Certifikatpolitik for NemLog-in



Relaterede dokumenter
Certifikatpolitik. For den fællesoffentlige log-in-løsning. Side 1 af 9 2. december Version 1.1

Guide til integration med NemLog-in / Signering

Timeout-politik for den fællesoffentlige føderation

Guide til kravspecifikation

Guide til NemLog-in Security Token Service

Guide til integration med NemLog-in / Brugeradministration

Guide til integration med NemLog-in / Web SSO

Digitaliseringsstyrelsen

Guide til føderationstilslutning ( kogebog )

Guide til Føderationstilslutning ( kogebog )

Vilkår for It-systemudbyderes tilslutning til og anvendelse af NemLog-in. Digitaliseringsstyrelsen 2013

Version 1.4. Integrationstest ved tilslutning til NemLog-in. Side 1 af april 2013

Dette dokument beskriver den fællesoffentlige føderations minimumskrav til logning hos Service og Identity Providere.

Finanstilsynets indberetningssystem. Vejledning til indsendelse af xml-filer via sikker e- mail (signeret og krypteret )

De fællesoffentlige komponenter: Federativa identitetslösningar, Erfarenheter från Danmark

Version 1.0. Vilkår for brug af Støttesystemet Adgangsstyring

Digitaliseringsstyrelsen

Drift- og supportpolitik

Version 1.6. Integrationstest ved tilslutning til NemLog-in. Side 1 af marts 2014

Identitetsbaserede webservices og personlige data

Overordnet løsningsbeskrivelse - Private aktører og borger log-in via SEB / NemLog-in

DIADEM KOM GODT I GANG INTEGRATIONSVEJLEDNING IFT. SIKKERHED OG VERSIONERING AF WEBSERVICES VERSION: STATUS: FRIGIVET DATO: 22.

Autencitetssikring. Vejledning til autenticitetssikringsniveau for den fællesoffentlige log-in-løsning. Side 1 af september Version 1.0.

VEJLEDNING TIL CERTIFIKATBRUG FOR A- KASSERNES WEBSERVICEINTEGRATION MOD ARBEJDSMARKEDSSTYRELSENS DFDG.

Tilstrækkelig sikker dataudveksling via Sundhedsdatanettet (SDN) Ved Kåre Kjelstrøm

AuthorizationCodeService

Den Gode Webservice 1.1

Undgå driftsafbrydelser på grund af udløbet virksomheds- eller funktionssignatur

Vigtig Release Information Udfasning af TLS 1.0 kryptering i Connect-løsningen

DanID Certification Practice Statement v DanID. Certification Practice Statement (CPS) V. 1.1

Ibrugtagning af Fødselsindberetningsservicen på NSP

Sikker udstilling af data

STS Designdokument. STS Designdokument

Digital Signatur Sikker brug af digital signatur

Regler for NemID til netbank og offentlig digital signatur v5, 1. marts 2017

Elektronisk indberetning til Finanstilsynet. Vejledning i Sikker

Trin-for-trin guide: Tilslutning af web service til NemLog-in

Specifikationsdokument for OCSP

Introduktion til NemID og Tjenesteudbyderpakken

NemID DataHub adgang. & Doc , sag 10/3365

Single sign-on til statens systemer. April 2019 version 5

Anbefalede testprocedurer

KOMBIT Byg og Miljø FAQ. Byg og Miljø. Version januar 2014 BHE

Valg af webservice standard

Nederst foto på forsiden: Publikationen kan hentes på IT- & Telestyrelsens Hjemmeside: ISBN (internet):

Digital Signatur OCES en fælles offentlig certifikat-standard

Til høringsparterne Se vedlagte liste

Session oprettet hos egen serviceudbyder Varianter

DeIC tilbyder servercertifikater i et samarbejde med TERENA og COMODO

LUDUS WEB. Installations- og konfigurations-vejledning. Den 7. april J.nr.: 4004 V

Tilføjelse af administrator for myndighed

Oktober 2013 HLG/XIGA. Opstartsvejledning ATS Engros 1/12

Udvidet brug af personligt NemID i erhvervssammenhæng

Digital Signatur Infrastrukturen til digital signatur

Analyse af udfordringer ved iframe integrationsformen

Teknisk Dokumentation

Indhold Indledning Ansvar ifm. MODST SSO I drift på MODST SSO Institutionen skal have egen føderationsserver (IdP)...

SSO - FAQ - Kendte problemer med opsætninger

OIO standardservice til Journalnotat. Generel servicevejledning. KMD Sag Version KMD A/S Side 1 af 15. September 2013 Version 1.

Februar Vejledning til Danske Vandværkers Sikker mail-løsning

DIADEM KOM GODT I GANG INTEGRATIONSVEJLEDNING IFT. SIKKERHED VERSION: 1.3 (INGEN ÆNDRINGER SIDEN 1.1) STATUS: FRIGIVET DATO: 1.

Introduktion til NemID og Tjenesteudbyderpakken

Vejledning til valg af NSIS Sikringsniveau for tjenesteudbydere

Signatur- og systembevis Teknisk vejledning i sikring af digitale signaturers bevisværdi Version 1.01

Security Token Service. Snitflade OIO WS Trust

Opstartsvejledning ATS aktørudgave

Tilslutning af ny it-leverandør til NemLog-in

Specifikationsdokument for OCSP

Den guide er lavet til ansatte på sociologi, hvis du ikke er ansat på sociologi er det ikke sikkert denne guide virker for dig.

Affaldsdatasystem Vejledning supplement i system-til-system integration for.net brugere

Vejledning om avanceret afhentning. i Digital Post på Virk.dk.

Bilag 1 - Fælles arkitekturramme for GD1-GD2-GD7. Forslag til fælles sikkerhedsmodel for Grunddataprogrammet

Termer og begreber i NemID

Kald af PingService via SOAPUI

LUDUS Web Installations- og konfigurationsvejledning

Sammenhængende log-in - SSO til applikationer i et andet sikkerhedsdomæne

Specifikationsdokument for servicen PID-CPR

DIGITAL SIGNATUR l OUTLOOK 2010

Medarbejdersignatur - sådan gør organisationerne i dag. Morten Storm Petersen Signaturgruppen A/S morten@signaturgruppen.dk

Kundevejledning. AD FS opsætning til Reindex. Version: 1.0. Dato: 19. april Forfatter: Lasse Balsvad (XPERION)

Brugervejledning - til internetbaseret datakommunikation med Nets ved hjælp af HTTP/S-løsningen

Digitaliseringsstyrelsen

Secure Mail. 1. juni Hvem læser dine s?

Transkript:

Side 1 af 9 7. november 2012 Certifikatpolitik for NemLog-in Version 1.2 Dette dokument beskriver certifikatpolitikken for NemLog-in løsningen. Politikken definerer hvilke typer certifikater, der må anvendes til kryptering og signering af meddelelser, samt etablering af sikre transportkanaler via SSL / TLS protokollen. Endvidere beskriver politikken retningslinjerne for validering af certifikater. Målgruppen for dokumentet er teknisk personale hos it-systemudbydere eller disses it-leverandører, som skal planlægge, opsætte test- og produktionsmiljø og udføre integrationstest.

Side 2 af 9 Dokumenthistorik Version Dato Initialer Indhold /ændringer 0.80 19.02.2008 TG Første udkast udarbejdet. 0.81 20.02.2008 TG Opdateret efter input fra EBS. 0.82 25.02.2008 TG Opdateret med input for SPN. SSL certifikater må ikke være selvsignerede, spærrelistecheck er påkrævet, og politik for udløbet spærreliste tilføjet. 0.83 07.03.2008 TG Reference til vejledning om signaturers bevisværdi indføjet. 1.0 12.09.2008 TG Referencer opdateret; versionsnummer opdateret. 1.1 02.12.2009 TG OCES funktionscertifikater tilladt på linje med virksomhedscertifikater. 1.2 07.11.2012 TG Opdateret terminologi så den er konsistent med vilkår. Opdateret afsender til Digitaliseringsstyrelsen samt links til dokumenter i referenceliste. Udvidet scope med web service kald og kald til signeringstjeneste.

Side 3 af 9 Indholdsfortegnelse CERTIFIKATPOLITIK FOR NEMLOG-IN... 1 DOKUMENTHISTORIK... 2 INDHOLDSFORTEGNELSE... 3 INTRODUKTION... 4 TILLADTE TYPER AF CERTIFIKATER... 5 Signering og kryptering af SAML meddelelser... 5 SSL/TLS Servercertifikater... 5 SSL/TLS klientcertifikater... 6 CERTIFIKATVALIDERING... 6 OCES certifikater anvendt til signering og kryptering... 6 SSL/TLS Server Certifikater... 6 SSL/TLS Klientcertifikater... 6

Side 4 af 9 Introduktion Den fællesoffentlige føderation er baseret på en dansk profil af SAML 2.0 standarden [OIO-SAML]. Denne foreskriver brug af signering og kryptering af meddelelser samt etablering af SSL / TLS forbindelser med henblik på at opnå en række sikkerhedsmæssige egenskaber som autenticitet, integritet og konfidentialitet. Parternes offentlige nøgler udveksles via X509 certifikater, men profilen definerer ikke nærmere krav til certifikaterne, herunder de politikker, de skal udstedes under. Sådanne krav er overladt til de føderationer, der anvender profilen. Nærværende dokument definerer derfor certifikatpolitikken for den fællesoffentlige føderation, som omfatter NemLog-in løsningen og de tilsluttede myndighedsløsninger. Der defineres både en politik for miljøer til integrationstest og produktion. Endvidere defineres kravene til certifikatvalidering i føderationen.

Side 5 af 9 Tilladte typer af certifikater Signering og kryptering af meddelelser Til signering og kryptering af SAML meddelelser, kald mod NemLog-in s signeringstjeneste samt underskrift af lokalt-udstedte security tokens, som veksles af NemLog-in, skal anvendes: OCES virksomhedscertifikater eller funktionscertifikater i produktionsmiljøer OCES test virksomhedscertifikater eller test funktionscertifikater i integrationsmiljø (udstedt af et OCES test CA). På denne måde kan validering af certifikater og certifikatkæder konfigureres og testes på samme måde i test- og produktionsmiljøer blot med forskelligt rodcertifikat som udgangspunkt. SSL/TLS Servercertifikater I forbindelse med etablering af sikre forbindelser mellem brugerens browser og web servere i føderationen er der behov for SSL / TLS servercertifikater. Endvidere anvendes SSL / TLS også til sikring af Single logout via SOAP protokollen (server-til-server kommunikation). For produktionsmiljøer gælder: Der skal anvendes SSL/TLS certifikater udstedt af et CA, der kan valideres af gængse browsere defineret som seneste to versioner af Internet Explorer, Chrome, Safari samt Mozilla Firefox. Identity Provideren (og evt. serviceudbydere) har behov for et servercertifikat til deres eget domæne samt til det fælles domæne (<servernavn>.fobs.dk) altså to forskellige servercertifikater. For en illustration af de to domæner og brugen af dem henvises til [GUIDE]. For integrationstestmiljøet gælder: Certifikaterne skal udstedes under et test CA, hvis rodcertifikat tilføjes de browsere, der skal indgå i integrationstesten. Det er ikke tilladt at anvende selvsignerede certifikater, da disse kan medføre browseradvarsler og have uheldige sideeffekter, der forstyrrer testen. Dette betyder, at miljøer til integrationstest og produktion ligner hinanden så meget som muligt.

SSL/TLS klientcertifikater I forbindelse med Single Logout protokollen er der behov for SSL / TLS klientcertifikater, hvis SOAP protokollen anvendes. Her er politikken at anvende samme typer certifikater som til signering / kryptering af SAML meddelelser (se ovenfor). Side 6 af 9 Certifikatvalidering Nedenfor opstilles krav til certifikatvalidering for de forskellige typer certifikater. OCES certifikater anvendt til signering og kryptering Politikken for validering af certifikater anvendt til signering / kryptering af meddelelser er flg.: Der skal som udgangspunkt foretages alle de kontroller af signaturer og OCES certifikater, som er beskrevet i [SIGBEV] appendiks B. Der skal foretages spærrekontrol af modparternes certifikater for alle signerede meddelelser, der modtages. Både spærreliste (CRL) og on-line spærrecheck er tilladt. Hvis spærrekontrol ikke er mulig, skal meddelelsen / transaktionen afvises. Dette kan eksempelvis være tilfældet, hvis CA et ikke er tilgængeligt eller aktuel spærreliste er udløbet. Hvis der anvendes spærrelister, skal en ny spærreliste hentes minimum en gang per time. Det skal kontrolleres, at det anvendte certifikat til signaturvalidering er identisk med det certifikat, der tidligere er oplyst via meta data. SSL/TLS Server Certifikater Disse valideres af brugerens browser i overensstemmelse med dennes sikkerhedsindstillinger, og særlige retningslinjer herfor gives derfor ikke. SSL/TLS Klientcertifikater Disse valideres efter samme retningslinjer som certifikater anvendt til signering / kryptering (se ovenfor).

Fornyelse og spærring Parterne i føderationen har selv ansvaret for at forny deres certifikater, inden de udløber, og i god tid notificere Digitaliseringsstyrelsen, hvis der er behov for udskiftning af SAML metadata. Dette er eksempelvis tilfældet, når OCES certifikater skal fornys. Side 7 af 9 Når NemLog-in s tilslutningssystem idriftsættes i 2013, vil serviceudbydere kunne anvende dette selvbetjeningssystem til at opdatere certifikater og metadata for de it-systemer, der er tilsluttet NemLog-in. Ligeledes giver tilslutningssystemet mulighed for at sende en påmindelse før de registrerede certifikater udløber. Dette fordrer dog, at myndigheder og it-leverandører har registreret korrekte e-mail adresser i systemet. Endvidere er parterne ansvarlige for straks at spærre deres certifikat hos certifikatudsteder (DanID) samt notificere Digitaliseringsstyrelsen, såfremt der er mistanke om kompromittering af certifikatets tilhørende private nøgle.

Referencer Side 8 af 9 [OIO-SAML] OIO Web SSO Profile V2.0.9, Digitaliseringsstyrelsen. http://digitaliser.dk/resource/2377872 [GUIDE] Tilslutningsguide. Håndbog for serviceudbyderen som ønsker at tilslutte sig den fællesoffentlige log-in-løsning, Digitaliseringsstyrelsen. http://www.digst.dk/loesninger-og- infrastruktur/nemlogin/tilslutning-til-nemlogin/materiale-til- IT-leverandoerer [LOGPOL] Logningspolitik for den fællesoffentlige log-in-løsning, Digitaliseringsstyrelsen. http://www.digst.dk/loesninger-oginfrastruktur/nemlogin/tilslutning-til-nemlogin/tekniskekrav [SIGBEV] Signatur- og systembevis. Teknisk vejledning i sikring af digitale signaturers bevisværdi, IT & Telestyrelsen. http://digitaliser.dk/resource/250820

Øvrige relevante dokumenter og links Side 9 af 9 NemLog-in gruppen på digitaliser.dk http://digitaliser.dk/group/2354775 Digitaliseringsstyrelsens web-side om NemLog-in: http://www.digst.dk/loesninger-og-infrastruktur/nemlogin

2026 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback