Tjänst under avveckling
Dessa sidor kommer att tas bort 2023-01-01
Exempel
Denna information är för att visa på hur man bytte certifikat i gamla versionen av den nationellt installerade IdP:n.
Innehåll:
Eftersom det nya certifikatet kommer med en förnyad nyckel för signering av SAML-biljetten kommer autentiseringstjänstens (IdP:ns) metadata att förändras vilket påverkar alla tjänster (SP:ar) som använder autentiseringstjänsten.
Läs om strategin för bytet nedan om du ansvarar för en SP!
Under hösten 2018 går certifikaten ut för Nationella Säkerhetstjänsters olika miljöer och byts därför ut redan innan sommaren.
De nya certifikaten kommer fortfarande att vara utfärdade av SITHS och vara av typen SITHS Type 3 CA v1.
Samtliga gränssnitt där Säkerhetstjänster kommunicerar med ett certifikat kommer alltså att från installationsdatum att kommunicera med detta nya certifikat.
- Autentiseringstjänsten IdP (se ytterligare viktig information nedan)
- GUI för de olika tjänsterna (Spärradministration, Loggrapport, Samtycke, Personuppgiftstjänsten o.s.v)
- Webservice-anrop för ovan nämnda tjänster.
- Externa anrop som Säkerhetstjänster gör som t.ex. till HSA.
Tidsplan för certifikatsbyten
| Datum | Miljö | Aktivitet |
|---|---|---|
| TEST/QA | Publicering av nytt metadata för anslutna SP:s (se nedan) |
| TEST/QA | Byte av IdP:ns certifikat och nyckel för signering av SAML-biljetter. Certifikatsbyte (inkl nya HSAIDn) alla Säkerhetstjänster. |
| PRODUKTION | Publicering av nytt metadata för anslutna SP:s (se nedan) |
| PRODUKTION | Byte av IdP:ns certifikat och nyckel för signering av SAML-biljetter. Certifikatsbyte alla Säkerhetstjänster. |
Autentiseringstjänsten (IdP)
SP-INFO
INFORMATION TILL DEM SOM ANSVARAR FÖR EN SERVICE PROVIDER (SP) ANSLUTEN TILL INERAS IdP
Nyckeln som ligger i certifikatet i befintligt metadata som används av Autentiseringstjänsten (IdP:n) för signering av SAML-biljetten kommer att förnyas i samband med certifikatsbytet. Därför förväntas alla Service Providers (SP:ar) anslutna till Säkerhetstjänsters IdP ladda ner och byta ut metadata för denna enligt informationen i detta dokument.
För att alla SP:ar ska kunna få en sömlös övergång till det nya certifikatet kommer alla Säkerhetstjänster IdP:er under en period innan certifikatsbytet att publicera metadata med dubbla certifikat (KeyDescriptors) där endast ett av certifikaten används för signering av SAML-biljetten. SP:ar som har laddat ner och installerat detta metadata kommer då alltså vara förberedda att fungera med både det gamla och nya certifikatet och får då en sömlös övergång.
Alla SP:ar förväntas stödja dubbla KeyDescriptors i IdP:ns metadata och ha verifierat detta innan arbetet med certifikatsbytet påbörjas.
En SP som inte har stöd för dubbla KeyDescriptors i IdP:ns metadata kommer att vara tvungen att byta ut sitt metadata i samma stund som IdP:n byter certifikat för att kunna verifiera signeringen av SAML-biljetten efter bytet.
Efter certifikatsbytet återgår IdP:erna till att publicera metadata med endast det nya certifikatet och SP:ar kan "städa upp" genom att ladda ner nytt metadata igen innehållandes endast det nya certifikatet.
Strategin visualiseras med bilden nedan:
Klicka på bilden för en större bild...
Tidsplan för byte av nyckel för signering av SAML-biljett
| Miljö | Publicering av nytt metadata med dubbla certifikat. | Certifikatsbyte - metadata publiceras åter med endast ett certifikat |
|---|---|---|
TEST/QA | Måndag: | Måndag: |
PRODUKTION | Tisdag: | Torsdag: |
Utförande på er SP
- Innan datum för Publicering av nytt metadata med dubbla certifikat: Säkerställ att er SP är förberedd för metadata med dubbla certifikat/KeyDescriptors.
- Observera att om detta stöd inte finns eller införs måste SP:n byta metadata i samma stund som IdP:n byter certifikatet.
- En SP utan detta stöd kan dock fortsätta att använda sitt gamla IdP-metadata tills dess att IdP:n byter certifikatet. - Mellan datum för Publicering av nytt metadata med dubbla certifikat och Certifikatsbyte: Ladda ner IdP:ns nya metadata och installera detta i er SP för att klara av både det gamla och nya certifikatet och få en sömlös övergång.
- Nedladdningslänkar för aktuell IdP hittas i listan över Adresser för nerladdning av metadata nedan. - Efter datum för Certifikatsbyte: Ladda ner IdP:ns nya metadata och installera detta i er SP för att endast ha det nya certifikatet i IdP:ns metadata (uppstädning).
Adresser för nerladdning av metadata
- Test/QA Internet: https://idp2.acctest.sakerhetstjanst.inera.se/idp/saml
- Test/QA Sjunet: https://idp2.acctest.sakerhetstjanst.sjunet.org/idp/saml
- Produktion Internet: https://idp2.sakerhetstjanst.inera.se/idp/saml
- Produktion Sjunet: https://idp2.sakerhetstjanst.sjunet.org/idp/saml
För frågor kontakta Ineras Kundservice