsak anges i SITHS Admin. Figur 17. Destruering av kort. Klipp kortet genom chipet och över magnetbandsremsan, se figur 17. Kortet kan då kastas. Om medarbetaren kräver ett intyg på återlämnandet sker detta enligt er organisations policy. Att medarbetaren ser sitt kort klippas itu är annars fullt tillräckligt. Skall endast certifikat revokeras? Svar: Leta upp medarbetaren i SITHS Admin och aktivera Spärra vid statusrutan för kortets tillhörande certifikat och ange spärrorsak. OBS! Upprepa detta med båda certifikatparen. Statistik Hur gör man för att söka fram information om ett kort som är utgiven på en enhet som inte längre finns i HSA katalogen och därmed inte syns i SITHS Admin? Svar: Information som är kopplad till en enhet som inte längre finns i HSA kan återfinnas på den överliggande enheten i statistik och loggar i SITHS Admin. Prestandaproblem med statistikfrågor? Svar: Statistikrapporter kan skapas off-line eller automatgenereras enligt speciellt beställningsintervall. Särskilt användbart är detta för statistikrapporter som kräver processorkraft av systemet och har viss påverkan på webbsidan. Större och mer krävande statistikfrågor, som vissa kortfrågor, tar för mycket tid att bearbeta vid det direkta frågetillfället (online). Man kan ställa samma statistikfråga och låta systemet bearbeta den i bakgrunden (offline). Svaret genereras och sänds till beställaren inom ett dygn eller efter begärd rapport, se RA Utbildningsmaterial. Hur gör jag för att söka fram information om ett kort som är utgiven på en enhet som inte längre finns i vår organisations HSA katalog och därmed inte syns i SITHS Admin? Svar: Information som är kopplad till en enhet som inte längre finns i HSA kan återfinnas på den överliggande enheten i statistik och loggar i SITHS Admin.

SITHS UTBILDNING SUP P ORT VER 3. 3 S ID 35(46) Meddelanden Vad innebär e-postmeddelandet påminnelse om utgående HCC? Svar: Denna påminnelse skickas ut ett givet antal dagar innan din e-tjänstelegitimation går ut. Om du behöver SITHS kortet under en längre tid än detta bör du kontakta din kortadministratör så att du i god tid kan få en ny e-tjänstelegitimation. Vad innebär e-postmeddelandet Nytt HCC är beställt? Svar: Detta meddelande innebär att du fått en ny e-tjänstelegitimation som kan laddas ner via självadministrationen till ditt befintliga kort eller till ett reservkort som du erhållit. Logga in i Självadministrationen för att ladda ner det till kortet om du inte redan gjort detta. PopUp fönster varnar för att nödvändig installation av ActiveX komponent krävs Svar: För att hantera SIS Capture Station och nedladdning av certifikat krävs en installation av tillägget CaptureX, se avsnittet om trusted site för domän. The page requires a valid SSL Client certificate Svar: SITHS rotcertifikat finns inte installerat i din dator, ditt SITHS certifikat är revokerat eller så kan certifikatets giltighet inte kontrolleras mot angivna CRL källor. Detta händer då MS Internet Explorer inte kan hitta ett certifikat som motsvarar den begäran som servern (SITHS Admin i detta fall) ställer. Kan uppträda vid inloggning om rotcertifikatet inte finns installerat på datorn eller om användaren inte har någon godkänd och giltig e-legitimation. Installera rotcertifikat på datorn om detta saknas. Annars; kontrollera i NetID att det finns en giltig e-legitimation ifrån SITHS CA på kortet, att giltighetstiden inte har passerats. Kontakta en kortadministratör för att kontrollera om etjänstelegitimationen till kortet har spärrats. SITHS administratören kan beställa ny e- tjänstelegitimation till användaren. Vita sidor Svar: Beror på att webbläsaren får för mycket information från föregående webbsida, t ex info om användarens uppgifter, inmatade formulärdata, mm. En vit sida är ett sätt att lösa problemet med denial of service attacker. Återgå till föregående webbsida (kortkommando BACKSTEG) och uppdatera denna sida (kortkommando F5). Det har inträffat ett fel i kommunikationen med databasen Svar: Kan uppkomma om exempelvis kommunikationen är bruten mellan databasen och webbservern. Det har inträffat ett fel i samband med din inloggning. Svar: Det kan exempelvis bero på att du valt fel certifikat vid inloggning eller att spärrkontrollen inte fungerat. Det har inträffat ett fel i behörighetskontrollen Svar: Kan uppkomma om en nyckelinnehavares rättigheter att utföra en viss operation återkallas medan nyckelinnehavaren försöker utföra samma typ av operation. Ett fel har uppstått Svar: Kan inträffa om kommunikationen är bruten mellan webbservern och CVE.

SITHS UTBILDNING SUP P ORT VER 3. 3 S ID 36(46) Det har inträffat ett fel i systemet Svar: Kan inträffa om kommunikationen är bruten mellan webbservern och CVE. Organisationen har inga korttyper Svar: Korttillverkaren (Gemalto) saknar information om vilka kortalternativ som förekommer för organisationen. Organisationen har inga reservkortstyper Svar: Korttillverkaren (Gemalto) saknar information om att reservkort skall användas av organisationen. Applikationen SITHS Själv administration Länkar Använder man rätt länk till SITHS Självadministration? Svar: De länkar som används är: SITHS Admin = Administratörens dagliga applikation och SITHS Självadmin = Medarbetarens applikation för nedladdningar av nya certifikat. Rätt adress till dessa finns i avsnittet Sökvägar (url) för SITHS. Inloggning Hur loggar jag in i Självadministrationen (HCC Administration)? Svar: Inloggning till Självadministrationen sker genom att först sätta in SITHS kortet i kortläsaren. Aktivera därefter rätt länk. Vad gör jag om min personliga e-legitimation inte fungerar? Svar: Kontrollera först att den personliga e-legitimationen finns på kortet genom att högerklicka på NetID- symbolen och välj Administration. Den personliga e-legitimationen utgiven av 'Telia e- legitimation HW CA v1, TeliaSonera Sverige AB' ska finnas i två exemplar (s k certifikat), en för legitimering och en för signering. Vilken som är vilken går att se genom att dubbelklicka på respektive e- tjänstelegitimation och läsa i den certifikatinnehållsruta som dyker upp. För att logga in med e- tjänstelegitimation behöver Nyckelanvändning (under flik information) ha värdena 'Digital signatur', 'Nyckelchiffrering'. Observera att det skiljer sig på hur inloggningen är konstruerad från tjänst till tjänst, vilket påverkar kraven på val av kort- och certifikatprogramvara (här NetID). Om den personliga e-legitimationen inte fungerar kan det bero på att en annan programvara krävs. Nedladdning av certifikat Kan man ha flera certifikat nedladdade till samma kort? Svar: Ja det finns utrymme för ett större antal certifikat på kortets chip.

SITHS UTBILDNING SUP P ORT VER 3. 3 S ID 37(46) Uppstår problem med att ladda ned certifikat till Befintliga kort eller Reservkort? Svar: I extrema fall kan det redan ligga för många certifikat på kortets chip. Man tar bort ett certifikat genom att aktivera Administration i Net id (t ex genom att högerklicka på programikonen) och markera önskat certifikat med ett högerklick, se figur 18. Välj Ta bort och ange PIN-kod för identifiering. Upprepa detta med tillhörande certifikat par (identifiering/signering). Figur 18. Kontroll av certifikat och radering av certifikat i NetID. Ett kort måste även vara Utlämnat av kortadministratören som lämnat ut kortet för att ett nytt certifikat skall kunna laddas ned på ett befintligt kort eller Reservkort. Den kortläsare som används av medarbetare kan vara bristfällig, kontrollera med driftleverantörens (Telia) rekommendationer på hårdvara. Medarbetaren måste låta NetID arbeta färdigt med nedladdningen. NetID ikonen skall sluta rotera innan guiden i SITHS Självadministration stängs ned/loggas ur. Felkontrollera även med att högerklicka på programikonen och uppdatera legitimationsförflyttningar samt aktivera Administration i NetID. De nya certifikaten skall nu synas. Meddelanden Hämtning av HCC misslyckas vid Självadministration Svar: Kortet kan sakna fysisk plats för ytterligare HCC. Kortet kan vara skadat. Användaren har avbrutit installationsguiden. Detta HCC certifikat finns redan på ditt kort vid Självadministration Svar: Användaren försöker ladda ned ett certifikat, som redan finns nedladdat på kortet. PopUp fönster varnar för att nödvändig installation av ActiveX komponent krävs Svar: För att hantera SIS Capture Station och nedladdning av certifikat krävs en installation av tillägget CaptureX, se avsnittet om trusted site för domän. Applikationen SCS Beställningsstation Påbörjade Beställningsunderlag Uppstår problem med tidigare påbörjade, men ej genomförda, Beställningsunderlag? Svar: Applikationen SCS Beställningsstation har funktion för att visa ofullständiga/färdiga underlag. När ett beställningsunderlag klassas som signerat och färdigt försvinner den ur vyn för beställningsunderlag om endast ofullständiga underlag skall presenteras, se figur 19.

SITHS UTBILDNING SUP P ORT VER 3. 3 S ID 38(46) Figur 19. Presentation av Beställningsunderlag i SCS Beställningsstation. Ett signerat beställningsunderlag kan inte kompletteras om det inte låses upp. Applikationen SCS Beställningsstation är konfigurerad med att antingen lagra påbörjade beställningsunderlag krypterade på nätverksresurs eller lokalt i PC. Beroende på verksamhetens IT plattform når administratören olika nätverksresurser om man är inloggad i domän eller inte. Man får inte arbeta med att skapa nya beställningsunderlag om man samtidigt arbetar i SCS Beställningsstation med fotografering, osv. Datafil för nya beställningsunderlag sparas inte. Detta skall dock meddelas i en felkontroll. Uppstår problem med att uppdatera påbörjade Beställningsunderlag? Svar: Om en medarbetare har låst och signerat ett beställningsunderlag, så kan endast denna medarbetare låsa upp beställningsunderlaget. Det är viktigt att man låser upp ett signerat beställningsunderlag med rätt certifikat. Det är skillnad på personlig e-legitimation och SITHS etjänstelegitimation. Det är även skillnad på om medarbetaren har olika etjänstecertifikat. Lagrade Beställningsunderlag Var lagras påbörjade Beställningsunderlag? Svar: Signerade beställningar ligger i mappen EncryptedOrders och osignerade beställningar ligger i CaptureXStore.xml, se avsnitt SIS Capture Station. Beställning av Beställningsunderlag Uppstår problem med att skicka iväg Beställningsunderlag? Svar: Kontrollera om Handläggare har e-postadress i sitt certifikat. Personlig e-legitimation skall användas då Handläggaren skickar iväg underlag för kortbeställningar. Kunduppgifter som kontor och kortprodukt skall överensstämma med avtalet med Leverantören. Kontrollera detta via C:\Program\Gemalto\SIS Capture Station\SCSConfigurator.exe Kontrollera om Handläggare är behörig för produkt och RA-område. Verksamheten skall ha fått återkoppling om vilken Handläggare som är behörig till vilken kortprodukt. Ligger det för många beställningar i samma försändelse, så kan man dela upp beställningen i flera beställningar som skickas iväg efter varandra. Hur många beställningar kan man skicka iväg samtidigt? Svar: Normalt skall antalet samtida beställningar kunna vara ett 30-tal kort. Ett felmeddelande kan dock uppträda som anger Programmet kunde inte beräkna en signatur, vilket innebär att arbetsstationens internminne överbelastats. Lämplig åtgärd kan vara att dela upp kortbeställningar i mindre leveranser. Markera endast ett antal kort och skicka beställning, upprepa detta tills antalet kort som skall beställas har skickats iväg. En annan åtgärd kan vara att ta mindre foton, vilket

SITHS UTBILDNING SUP P ORT VER 3. 3 S ID 39(46) görs genom att ändra kamerainställningen. Arbetsstationen kan även konfigureras så att datorns virtuella minne ökas. Namnteckningsscanner Namnteckningsscannern låser sig ibland! Hur startar jag upp den igen? Svar: Kontrollera att datorn har hittat skannern genom att dra ur USB-kabeln och sätt i den igen. Kör kalibreringskortet genom skannern. Kamera Kameran fungerar inte Svar: Ta bort USB-anslutningen och anslut igen. Om detta inte fungerar prova en annan USB-port eller ominstallera kamerans drivrutiner. Kameran låser sig ibland! Hur startar jag upp den igen? Svar: Problemet med Autofokusering är ett känt faktum. En workaround är att först placera personen som skall fotograferas framför kameran, så får kameran fokusera på rätt avstånd (tar annars fokus på bakgrunden). Alternativt så har kameran en mekanisk omkopplare för fokuseringen; AF (autofokus) och MF (manuell fokus). Ställ in objektivets omkopplare för fokusering på <MF> och ställ in fokus manuellt (se sidan 98 i kamerans instruktionsbok). Aktivera läget P (programautomatik) på inställningsratten. Problemet med Live View är också ett känt problem. Aktivera läget P (programautomatik) på inställningsratten. Aktivera <Menu>, välj 5.e fliken och funktionen Live View funk. inst.. Aktivera <SET> knappen för att aktivera funktionen. Välj <Möjlig> och avsluta med <SET>. Avsluta inställningarna med att aktivera <Menu>. Aktivera slutligen Live View Bilder med att trycka <SET> och bilder visas med automatik. Meddelanden Får jag gå vidare i SCS när jag har fått ett felmeddelande om att checksiffran inte stämmer när jag angett SIS-kortsnumret? Svar: Ja det får du. Vissa äldre SIS-kort har inte 11 siffror i sitt kortnummer. Vad betyder Programmet kunde inte beräkna en signatur? Svar: Kan uppkomma i SCS då minnet tar slut i PC. Händer oftast då många beställningar ska signeras samtidigt. Prova att signera färre beställningar per gång. Om fotografierna är stora och man försöker signera många blir det en tung operation för datorn, vad kunden kan göra är att öka mängden virtuellt minne på datorn så att taket inte slås i lika fort. Applikationen Net ID Inläsning av kort/certifikat Vad gör jag när kortläsaren i min dator inte kan läsa kortets chip? Svar: Kontrollera om NetID läser kortet genom att högerklicka på symbolen för NetID i Aktivitetsfältet längst nere till höger på skärmen och välja Administration. Om ingen information visas i mittenrutan (innehavarens namn syns ingenstans) kan följande göras: a) Ta ut kortet ur kortläsaren och sätt in det igen. Vänta. b) Stänga av NetID och starta den igen. c) Starta om datorn eller prova kortet i en annan dator. Om ingen av åtgärderna hjälper ska kortet reklameras.

SITHS UTBILDNING SUP P ORT VER 3. 3 S ID 40(46) Vad kan man göra om datorn inte hittar kortläsaren? Svar: Om det är en kortläsare som är ansluten via USB kan man prova att ta bort USBanslutningen och starta om datorn innan man ansluter kortläsaren igen. I annat fall behöver drivrutinerna installeras om. NetID har försvunnit som ikon på datorn, hur gör man för att få tillbaka den? Svar: Klicka på Start Alla program Net ID och välj att starta e- legitimationsförflyttning när man har SITHS-kortet i kortläsaren. NetID kommer då att startas och ikonen för programmet läggs tillbaka i Aktivitetsfältet. Uppstår problem med att elektroniskt signera Kvittenser? Svar: Denna funktionalitet kräver installation av två kortläsare. Medarbetarens SITHS kort måste vara inläst av en kortläsare innan signering kan genomföras. Se till att kortet är inläst. Kontrollera gärna att programikonen för NetID roterade under inläsningen av kortet. Prova om från början igen med att signera kortets mottagande. Ett kort måste ha status Skickat för att kunna lämnas ut. Ett kort måste lämnas ut för att man skall få tillgång till Kvittensen. Hur kontrollerar jag kortet och dess certifikat? Svar: Kontrollera detta med att aktivera Administration i Net id, t ex genom att högerklicka på programikonen. Olika program för läsning av kort/certifikat Vilken applikation skall man använda - NetID SetWeb BankID? Svar: SITHS har idag ett avtal med Net ID. SITHS Förvaltnings rekommendation är att endast installera NetID applikationen. Konflikter kan uppträda om flera applikationer är installerade samtidigt. Vissa program för att läsa smarta kort (CSP) accepterar såväl siffror som bokstäver för sina PIN-koder, andra CSP:er accepterar inte detta. NetID och BankID kan samexistera, men rekommendationen är ändå att man stänger ned BankID när SITHS skall användas (BankID behöver alltså ej avinstalleras). Funktioner som SSO, mm, förhindras dock av BankID. Byte av PIN-kod Hur byter man PIN-kod? Svar: PIN-kod byter man i NetID programmet. Högerklicka på NetID-symbolen och välj Ändra säkerhetskod (legitimering) alternativt Ändra säkerhetskod (underskrift), se figur 20. Figur 20. Ändra säkerhetskod (PIN-kod) i NetID. Säkerhetskod är detsamma som PIN-kod, se figur 21. Ange befintlig PIN-kod, välj valfri ny PINkod och upprepa den nya PIN-koden. PIN-koder måste vara numeriska tecken.

SITHS UTBILDNING SUP P ORT VER 3. 3 S ID 41(46) Figur 21. Byte av PIN-kod. Figur 22. Upplåsning av kort. Om man glömt tidigare PIN-kod, så byter man PIN-koden genom att låsa kortet och sedan låsa upp kortet. Högerklicka på NetiD programmet, välj Ändra Säkerhetskod för legitimering. Ange Felaktigt PIN-kod, tex 123456 i samtliga rutor. Upprepa detta minst 3 gånger. Kortet är låst! Upprepa detta för Underskriftskoden också. Kan man använda bokstäver i PIN-koden? Svar: Nej, bokstäver kan inte användas i PIN-koden. PIN-koden ska bestå av 6 siffror. Upplåsning av kort (PUK) Hur låser man upp ett kort? Svar: Kortet låses om fel PIN-kod anges mer än tre gånger. PUK-kod kommer att användas. Högerklicka på NetiD programmet, välj Lås upp Säkerhetskod för legitimering, se figur 22. Upplåsningskod är här detsamma som PUK-kod. Ange valfri ny PIN-kod. Skriv det två gånger. Upprepa detta för Underskriftskoden också. Går det att låsa upp ett kort om PUK-kod saknas? Svar: Om det ursprungliga PIN-kodsbrevet där PUK-koden finns angiven är borta går det att beställa ny PUK-kod. Administratören kan beställa ny PUK-kod till medarbetaren. PUK-kodsbrev kommer med REK post efter två arbetsdagar till medarbetarens Folkbokföringsadress. SITHS och HSA Personnummer/Samordningsnummer Måste en person ha person- eller samordningsnummer? Svar: Man måste man ha person-id, dvs. personnummer eller samordningsnummer för att kunna läggas upp i HSA. Detta läggs upp som ett dolt attribut (kan bara läsas av administratörer). Person-id ska även verifieras mot skatteverkets register. För att kunna få ett HCC måste personen alltså finnas i HSA och för att kunna få en personlig e-legitimation måste personen då följaktligen ha personnummer eller samordningsnummer. En person som inte har ett samordningsnummer eller personnummer kan inte få ett reservkort med HCC, eftersom en sådan person inte finns i HSAkatalogen. Inom SITHS finns nu även möjligheten att använda passnummerattributet. Detta attribut är egentligen tre attribut som tekniskt slås samman: personens födelsetid (CCYYMMDD), passnummer och passets giltighetstid. Exempel: xxxxx. Adresshantering Hur kontrolleras adresserna i SITHS applikationen? Svar: Adressuppgifterna kontrolleras av kortleverantören mot Skatteverkets SPAR-adressregister. Skyddad adress hanteras enligt en särskild process, se dokument SITHS Skyddad identitet.

SITHS UTBILDNING SUP P ORT VER 3. 3 S ID 42(46) Misslyckas publicering Är HSA katalog/spärrlista aktiv? Svar: Prova först med att kontrollera om HSA katalogen är aktiv oberoende av SITHS Admin. Aktuella länkar finns i avsnittet Checklista HSA. Misslyckas publicering av certifikat till HSA katalog? Svar: Misslyckad publicering av certifikat betyder att när ett SITHS kort skapades till en person (eller ett funktionscertifikat) försöker SITHS systemet lägga upp en kopia på certifikatet i verksamhetens HSA katalog. Av något skäl gick då inte detta. Oftast beroende på att personposten (eller funktionsobjektet) flyttats under den tid som det tog för er att skapa "Beställningsunderlaget" till att kortet producerades, att objektets dn ändrats eller att SITHS Admins skrivrättigheter till aktuell HSA katalog inte har satts korrekt. Den som är katalogansvarig kan med detta "kryptiska brev" ändå kopiera in certifikatet på manuell väg. Tips! Om e-postmallen i SITHS Admin innehåller {$SubjectDN} och {$HsaId}, så får administratören även en bättre bild om vem certifikatet hör ihop med. Användarens namn och HSA-ID visas då nämligen upp i klartext. Kopierar all text i e-postbrevet som står mellan raderna: -----BEGIN CERTIFICATE----- och -----END CERTIFICATE----- Raderna BEGIN CERTIFICATE och END CERTIFICATE skall inte kopieras. Texten klistras in i programmet "Anteckningar" (NotePad) och man byter filändelsen till *.cer eller *.crt, se figur 23. Dubbelklicka på cer-filen (eller crt) och man får upp certifikatet genom Windows försorg, se figur 24. OBS! Nu finns även ett nytt Publiceringsverktyg att nyttja. Figur 23. Certifikat som ikoner i Windows. Figur 24. Certifikat presenterat i Windows. Använd fliken Information och funktionen Kopiera till fil. Ange i guiden som uppträder att det skall vara en DER-kodad binär fil. Avsluta med att ange namn och sökväg till var filen skall lagras. Denna fil kan nu kopieras in i HSA katalogen med ett lämpligt program (t ex Apache Directory eller SoftEra), vilket hanteras av verksamhetens HSA grupp. Meddelanden Objektet saknar obligatorisk information Svar: Sökning via trädstruktur kan visa upp ett objekt, t ex en användare, men en operation i SITHS kan ej genomföras då t ex HSA-ID saknas. Objekt/Person i SITHS Admin är markerat med röd cirkel med vitt kryss Svar: Kontakt med HSA-katalogen kan inte upprättas, varvid en persons post inte kan verifieras och visas följaktligen inte i sin helhet. Kan bero på att den aktuella posten alldeles nyss lagts in i HSA. Starta om SITHS Admin och försök igen. Vid upprepade fel på HSA-katalogen, försök att ta reda på om det är HSA eller lokal katalog som inte fungerar.