Specifikationsdokument for OCSP



Relaterede dokumenter
Specifikationsdokument for OCSP

Specifikationsdokument for OCSP

Specifikationsdokument for PDF Validator API

Specifikationsdokument for servicen RID-CPR

Termer og begreber i NemID

Anbefalede testprocedurer

Specifikationsdokument for servicen PID-CPR

Introduktion til NemID og Tjenesteudbyderpakken

Introduktion til NemID og Tjenesteudbyderpakken

Specifikationsdokument for servicen RID-CPR

Specifikationsdokument for LDAP API

Anbefalinger til interaktionsdesign og brugervalg af applet

Termer og begreber i NemID

Specifikationsdokument for servicen PID-CPR

Specifikationsdokument for OCES II

Introduktion til NemID og NemID tjenesteudbyderpakken

NemID DataHub adgang. & Doc , sag 10/3365

Vejledning. til. RA-administrator

Termer og begreber i NemID

Nets Rettighedsstyring

STS Driftsvejledning. STS Driftsvejledning

Vejledning i brug af test tools

Specifikationsdokument for PDF Validator API

SOSI STS Testscenarier

STS Designdokument. STS Designdokument

Standardvilkår for modtagelse af OCES-certifikater fra Nets DanID. (NemID tjenesteudbyderaftale [NAVN på NemID tjenesteudbyder indsættes])

Anbefalede testprocedurer

Nemhandel infrastruktur. Morten Hougesen Christian Uldall Pedersen 8. April 2010

Digitaliseringsstyrelsen

Undgå driftsafbrydelser på grund af udløbet virksomheds- eller funktionssignatur

Slutbrugeroplevelsen ved migrering fra OpenSign Java-applet til NemID CodeFile klient

Introduktion til NemID og NemID tjenesteudbyderpakken

Maj Peter Kristiansen,

DataHub Forbrugeradgangsløsning NemID Quick Guide

NemHandel infrastruktur. Lars Houe Heinrich Clausen 4. November 2010

STS Anvenderdokument i. STS Anvenderdokument

Kald af PingService via SOAPUI

NemID JS Developer site vejledning

INSTRUKS FOR OFFENTLIG RA

IMPLEMENTERINGVEJLEDNING FOR NEMID, VERSION 2.4

INSTRUKS FOR OFFENTLIG RA

Nets DanID Service Level Agreement. Service Level Agreement for OCES Digital Signatur ydelser Version 5

LØSNINGSBESKRIVELSE FOR LOG-IN OG SIGNERING MED NEMID. Beskrivelse af de NemID-typer, som kan bruge på jeres tjeneste.

Specifikation af kvalificerede certifikater

STS Anvenderdokument. STS Anvenderdokument

Forretningsmæssige testscases for Seal.net i relation til anvendelse af NSP services

Guide til NemLog-in Security Token Service

1.1 Formål Webservicen gør det muligt for eksterne parter, at fremsøge informationer om elevers fravær.

DataHub Forbrugeradgangsløsning Spørgsmål og svar

VEJLEDNING TIL ETABLERING AF HANDELSLØSNING MED/UDEN DIBS OG NEMID AFTALER

Vejledning til SmartSignatur Proof Of Concept

e-tinglysning Digital signering

Vejledning i opsætning af NemHandelsprogrammet

Regler for NemID til netbank og offentlig digital signatur v5, 1. marts 2017

Januar Version 2.0. OTP-politik - 1 -

SSO - FAQ - Kendte problemer med opsætninger

Digitaliseringsstyrelsen

Løsningsbeskrivelse for log-in og signering med NemID. Valg af målgruppe og navigation omkring NemID på jeres tjeneste.

SOSIGW. - Administrationskonsol for SOSIGW Indeks

Understøttelse af LSS til NemID i organisationen

Digitaliseringsstyrelsen

SOSI STS Designdokument

ELEKTRONISK INDBERETNING BØRNEDATABASEN VIA DGWS 13/ VERSION 1.02

Guide til integration med NemLog-in / Signering

STS Fejlsituationer. STS Fejlsituationer

Overordnet løsningsbeskrivelse - Private aktører og borger log-in via SEB / NemLog-in

Digitaliseringsstyrelsen

GLOBETEAM. Danmarks Miljøportal (DMP) Vejledning til fagsystemejere omkring tilkobling af Java Metrobaseret. Version 1.2

Mobile apps. App Academy. Velkommen! Vi starter kl. 17:00. Eksempler og links kan findes på

Ibrugtagning af Fødselsindberetningsservicen på NSP

ARBEJDSGANGSBESKRIVELSER FOR OFFENTLIG RA FUNKTION

NemID Signering. Diplom-IT Eksamenprojekt Kasper Poulsen

Certifikatpolitik for NemLog-in

Tredjepart webservices

ARBEJDSGANGSBESKRIVELSER FOR OFFENTLIG RA FUNKTION

Affaldsdatasystem Vejledning supplement i system-til-system integration for.net brugere

NOTAT. Indhold. Vejledning til Digital Post

NemID JS Developer site vejledning

Kundevejledning. AD FS opsætning til Reindex. Version: 1.0. Dato: 19. april Forfatter: Lasse Balsvad (XPERION)

DanID Certification Practice Statement v DanID. Certification Practice Statement (CPS) V. 1.1

Dette dokument beskriver de rekonfigurationer, du skal foretage, hvis du fornyr dit eksisterende funktionscertifikat eller anskaffer et nyt.

JED Services Nordmarksvej Odense N CVR: Telefon Telefax info@jed.dk

Introduktion til ændringerne ifm. overgangen til MitID og NemLog-in3

Brugervejledning - til internetbaseret datakommunikation med Nets ved hjælp af HTTP/S-løsningen

Kontekst. Virk BRS DKAL. DanID. NemRefusion.dk (CMS) Virksomheds dialog. Kommune service. Virksomheds service. Virk BRS. NemRefusion kernen

VEJLEDNING TIL ETABLERING AF HANDELSLØSNING MED/UDEN DIBS OG NEMID AFTALER

Webservice kald. System-til-system integration. Ny Easy. ATP 1. februar 2017

Bilag 1 Kundens opgavebeskrivelse

Sikker mail Kryptering af s Brugervejledning

Transkript:

Nets DanID A/S Lautrupbjerg 10 DK 2750 Ballerup T +45 87 42 45 00 F +45 70 20 66 29 info@danid.dk www.nets-danid.dk CVR-nr. 30808460 Specifikationsdokument for OCSP DanID A/S 20. januar 2011 Side 1-11

Indholdsfortegnelse 1 Formål og målgruppe... 4 2 Introduktion til OCSP-responder... 5 3 OCSP-responder-certifikater... 6 4 Komponenter i et OCES-personcertifikat... 7 5 OCSP Request profile... 8 6 OCSP Response profile... 9 7 OCSP-klienter... 11 DanID A/S 20. januar 2011 Side 2-11

Versionsfortegnelse 25. maj 2009 Version 0.0 MOBO 26. november 2009 Version 0.1 JRF 30. november 2009 Version 1.0 CR 8. februar 2010 Version 1.1 TechniWrite 20. januar 2011 Version 1.2 MTV DanID A/S 20. januar 2011 Side 3-11

1 Formål og målgruppe Dette dokument er en del af Tjenesteudbyderpakken for NemID. Dokument beskriver den OCSP-profil, som benyttes i NemIDsystemet. Dokumentet er relevant for tjenesteudbyderen, hvis Nets DanIDs Sikkerhedspakke ikke indeholder den ønskede funktionalitet på dette område. Dokumentet henvender sig til de personer, der er ansvarlige for implementeringen af NemID. Det forventes, at brugere har kendskab til OCSP-protokollen som beskrevet i RFC2650. Oversigt over alle dokumenter i Tjenesteudbyderpakken: Overordnet dokumentation Introduktion til NemID og Tjenesteudbyderpakken Anbefalinger til interaktionsdesign og brugervalg af applet Drejebog for migrering til NemID Termer og begreber i NemID Implementeringsdokumentation Implementeringsvejledning for NemID Konfiguration og opsætning Testdokumentation Vejledning i brug af test tools Anbefalede testprocedurer Referencedokumentation Specifikationsdokument for servicen PID-CPR Specifikationsdokument for servicen RID-CPR Specifikationsdokument for LDAP API Specifikationsdokument for OCSP Specifikationsdokument for OCES II DanID A/S 20. januar 2011 Side 4-11

2 Introduktion til OCSP-responder OCSP muliggør at man kan spørge online på status af et aktuelt certifikats serienummer (eller flere serienumre). Dette sikrer, at man hurtigt får den status, man skal bruge, uden at hente den fulde spærrelisteinformation, som er ganske betragtelig. Nets DanID tilbyder OCSP til validering af certifikater som supplement til spærrelister (CRL). Bemærk, at anvendelsen af OCSP-systemet er gratis for private brugere, men hvis man er en virksomhed, skal man have tegnet en aftale om anvendelse af OCSP,. Dette kan gøres ved at kontakte Nets DanID Salg på salg@danid.dk. OCSP-responderen udstilles over http. URL en, der skal anvendes, er indeholdt i certifikatet og fremgår af Authority Information Accessextensionen. OCSP er beskrevet i standarden RFC 2560 med yderligere krav fra OCES Certifikat Politikken. DanID A/S 20. januar 2011 Side 5-11

3 OCSP-responder-certifikater De certifikater, som OCSP-responderen benytter til signering, er standard OCES-virksomhedscertifikater, dog med følgende tilpassede profil: Felt Værdi/Beskrivelse Validity Key Usage Extended Key Usage OCSP No Check CRL Distribution Point Access Information Authority (AIA) Gyldighedsperioden vil være kortere end for normale certifikater Digital Signature OCSP Signing Empty dvs. at klienten bør stole på validiteten af certifikatet. Ikke medtaget Ikke medtaget DanID A/S 20. januar 2011 Side 6-11

4 Komponenter i et OCES-personcertifikat OCES-personcertifikater indeholder en X.509 standard extension, der udpeger OCSP-responderen, så valideringsværktøjer kan kalde den: Felt Værdi Access Information Authority (AIA) Online Certificate Status Protocol, som findes på: http://ocsp.certifikat.dk/ocsp/status Denne extension er markeret som non-critical. Der er ikke yderligere OCSP-relevante oplysninger i OCES-certifikater. DanID A/S 20. januar 2011 Side 7-11

5 OCSP Request profile De OCSP-requests, som OCSP-responderen accepterer, skal overholde følgende begrænsninger: Felt Værdi Version 1 Requestor Name Request List Hash Algorithm Request List Issuer Name Hash Request List Issuer Key Hash Request List Serial Number Nonce Valgfrit felt. Bør indeholde navnet på den kaldende service SHA1 understøttes SHA1 hash af TRUST2408 OCES CA n Name SHA1 hash af den offentlige nøgle for TRUST2408 OCES CA n ens certifikat Kan indeholde ét serienummer der ønskes verificeret. Hvis der er angivet nonce extensions, ignoreres de. Bemærk, at: Der kun kan angives ét serienummer pr. request. Signerede requests behandles præcis som usignerede requests. Det vil sige, at signaturen ikke valideres. DanID A/S 20. januar 2011 Side 8-11

6 OCSP Response profile OCSP-responses har følgende profil i forhold til standard-ocspresponses: Felt Værdi OCSP Response status Response Type Succesful, hvis et korrekt response kunne genereres. I andre tilfælde sættes en anden (udefineret) status Basic OCSP Response Version 1 Responder ID Produced At Hash Algorithm Issuer Name Hash Issuer Key Hash Serial Number Cert Status Revocation Time This Update Next Update OCSP Responder ens Distinguished Name Tidsstempel der fortæller, hvornår response er genereret SHA1 SHA1 hash af TRUST2408 OCES CA n Name SHA1 hash af den offentlige nøgle for TRUST2408 OCES CA n ens certifikat Serienummer for det certifikat, der blev valideret Revoked eller Valid afhængig af certifikatets status Revokeringstidspunkt kun angivet hvis certifikatet er spærret Tidsstempel for sidste synkronisering med CA ens spærreliste Tidsstempel for næste synkronisering med CA ens spærreliste DanID A/S 20. januar 2011 Side 9-11

Response vil ikke indeholde Nonce Extensions, heller ikke hvis requesten indeholder en Nonce extension. Hvis request angiver andre udstedere end TRUST2408 OCES CA n, afvises requesten som malformed. Hvis request angiver et serienummer, der ikke svarer til et certifikat dusted af TRUST2408 OCES CA n en, sendes en response, der svarer til svaret for et gyldigt certifikat. DanID A/S 20. januar 2011 Side 10-11

7 OCSP-klienter Der kan hentes et eksempel på en Java OCSP-klient på http://ocsp.certifikat.dk/ocsp/status OCSP-klienten fra OpenSSL kan bruges direkte. Eksempel på opslag mod OCSP-responderen med OpenSSL: > openssl ocsp -issuer oces.cer -CAfile oces.cer - no_nonce -serial 123 url http://ocsp.certifikat.dk/ocsp/status Response verify OK 123: good This Update: Nov 29 11:19:36 2009 GMT Next Update: Nov 29 11:20:36 2009 GMT DanID A/S 20. januar 2011 Side 11-11

2026 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback