Certifikatspecifikation för Sveriges kommuner och landsting med samarbetspartners HCC

Relevanta dokument
Certifikatspecifikation för Sveriges kommuner och landsting med samarbetspartners HCC

Certifikatspecifikation för Sveriges kommuner och landsting med samarbetspartners HCC

Version Datum Kommentar Etablering av dokumentet Efter första genomgång av Cygate och SITHS PA

Inom SITHS e-id finns det certifikat för olika syften som grupperas enligt:

Certifikat. svensk vård och omsorg HCC

Inom SITHS e-id finns det certifikat för olika syften som grupperas enligt:

Specifikation av CA-certifikat för SITHS

Modul 3 Föreläsningsinnehåll

Certifikat - Ett av en CA elektroniskt signerat intyg som knyter en publik nyckel till en specifik nyckelinnehavare. Källa: Inera (BIF)

Riktlinjer och anvisningar avseende säkerhet. vid informationsutbyte via EDI. Version

Rutin för utgivning av funktionscertifikat

En övergripande bild av SITHS

Termer och begrepp. Identifieringstjänst SITHS

Termer och begrepp. Identifieringstjänst SITHS

SITHS på egna och andra organisationers kort. Hur SITHS kort-information uppdateras i HSA

Ändringar i utfärdande av HCC Funktion

HSA-schema tjänsteträdet. Version

SITHS inloggning i AD

Telias Utfärdardeklaration, CPS, för Telia e-legitimation Version 1.3. Datum:

Leanlink Ao LKDATA. Teknik spåret. Föreläsare: Michael Lööw, Linköpings Kommun

SITHS anpassning av IT system. Användarguide: Gör så här SITHS anpassning av IT System

Efos PKI-struktur. Den nya PKI-strukturen. Användningsområden för certifikat

1 Exempel på att kontrollera XML-signatur manuellt

Guide till Inera IdP. Information angående anslutning av Nationella e-tjänster

Protokollbeskrivning av OKI

XML-produkter. -Registret över verkliga huvudmän (RVH) Teknisk handledning för webbtjänst mot RVH (Web Services) Datum: Version: 1.

Åtgärdsplan. CRL Åtgärdsplan Copyright 2015 SecMaker AB Författare: Jens Alm

MVK SSO 2.0 Mina vårdkontakter

Se övergripande tidplan för arbetet med SITHS Kontinuitetssäkring och SITHS e-id på denna sida:

Kontroll av e-tjänstekort och tillhörande PIN-koder

TjänsteID+ Teknisk översiktsdokument etjänstekort, Privata vårdgivare

Checklista. För åtkomst till Svevac

Att bygga VPN. Agenda. Kenneth Löfstrand, IP-Solutions AB. Olika VPN scenarios. IPsec LAN - LAN. IPsec host - host SSH

Checklista. Anslutning till NPÖ som konsument

E-identitet för offentlig sektor (Efos) Kerstin Arvedson, Inera

Beställning av certifikat för anslutning till BankID (RP certificate) Version

Policy Underskriftstjänst Svensk e-legitimation

Instruktion för att kunna använda Säkerhetstjänsternas administrationsgränssnitt

SITHS Thomas Näsberg Inera

VGC RAPS RA Practice Statement för Västra Götalandsregionens intern PKI

Kryptering. Krypteringsmetoder

Utfärdande av SITHS-kort. Utbyte av kort som inte klarar av SITHS CA v1 certifikat

Mallar för kvittenser och e-post. Exempel på text till kvittenser och e-post i administrationshantering av SITHS-kort

SITHS Anslutningsavtal RA Policy

Filleveranser till VINN och KRITA

Schemaändring version 4.6 och version Information om schemaändring version 2.0

Driftsättning av DKIM med DNSSEC. Rickard Bondesson Examensarbete

Telias Utfärdardeklaration, CPS,

Certifikattjänsten - testbädd. Anläggningsprojekt för ett nationellt inkomstregister

Samverka effektivare via regiongemensam katalog

SITHS. Integration SITHS CA Copyright 2015 SecMaker AB Författare: Andreas Mossnelid Version 1.2

Certifikatbaserad inloggning via SITHS, tillämpningsexempel

Regler vid verksamhetsövergång och ägarbyte

Hämta SITHS-certifikat till Telia e-leg och logga in till Telia SITHS Admin med SITHS-certifikat

Inera s attributsprofil

Hantering av borttagna personobjekt med giltiga HCC. Beskrivning av totallösningen

256bit Security AB Offentligt dokument

Utfärdande av HCC. Utbyte av SITHS CA v3 på kort som kan hantera SITHS CA v1

Certifikatpolicy (CP) och utfärdardeklaration (CPS)

Registration Authority Practice Statement RAPS

SSEK Säkra webbtjänster för affärskritisk kommunikation

Krypteringteknologier. Sidorna ( ) i boken

Beställning av Förlitandepart-certifikat Version

HSA Admin version 4.9 (och lite 4.8)

Rekommendationer kring skyddade personuppgifter inom HSA och SITHS. Version 2.1,

Mobilt Efos och ny metod för stark autentisering

RIV Tekniska Anvisningar Kryptografi. Version ARK_

Massutbyte av HCC. Manual för administration av massutbyte i SITHS Admin

Lathund. Hantera boendeenheter i Tandvårdsfönster

Beställning av certifikat v 3.0

Frågehantering XML-produkter Bolagsverket 1 (15)

Revisionsfrågor HSA och SITHS 2015

Teknisk beskrivning PDL i HSA

SSL/TLS-protokollet och

Föreläsning 7. DD2390 Internetprogrammering 6 hp

Checklista för tekniskt ansvarig

Anvisning. Publiceringsverktyg för manuell inläsning av certifikatsinformation till HSA

RIV Informationsspecifikation

Kommunförbundet Skåne. Ansluten organisation: Ansluten organisation org.nr: Versionsnr: Datum: SITHS Policy Authority

Innehållsförteckning:

!! Sambi!! Attributspecifikation! Version 1.0

Innehåll Net ID installation... 2 Instruktion för nedladdning av HCC... 7 Låsa upp kort med hjälp av PUK-koden Byt säkerhetskod...

Rekommendationer kring skyddade personuppgifter inom HSA och SITHS. Version 2.0,

Systemkrav. Åtkomst till Pascal

Tekniskt ramverk för Svensk e- legitimation

Kryptering HEMLIG SKRIFT SUBSTITUTION STEGANOGRAFI KRYPTOGRAFI

Manual Användaradministration

Mobilt Efos och ny metod för stark autentisering

Tillitsramverket. Detta är Inera-federationens tillitsramverk.

Manual - Administration

Vägledning för implementering av AD-inloggning med SITHS-kort

VGC RA Policy Västra Götalandsregionens Registration Authority Policy intern PKI

Konfigurationer Video- och distansmöte Bilaga till Tekniska anvisningar

Handbok för användare. HCC Administration

Internetdagarna NIC-SE Network Information Centre Sweden AB

Rutin för utgivning av funktionscertifikat

Introduktion Schenker-BTL AB, Stab IT Beskrivning över informationsintegreringmed Schenker, metodbeskrivning version 1.

Manual Användaradministration

Beställning av certifikat v 2

Transkript:

Certifikatspecifikation för Sveriges kommuner och landsting med samarbetspartners HCC

Innehållsförteckning Innehållsförteckning... 1 Revisionshistorik... 2 Inledning... 3 HCC Person... 4 Översikt HCC Person för legitimering och kryptering... 4 HCC Person för legitimering och kryptering - attribut för attribut... 5 Översikt HCC Person för underskrift... 7 HCC Person för underskrift - attribut för attribut... 8 HCC Funktion... 10 Översikt HCC Funktion för legitimering och kryptering... 10 HCC Funktion för legitimering och kryptering - attribut för attribut... 11 Översikt HCC Funktion för underskrift... 13 HCC Funktion för underskrift - attribut för attribut... 14 Kommentarer attribut för attribut... 16 Översikt mappning av certifikatinnehållet och HSA-innehåll... 22 HCC Person... 22 HCC Funktion... 22 Sid 1/23

Revisionshistorik Revisionshistorik finns sedan SITHS start, 2001-01-30. Mindre ändringar fram till denna version (3.04) redovisas i arkiverad HCC specifikation (http:///siths/dokument/certifikat). Version Datum Kommentar 1 2001-01-30 Första fastställda version. Beskriver minimiformatet för HCC. 2 2006-01-23 Andra fastställda version. Tabell över OID för ingående attribut tillagd. Attribut för epostadress i Subject ändrat till EmailAddress. 2.2 2007-03-05 Separering av certifikattyperna HCC Person/HCC Organisation och HCC Funktion. Ändring av DN i HCC Funktion för att följa specifikation för funktioner som återfinns i Service-trädet från HSA. Tillägg av EnhancedKeyUsage i HCC Funktion för att följa de facto-standard för servercertifikat. 2.3 2007-09-14 Tillägg av attribut för MS AD-inloggning i HCC Person för autentisering. Tillägg av attribut för säker e-post i samband med användning av enhancedkeyusage (gäller särskilt MS Outlook). 2.31 2007-11-07 Separering av HCC Person och HCC Person för MS Windows. 2.34 2007-12-14 Tillägg av Enhanced Key Usage := emailprotection i HCC Funktion för att säkerställa att HCC Funktion går att använda för att ta emot krypterad e-post. 2.35 2010-02-17 Tillägg av att middlename kompletteras till attributet surname. 3.02 2012-11-23 Tredje fastställda version. Modifiering av samtliga profiler för att passa ny CAhierarki, borttagning av HCC Organisation, samt tillägg av HCC Funktion SHA512. 3.03 2014-06-18 Tillägg av obligatoriskt attribut, dnsname, i alla funktionscertifikat samt byte av dokumentmall 3.04 2014-10-01 Justering av stycket Kommentarer attribut för attribut och borttag av användningen av organizationalunit från samtliga certifikatspecifikationer. Rättning av att localityname inte ska finnas under mappningsöversikten. 3.10 Anpassat för att en person inte behöver ha förnamn. Justerat beskrivningen av enhancedkeyusage. Slagit ihop beskrivningen av HCC Funktion SHA1 och HCC Funktion SHA512. Justerat kapitlet med kommentar för attributen så att det stämmer på alla ställen. Sid 2/23

Inledning Detta dokument specificerar certifikat för Sveriges kommuner och landsting med samarbetspartners inom ramen för SITHS-modellen: HCC Person HCC Funktion Observera att skilda katalogstrukturer i HSA-katalogen används för HCC Person och HCC Funktion, se dokumentation av HSA-katalogen. Observera att HCC Funktion i denna specifikation skiljer sig från tidigare versioner genom att de helt inriktar sig på att lösa behovet för servers och applikationer. Behovet av HCC Funktion som certifikat för personer som innehar en viss funktion/roll inom en organisation täcks ej av denna specifikation. Kodning av attribut sker i enlighet med de för respektive attribut gällande specifikationer. Observera särskilt att vissa attribut kodas enligt UTF-8. Sid 3/23

HCC Person HCC Person består av ett certifikat för legitimering (identifiering/autentisering) och ett certifikat för underskrift (signering/oavvislighet). Översikt HCC Person för legitimering och kryptering HCC Person för legitimering (identifiering/autentisering) och kryptering kan ha följande innehåll. Objektidentifierare (OID) för utvalda attribut framgår av den högra kolumnen: Version SerialNumber SignatureAlgorithm Issuer Validity Subject countryname 2.5.4.6 organizationname 2.5.4.10 commonname 2.5.4.3 notbefore notafter subjectpublickeyinfo serialnumber 2.5.4.5 emailaddress 1.2.840.113549.1.9.1 Title 2.5.4.12 givenname 2.5.4.42 Surname 2.5.4.4 commonname 2.5.4.3 organizationname 2.5.4.10 localityname 2.5.4.7 countryname 2.5.4.6 Algorithm subjectpublickey cardnumber 1.2.752.34.2.1 subjectdirectoryattributes 2.5.29.9 Title crldistributionpoints 2.5.29.31 authorityinformationaccess OCSP Certification Authority Issuer OID 1.3.6.1.5.5.7.48.1 1.3.6.1.5.5.7.48.2 subjectaltname 2.5.29.17 userprincipalname 1.3.6.1.4.1.311.20.2.3 rfc822name certificatepolicies 2.5.29.32 enhancedkeyusage policyidentifer clientauthentication 1.3.6.1.5.5.7.3.2 smartcardlogon 1.3.6.1.4.1.311.20.2.2 emailprotection 1.3.6.1.5.5.7.3.4 subjectkeyidentifier 2.5.29.14 keyidentifier authoritykeyidentifier 2.5.29.35 keyusage Signature keyidentifier digital Signature, keyencipherment 2.5.29.15 Sid 4/23

HCC Person för legitimering och kryptering - attribut för attribut Med maxlängd i tabellen nedan avses antal tecken i datadelen av attributet. Tabell 1. HCC Person för legitimering och kryptering. Attribut Max Optional/ Critical/ Värde Exempel Källa längd Mandatory Non-critical version 1 2 CA M serialnumber 64 00d9b4778ba5ed51e811f2a664a793ae3a19168381 CA M 2654300896319021476854554465740 signaturealgorithm sha-1withrsaencryption {1.2.840.113549.1.1.5} CA M issuer countryname 2 SE CA M organizationname 64 Inera AB CA M commonname 64 SITHS Type 1 CA v1 CA M validity notbefore 13 051108084459Z CA M notafter 13 101108084459Z CA M subject title 64 Sjukskötare RA (HSA) O emailaddress 255 rane.l.ramberg@test.lvn.se RA (HSA) O serialnumber 64 SE5565968202-3PCH RA (HSA) M givenname 64 Rane RA (HSA) O surname 64 Larsson Ramberg RA (HSA) M commonname 64 Rane Larsson Ramberg RA (HSA) M organizationname 64 Landstinget Västernorrland RA (HSA) M localityname 128 Västernorrlands län CA O countryname 2 SE RA (HSA) M cardnumber CardNumber enligt svensk standard SS614331 9752269875705018685 CA M subjectdirectoryattributes title Sjukskötare RA (HSA) M subjectpublickeyinfo algorithm rsaencryption {1.2.840.113549.1.1.1} CA M subjectpublickey CA M crldistributionpoints [1] CRL Distribution Point CA M Distribution Point Name: Full Name: URL=http://crl1.siths.se/sithstype1cav1.crl [2] CRL Distribution Point Distribution Point Name: Full Name: URL=http://crl2.siths.sjunet.org/sithstype1cav1.crl authorityinformationaccess [1] Authority Info Access CA M Access Method=On-line Certificate Status Protocol (1.3.6.1.5.5.7.48.1) URL=http://ocsp1.siths.se [2] Authority Info Access Access Method=On-line Certificate Status Protocol (1.3.6.1.5.5.7.48.1) URL=http://ocsp2.siths.sjunet.org [3] Authority Info Access Access Method=Certification Authority Issuer (1.3.6.1.5.5.7.48.2) URL=http://aia.siths.se/sithstype1cav1.cer [4] Authority Info Access Access Method=Certification Authority Issuer (1.3.6.1.5.5.7.48.2) URL=http://aia.siths.sjunet.org/sithstype1cav1.cer subjectaltname {2.5.29.17} userprincipalname 255 {1.3.6.1.4.1.311.20.2.3} rlrg@test.lvn.se RA (HSA) O rfc822name 255 rane.l.ramberg@test.lvn.se RA (HSA) O certificatepolicies policyidentifer [1]Certificate Policy: Policy Identifier=<ISSUAE POLICY OID> CA M Sid 5/23

Attribut Max längd Värde Exempel Källa [1,1]Policy Qualifier Info: Policy Qualifier Id=CPS Qualifier: http://rpa.siths.se/sithsrpav1.html Optional/ Mandatory Critical/ Non-critical enhancedkeyusage O clientauthentication {1.3.6.1.5.5.7.3.2} CA smartcardlogon {1.3.6.1.4.1.311.20.2.2} CA emailprotection {1.3.6.1.5.5.7.3.4} CA subjectkeyidentifier keyidentifier CA M authoritykeyidentifier keyidentifier subjectkeyidentifier för utfärdande CA CA M keyusage digitalsignature, keyencipherment CA M C Signature RSA-signatur över SHA1 CA M Sid 6/23

Översikt HCC Person för underskrift HCC Person för underskrift (signering/oavvislighet) kan ha följande innehåll. Objektidentifierare (OID) för utvalda attribut framgår av den högra kolumnen: Version SerialNumber SignatureAlgorithm Issuer Validity Subject countryname 2.5.4.6 organizationname 2.5.4.10 commonname 2.5.4.3 notbefore notafter subjectpublickeyinfo serialnumber 2.5.4.5 emailaddress 1.2.840.113549.1.9.1 title 2.5.4.12 givenname 2.5.4.42 surname 2.5.4.4 commonname 2.5.4.3 organizationname 2.5.4.10 localityname 2.5.4.7 countryname 2.5.4.6 Algorithm subjectpublickey cardnumber 1.2.752.34.2.1 subjectdirectoryattributes 2.5.29.9 title crldistributionpoints 2.5.29.31 authorityinformationaccess OCSP Certification Authority Issuer OID 1.3.6.1.5.5.7.48.1 1.3.6.1.5.5.7.48.2 subjectaltname 2.5.29.17 rfc822name certificatepolicies 2.5.29.32 policyidentifer subjectkeyidentifier 2.5.29.14 keyidentifier authoritykeyidentifier 2.5.29.35 keyusage Signature keyidentifier nonrepudiation 2.5.29.15 Sid 7/23

HCC Person för underskrift - attribut för attribut Med maxlängd i tabellen nedan avses antal tecken i datadelen av attributet. Tabell 2. HCC Person för underskrift. Attribut Max Optional/ Critical/ Värde Exempel Källa längd Mandatory Non-critical version 1 2 CA M serialnumber 64 00d9b4778ba5ed51e811f2a664a793ae3a CA M signaturealgorithm sha-1withrsaencryption {1.2.840.113549.1.1.5} CA M issuer countryname 2 SE CA M organizationname 64 Inera AB CA M commonname 64 SITHS Type 1 CA v1 CA M validity notbefore 13 051108084459Z CA M notafter 13 101108084459Z CA M subject title 64 Sjukskötare RA (HSA) O emailaddress 255 rane.l.ramberg@test.lvn.se RA (HSA) O serialnumber 64 SE5565968202-3PCH RA (HSA) M givenname 64 Rane RA (HSA) O surname 64 Larsson Ramberg RA (HSA) M commonname 64 Rane Larsson Ramberg RA (HSA) M organizationname 64 Landstinget Västernorrland RA (HSA) M localityname 128 Västernorrlands län CA O countryname 2 SE RA (HSA) M subjectpublickeyinfo algorithm rsaencryption {1.2.840.113549.1.1.1} CA M subjectpublickey CA M cardnumber CardNumber enligt svensk standard SS614331 9752269875705018685 CA M subjectdirectoryattributes title Sjukskötare RA (HSA) M crldistributionpoints [1] CRL Distribution Point CA M Distribution Point Name: Full Name: URL=http://crl1.siths.se/sithstype1cav1.crl [2] CRL Distribution Point Distribution Point Name: Full Name: URL=http://crl2.siths.sjunet.org/sithstype1cav1.crl authorityinformationaccess [1] Authority Info Access CA M Access Method=On-line Certificate Status Protocol (1.3.6.1.5.5.7.48.1) URL=http://ocsp1.siths.se [2] Authority Info Access Access Method=On-line Certificate Status Protocol (1.3.6.1.5.5.7.48.1) URL=http://ocsp2.siths.sjunet.org [3] Authority Info Access Access Method=Certification Authority Issuer (1.3.6.1.5.5.7.48.2) URL=http://aia.siths.se/sithstype1cav1.cer [4] Authority Info Access Access Method=Certification Authority Issuer (1.3.6.1.5.5.7.48.2) URL=http://aia.siths.sjunet.org/sithstype1cav1.cer subjectaltname {2.5.29.17} rfc822name 255 rane.l.ramberg@test.lvn.se RA (HSA) O certificatepolicies policyidentifer [1] Certificate Policy: Policy Identifier=<ISSUAE POLICY OID> [1,1]Policy Qualifier Info: Policy Qualifier Id=CPS Qualifier: http://rpa.siths.se/sithsrpav1.html CA M Sid 8/23

Attribut Max längd Värde Exempel Källa Optional/ Mandatory Critical/ Non-critical subjectkeyidentifier keyidentifier CA M authoritykeyidentifier keyidentifier subjectkeyidentifier för utfärdande CA CA M keyusage Nonrepudiation CA M C Signature RSA-signatur över SHA1 CA M Sid 9/23

HCC Funktion SHA1 Översikt HCC Funktion SHA1 för legitimering och kryptering HCC Funktion SHA1 för legitimering (identifiering/autentisering) och kryptering kan ha följande innehåll. Objektidentifierare (OID) för utvalda attribut framgår av den högra kolumnen. Version serialnumber signaturealgorithm Issuer Validity Subject countryname 2.5.4.6 organizationname 2.5.4.10 commonname 2.5.4.3 notbefore notafter subjectpublickeyinfo serialnumber 2.5.4.5 emailaddress 1.2.840.113549.1.9.1 commonname 2.5.4.3 orgno 1.2.752.29.4.3 organizationname 2.5.4.10 DC 0.9.2342.19200300.100.1.25 countryname 2.5.4.6 algorithm =RSA Encryption 1.2.840.113549.1.1.1 subjectpublickey crldistributionpoints 2.5.29.31 authorityinformationaccess 1.3.6.1.5.5.7.1.1 OCSP Certification Authority Issuer OID 1.3.6.1.5.5.7.48.1 1.3.6.1.5.5.7.48.2 subjectaltname 2.5.29.17 Rfc822Name dnsname certificatepolicies 2.5.29.32 policyidentifer enhancedkeyusage 2.5.29.37 serverauthentication 1.3.6.1.5.5.7.3.1 clientauthentication 1.3.6.1.5.5.7.3.2 emailprotection 1.3.6.1.5.5.7.3.4 subjectkeyidentifier 2.5.29.14 keyidentifier authoritykeyidentifier 2.5.29.35 keyidentifier keyusage 2.5.29.15 Signature digital Signature, keyencipherment Sid 10/23

HCC Funktion SHA1 för legitimering och kryptering - attribut för attribut Tabell 3. HCC Funktion (sha1) för legitimering och kryptering. Attribut Max Optional/ Critical/ Värde Exempel Källa längd Mandatory Non-critical version 1 2 CA M serialnumber 64 00d9b4778ba5ed51e811f2a664a793ae3a CA M signaturealgorithm sha-512withrsaencryption {1.2.840.113549.1.1.13} CA M eller sha-1withrsaencryption {1.2.840.113549.1.1.5} issuer countryname 2 SE CA M organizationname 64 Inera AB CA M commonname 64 SITHS Type 3 CA v1 CA eller SITHS Type 2 CA v1 M validity notbefore 13 051108084459Z CA M notafter 13 071108084459Z CA M subject serialnumber 64 SE5565594230-1000 RA (HSA) M emailaddress 255 testsiths@inera.se RA (HSA) O commonname 64 test.siths.se RA (HSA) M organizationname 64 Inera AB RA (HSA) O DC (2 förekomster) 64 DC=Services, DC=Nod1 RA (HSA) O countryname 2 SE RA (HSA) M subjectpublickeyinfo algorithm rsaencryption {1. 2. 840. 113549. 1. 1. 1} CA M subjectpublickey CA M crldistributionpoints [1]CRL Distribution Point CA M Distribution Point Name: Full Name: URL=http://crl1.siths.se/sithstype3cav1.crl eller URL=http://crl1.siths.se/sithstype2cav1.crl [2]CRL Distribution Point Distribution Point Name: Full Name: URL=http://crl2.siths.sjunet.org/sithstype3cav1.crl eller URL=http://crl2.siths.sjunet.org/sithstype2cav1.crl authorityinformationaccess [1]Authority Info Access Access Method=On-line Certificate Status Protocol (1.3.6.1.5.5.7.48.1) URL=http://ocsp1.siths.se [2]Authority Info Access Access Method=On-line Certificate Status Protocol (1.3.6.1.5.5.7.48.1) URL=http://ocsp2.siths.sjunet.org [3]Authority Info Access Access Method=Certification Authority Issuer (1.3.6.1.5.5.7.48.2) URL=http://aia.siths.se/sithstype3cav1.cer eller URL=http://aia.siths.se/sithstype2cav1.cer [4]Authority Info Access Access Method=Certification Authority Issuer (1.3.6.1.5.5.7.48.2) URL=http://aia.siths.sjunet.org/sithstype3cav1.cer eller URL=http://aia.siths.sjunet.org/sithstype2cav1.cer CA M subjectaltname rfc822name dnsname 255 255 testsiths@inera.se test.siths.se RA (HSA) RA (HSA) O M Sid 11/23

Attribut certificatepolicies policyidentifer Max längd [1]Certificate Policy: Policy Identifier=<ISSUAE POLICY OID> [1,1]Policy Qualifier Info: Policy Qualifier Id=CPS Qualifier: http://rpa.siths.se/sithsrpav1.html Värde Exempel Källa CA Optional/ Mandatory M Critical/ Non-critical enhancedkeyusage CA M clientauthentication {1.3.6.1.5.5.7.3.2} CA M serverauthentication {1.3.6.1.5.5.7.3.1} CA M emailprotection {1.3.6.1.5.5.7.3.4} CA O subjectkeyidentifier keyidentifier CA M authoritykeyidentifier keyidentifier CA M keyusage digitalsignature, keyencipherment CA M C Signature <RSA-signatur över SHA512> eller <RSA-signatur över SHA1> CA M Sid 12/23

Översikt HCC Funktion SHA1 för underskrift HCC Funktion för underskrift (signering/oavvislighet) kan ha följande innehåll. Objektidentifierare (OID) för utvalda attribut framgår av den högra kolumnen. Version serialnumber signaturealgorithm Issuer Validity Subject countryname 2.5.4.6 organizationname 2.5.4.10 commonname 2.5.4.3 notbefore notafter subjectpublickeyinfo serialnumber 2.5.4.5 emailaddress 1.2.840.113549.1.9.1 commonname 2.5.4.3 orgno 1.2.752.29.4.3 organizationname 2.5.4.10 DC 0.9.2342.19200300.100.1.25 countryname 2.5.4.6 algorithm =RSA Encryption 1.2.840.113549.1.1.1 subjectpublickey crldistributionpoints 2.5.29.31 authorityinformationaccess 1.3.6.1.5.5.7.1.1 OCSP Certification Authority Issuer OID 1.3.6.1.5.5.7.48.1 1.3.6.1.5.5.7.48.2 subjectaltname 2.5.29.17 Rfc822Name dnsname certificatepolicies 2.5.29.32 policyidentifer subjectkeyidentifier 2.5.29.14 keyidentifier authoritykeyidentifier 2.5.29.35 keyidentifier keyusage 2.5.29.15 Signature nonrepudiation Sid 13/23

HCC Funktion SHA1 för underskrift - attribut för attribut Tabell 4. HCC Funktion (sha1) för underskrift. Attribut Max Optional/ Critical/ Värde Exempel Källa längd Mandatory Non-critical version 1 2 CA M serialnumber 64 00d9b4778ba5ed51e811f2a664a793ae3a CA M signaturealgorithm sha-512withrsaencryption {1.2.840.113549.1.1.13} CA M eller sha-1withrsaencryption {1.2.840.113549.1.1.5} issuer countryname 2 SE CA M organizationname 64 Inera AB CA M commonname 64 SITHS Type 3 CA v1 CA eller SITHS Type 2 CA v1 M validity notbefore 13 051108084459Z CA M notafter 13 071108084459Z CA M subject serialnumber 64 SE5565594230-1000 RA (HSA) M emailaddress 255 testsiths@inera.se RA (HSA) O commonname 64 www.testsiths.se RA (HSA) M organizationname 64 Inera AB RA (HSA) O DC (2 förekomster) 64 DC=Services, DC=Nod1 RA (HSA) O countryname 2 SE RA (HSA) M subjectpublickeyinfo algorithm rsaencryption CA {1. 2. 840. 113549. 1. 1. 1} M subjectpublickey <bit string> CA M crldistributionpoints [1]CRL Distribution Point CA M Distribution Point Name: Full Name: URL=http://crl1.siths.se/sithstype3cav1.crl eller URL=http://crl1.siths.se/sithstype2cav1.crl [2]CRL Distribution Point Distribution Point Name: Full Name: URL=http://crl2.siths.sjunet.org/sithstype3cav1.crl eller URL=http://crl2.siths.sjunet.org/sithstype2cav1.crl authorityinformationaccess [1]Authority Info Access Access Method=On-line Certificate Status Protocol (1.3.6.1.5.5.7.48.1) URL=http://ocsp1.siths.se [2]Authority Info Access Access Method=On-line Certificate Status Protocol (1.3.6.1.5.5.7.48.1) URL=http://ocsp2.siths.sjunet.org [3]Authority Info Access Access Method=Certification Authority Issuer (1.3.6.1.5.5.7.48.2) URL=http://aia.siths.se/sithstype2cav1.cer [4]Authority Info Access Access Method=Certification Authority Issuer (1.3.6.1.5.5.7.48.2) CA M subjectaltname rfc822name dnsname certificatepolicies 255 255 URL=http://aia.siths.sjunet.org/sithstype2cav1.cer testsiths@inera.se test.siths.se RA (HSA) RA (HSA) O M Sid 14/23

Attribut policyidentifer Max längd Värde Exempel Källa [1]Certificate Policy: Policy Identifier=<ISSUAE POLICY OID> [1,1]Policy Qualifier Info: Policy Qualifier Id=CPS Qualifier: http://rpa.siths.se/sithsrpav1.html CA Optional/ Mandatory M Critical/ Non-critical subjectkeyidentifier keyidentifier <octet string> CA M authoritykeyidentifier keyidentifier <octet string> CA M keyusage Nonrepudiation CA M C Signature <RSA-signatur över SHA1> CA M Sid 15/23

Kommentarer attribut för attribut Version Anger version av X.509 certifikatstandard. serialnumber Unikt nummer för HCC utfärdade av denna CA, som också genererar numret. Skall vara ett heltal. Representeras som ett heltal ( Integer ) signaturealgorithm Denna sträng anger signerings- och hashalgoritm som agerar underlag för signatur. Issuer I detta attributobjekt anges utfärdarens identitet. Sätts av certifikatsutfärdaren. Validity countryname Detta attribut skall alltid vara SE och anger att certifikatsutfärdaren är en organisation registrerad i Sverige. Sätts av certifikatsutfärdaren. Del av Issuer Anges som printable_string. organizationname Detta attribut innehåller namnet Namnet på certifikatsutfärdaren. Sätts av certifikatsutfärdaren. Del av Issuer. Anges som UTF8_string. commonname Sätts av certifikatsutfärdaren. Del av Issuer. Utfärdande CA. Anges som UTF8_string. Detta attributobjekt innehåller två attribut: notbefore här anges när certifikatet skall börja gälla; detta kan sättas till valfri tid fram till tidpunkten notafter. notafter här anges när certifikatet skall sluta gälla; detta attribut sätts idag av certifikatsutfärden till notafter i primärcertifikatet eller till utfärdardagen plus fem år. Tidpunkterna kodas som UTCTime. Subject I detta attributobjekt anges egenskaper hos nyckelinnehavaren (subjektet). countryname Detta attribut skall alltid vara SE och anger att nyckelinnehavaren är en organisation eller person registrerad i Sverige. Sätts av certifikatsutfärdaren. Del av Subject. Hämtas ur HSA. Anges som printable_string. localityname Sid 16/23

Detta attribut innehåller namn på län i klartext. Namnet hämtas från objektklassen Locality. Förteckning över namn på län fästställs och tillhandahålls av Inera. Del av Subject. Hämtas ur HSA. Anges som UTF8string. DC, domaincomponent, används endast i HCC Funktion. Används för att ange del av sökväg i Services-trädet där HCC Funktion normalt lagras. Del av Subject. Hämtas ur HSA. Anges som UTF8_string. orgno används endast i HCC Funktion. Detta attribut innehåller organisationsnummer för organisation som innehar HCC Funktion. Detta attribut skall matcha det registrerade organisationsnumret för respektive organisation. Del av Subject. Hämtas ur HSA. organizationname Detta attribut innehåller namn på huvudman eller motsvarande. Skall vara en juridisk person med organisationsnummer. Namnet hämtas av RA-klientenHämtas ur HSA från motsvarande attribut, i respektive objektklass, organizationalperson för Person HCC, organizationalrole för Funktion HCC. Del av Subject. Hämtas ur HSA. Anges som UTF8_string. För HCC Funktion hämtas värdet från domänvalideringsverktyget commonname Namnet hämtas av RA-klienten från motsvarande attribut i objektklassen organizationalperson i HSA-katalogen, som För personer är det normalt ärbildat av givenname följt av surname. För Funktion HCC används commonname i objektklassen organizationalrole. Del av Subject. För funktioner är det ett DNS-namn alternativt en ip-adress. Hämtas ur HSA. Anges som UTF8_string. För HCC Funktion kontrolleras värdet mot godkända domännamn i domänvalideringsverktyget innan certifikat tillåts utfärdas. surname Attributet surname förekommer endast i Person HCC. Namnet hämtas av RA-klienten från HSA-katalogen. I de fall en person har ett mellannamn (middlename i HSA) används även det i SurName i HCC. HCC SurName = HSAmiddlename+HSAsurname. Del av Subject. Hämtas ur HSA. Anges som UTF8_string. givenname Attributet givenname förekommer endast i Person HCC. Namnet hämtas av RAklienten från HSA-katalogen. Del av Subject. Det är obligatoriskt om det finns i folkbokföringen om det inte finns lämnas attributet tomt. Hämtas ur HSA. Anges som UTF8_string. title Detta attribut förekommer endast i Person HCC. Innehållet är ett fritextfält. Namnet hämtas av RA-klienten från HSA-katalogen. Del av Subject. Hämtas ur HSAHämtas från attributet title i HSA. Anges som UTF8_string. serialnumber Sid 17/23

Detta attribut hämtas av RA-klienten frånsubjektets HSA-id och följer gällande riktlinjer för HSA-id. Del av Subject.. Hämtas ur HSA. Anges som printable_string. emailaddress Här anges objektet eller personens e-postadress då en sådan förekommer i HSAkatalogen. OBS! För att emailaddress ska få finnas i Subject, SKALL samma adress även finnas i attributet rfc822name under SubjectAltName (se även RFC 3280). Hämtas ur attributet mail i HSA-katalogen. För HCC Funktion kontrolleras värdet mot godkända e-postadresser i domänvalideringsverktyget innan certifikat tillåts utfärdas. Anges som IA5_string. subjectpublickeyinfo Detta attributobjekt innehåller två attribut som definierar den publika nyckeln i detta certifikat: certifikatet. Algorithm En identifierare som aanger vilken algoritm som skall används vid kryptering/dekryptering med den publika nyckeln. Värdet skall alltid vara rsaencryption {1.2.840.113549.1.1.1}. Sätts av certifikatsutfärdaren. subjectpublickey Detta attribut ar en bitsträng som innehåller den publika nyckeln. Genereras av certifikatsutfärdaren. Anges som bit string. cardnumber Innehåller aktuellt kortskortets serienummer. CardNumber skall alltid finnas om ett kort är bärare av den/de privata nycklarna. Hämtas ur kortets tillhörande e-legitimationen på kortet alternativt ur aktuellt korts kortets kortets transportcertifikat. Anges som printable_string. subjectdirectoryattributes title I detta attribut skallkan den legitimerade yrkesrollen kunna anges. Hämtas urfrån attributet hsatitle i HSA. Anges som UTF8_string. crldistributionpoints Identifierar platserna där spärrlistan lagras. Två platser finns, en på Internet och en på Sjunet. authorityinformationaccess Innehåller adress till aktuell OCSP-tjänst (online certificate status protocol) samt länkar som leder till utfärdarens CA-certifikat. subjectaltname, rfc822name Här anges epostadress som SMTP-adress. objektet eller personens e-postadress då en sådan förekommer i HSA-katalogen.. Observera att detta attribut SKALL finnas i HCC om attributet emailaddress är använt i Subject. Hämtas ur HSA. Anges som UTF8_string. För HCC Funktion kontrolleras värdet mot godkända e-postadresser i domänvalideringsverktyget innan certifikat tillåts utfärdas. userprincipalname Sid 18/23

Detta attribut används då HCC ska användas för inloggning mot MS Active Directory (Windows Server 2000/2003/2008). Attributet userprincipalname hämtas ur HSAkatalogen. Hämtas ur HSA. Anges som UTF8_string. dnsname Används för HCC Funktion och anger DNS-namnet till aktuell funktion. Hämtas från HSA av RA-klienten och består av. Samma innehåll som i attributet commonname för objekt av objektklassen organizationalrole. Observera att detta attribut SKALL finnas i samtliga HCC Funktion som har enhancedkeyusage=serverauthentication. Anges som UTF8_string. För HCC Funktion kontrolleras värdet mot godkända domännamn i domänvalideringsverktyget innan certifikat tillåts utfärdas certificatepolicies policyidentifer Här anges OID för issuance policy för aktuellt certifikatpolicyutfärdande CA samt en länk till SITHS Relying Party Agreement. Reflekterar tillitsnivån av certifikatet. Sätts av certifikatsutfärdaren. enhancedkeyusage HCC Person OBS! Detta attribut tilldelas HCC legitimering under förutsättning att objektet har attributet userprincipalname ifyllt i HSA Tilldelas samtliga HCC för legitimering, innehåller alltid något eller flera av alla nedanstående utökade syften. HCC för signering använder inte attributet enhancedkeyusage. Funktion clientauthentication Certifikat med detta syfte kan användas för att identifiera en användare som anropar en server. emailprotection Certifikat med detta syfte kan användas för säker e-post. En del e-postsystem kräver detta syfte för att det ska vara möjligt att kryptera och signera e-post (gäller speciellt MS Exchange/Outlook). smartcardlogon Certifikat med detta syfte kan användas för inloggning till MS Windows/Active Directory. Tilldelas alltid någothcc för legitimering, innehåller två eller fleratre av nedanstående utökade syften. HCC för signering använder inte attributet enhancedkeyusage. serverauthentication Certifikat med detta syfte kan användas som identifiering av en server som tar emot anrop av en klient (användare/annat system). Tilldelas samtliga HCC Funktion för legitimering. Sid 19/23

clientauthentication Certifikat med detta syfte kan användas för att identifiera en användare eller ett klientsystem som anropar en server. Detta syfte kan tilldelas till: HCC Funktion för legitimering HCC Person för legitimering. emailprotection Certifikat med detta syfte kan användas för säker e-post. DettaEn del e-postsystem kräver detta syfte krävs för att det ska vara möjligt att kryptera och signera e-post i de fall e-postsystemet kräver förekomst av detta syfte i certifikatet (gäller speciellt MS Exchange/Outlook). OBS! Detta värde tilldelasattribut sätts endast under förutsättning att objektet har fältetattributet mail ifyllt i HSA-katalogen. Informationen i fältet mail måste även finnas som rfc822name under subjectaltname och som emailaddress under Subject Detta syfte kan tilldelas till: HCC Funktion för legitimering HCC Person för legitimering. smartcardlogon Certifikat med detta syfte används för att möjliggöra inloggning till MS Windows/Active Directory. Detta syfte tilldelas samtliga HCC Person för legitimering. subjectkeyidentifier keyidentifier Detta attribut skall ingå i ett ett HCC certifikat och. Det. Det utgör ett sätt att avgöra om en viss publik nyckel har använts i certifikatet. För mera information hänvisas till RFC3280. Anges som octet_string. authoritykeyidentifier keyidentifier Detta attribut innehåller en identifierare som pekar ut den publika nyckel som certifikatsutfärden har använt vid signering av certifikatet. Detta möjliggör att det kan finnas flera samtidigt gällande publika CA-nycklar. Identifieraren genereras från den publika nyckeln på sådant sätt att identifieraren blir unik, vanligtvis genom en hash algoritm. Anges som octet_string. keyusage I detta attribut definieras hur den publika nyckel (och den privata) får användas. Detta fältanges som bit_string. AttributetAnges som bit_string. Attributet kan ha två olika värden: a) digitalsignature + keyencipherment b) nonrepudiation digitalsignature anger att nyckeln används för att verifiera autentiseringsdata, till exempel vid inloggning. keyencipherment anger att nyckeln används för kryptering/dekryptering, till exempel vid nyckelutbyte. Sid 20/23

nonrepudiation anger att nyckeln används för att verifiera elektroniska signaturer. Vid begäran om ett HCC Person utfärdas två certifikat, ett med keyusage = digitalsignature + keyencipherment, detta certifikat kan således användas både för autentisering och kryptering/dekryptering, och ett med keyusage = nonrepudiation, detta certifikat kan bara användas för elektroniska signaturer. Vid begäran av HCC Funktion kan man välja för vilket ändamål certifikatet ska användas, keyusage = digitalsignature + keyencipherment alternativt keyusage = nonrepudiation. Sid 21/23

Översikt mappning av certifikatinnehållet och HSAinnehåll HCC Person Subject Title serialnumber givenname Surname commonname organizationname localityname countryname emailaddress organizationalperson i HSA title hsaidentity givenname surname middlename commonname organizationname localityname countryname mail SubjectAltName rfc822name userprincipalname SubjectDirectoryAttributes title userprincipalname hsatitle HCC Funktion Subject countryname organizationname serialnumber commonname emailaddress SITHS Domain validation toolorganizationalrole i HSA countryname organizationname hsaidentity commonname mail SubjectAltName dnsname rfc822name Sid 22/23

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss