Specifikationsdokument for OCSP

Relaterede dokumenter
Specifikationsdokument for OCSP

Specifikationsdokument for OCSP

Specifikationsdokument for servicen PID-CPR

Specifikationsdokument for LDAP API

Specifikationsdokument for servicen PID-CPR

Specifikationsdokument for servicen RID-CPR

Anbefalede testprocedurer

Introduktion til NemID og Tjenesteudbyderpakken

Specifikationsdokument for PDF Validator API

Introduktion til NemID og NemID tjenesteudbyderpakken

Specifikationsdokument for servicen RID-CPR

Introduktion til NemID og Tjenesteudbyderpakken

Termer og begreber i NemID

Termer og begreber i NemID

Nets Rettighedsstyring

STS Designdokument. STS Designdokument

SOSI STS Testscenarier

Specifikationsdokument for OCES II

Specifikationsdokument for PDF Validator API

Vejledning. til. RA-administrator

Termer og begreber i NemID

Standardvilkår for modtagelse af OCES-certifikater fra Nets DanID. (NemID tjenesteudbyderaftale [NAVN på NemID tjenesteudbyder indsættes])

Anbefalede testprocedurer

NemID DataHub adgang. & Doc , sag 10/3365

STS Driftsvejledning. STS Driftsvejledning

Undgå driftsafbrydelser på grund af udløbet virksomheds- eller funktionssignatur

INSTRUKS FOR OFFENTLIG RA

Anbefalinger til interaktionsdesign og brugervalg af applet

Introduktion til NemID og NemID tjenesteudbyderpakken

Digitaliseringsstyrelsen

Nemhandel infrastruktur. Morten Hougesen Christian Uldall Pedersen 8. April 2010

Certifikatpolitik for NemLog-in

NemID JS Developer site vejledning

INSTRUKS FOR OFFENTLIG RA

Regler for NemID til netbank og offentlig digital signatur v5, 1. marts 2017

Specifikation af kvalificerede certifikater

Maj Peter Kristiansen,

Kald af PingService via SOAPUI

Slutbrugeroplevelsen ved migrering fra OpenSign Java-applet til NemID CodeFile klient

Understøttelse af LSS til NemID i organisationen

Vejledning i brug af test tools

Brugervejledning - til internetbaseret datakommunikation med Nets ved hjælp af HTTP/S-løsningen

DataHub Forbrugeradgangsløsning Spørgsmål og svar

STS Anvenderdokument i. STS Anvenderdokument

Januar Version 2.0. OTP-politik - 1 -

Guide til NemLog-in Security Token Service

Certifikatpolitik. For den fællesoffentlige log-in-løsning. Side 1 af 9 2. december Version 1.1

Nykredit Portefølje Administration A/S

Affaldsdatasystem Vejledning supplement i system-til-system integration for.net brugere

NemHandel infrastruktur. Lars Houe Heinrich Clausen 4. November 2010

DanID Certification Practice Statement v DanID. Certification Practice Statement (CPS) V. 1.1

NemID JS Developer site vejledning

STS Anvenderdokument. STS Anvenderdokument

Vejledning til SmartSignatur Proof Of Concept

BESTILLING AF NEMID. For at bestille ny NemID vælger du Vælg Bestil NemID medarbejdersignatur.

SSO - FAQ - Kendte problemer med opsætninger

e-tinglysning Digital signering

Nets DanID Service Level Agreement. Service Level Agreement for OCES Digital Signatur ydelser Version 5

LØSNINGSBESKRIVELSE FOR LOG-IN OG SIGNERING MED NEMID. Beskrivelse af de NemID-typer, som kan bruge på jeres tjeneste.

DIGITAL SIGNATUR l OUTLOOK 2010

Fælles testmiljøer. Dato: Version: Vejledning til oprettelse og vedligehold af testcertifikater

ARBEJDSGANGSBESKRIVELSER FOR OFFENTLIG RA FUNKTION

IMPLEMENTERINGVEJLEDNING FOR NEMID, VERSION 2.4

DataHub Forbrugeradgangsløsning NemID Quick Guide

1.1 Formål Webservicen gør det muligt for eksterne parter, at fremsøge informationer om elevers fravær.

ARBEJDSGANGSBESKRIVELSER FOR OFFENTLIG RA FUNKTION

Brugervejledning. Generering af nøgler til SFTP-løsningen vedrørende. datakommunikation med Nets. Nets A/S - versionsdato 28.

Guide til integration med NemLog-in / Signering

Certifikatpolitik for OCES-personcertifikater (Offentlige Certifikater til Elektronisk Service) Version 4

Nets - Medarbejder Signatur

Sundhedsstyrelsens Elektroniske Indberetningssystem (SEI) Vejledning til indberetning via Citrix-løsning

STS Fejlsituationer. STS Fejlsituationer

Webservice kald. System-til-system integration. Ny Easy. ATP 1. februar 2017

Vejledning i opsætning af NemHandelsprogrammet

Overordnet løsningsbeskrivelse - Private aktører og borger log-in via SEB / NemLog-in

Dette dokument beskriver de rekonfigurationer, du skal foretage, hvis du fornyr dit eksisterende funktionscertifikat eller anskaffer et nyt.

NemHandelsRegistret (NHR)

SOSI STS Designdokument

Løsningsbeskrivelse for log-in og signering med NemID. Valg af målgruppe og navigation omkring NemID på jeres tjeneste.

Certifikatpolitik for OCES-personcertifikater (Offentlige Certifikater til Elektronisk Service)

Sikkerhed i Stamdatamodulet KOMBIT

SOSIGW. - Administrationskonsol for SOSIGW Indeks

Public Key Crypto & Gnu Privacy Guard & CaCert

Fjernadgang til BEC s systemer via Portal2

Sikker mail Kryptering af s Brugervejledning

Certifikatpolitik for OCES-personcertifikater (Offentlige Certifikater til Elektronisk Service)

Klubmøde om CAcert.org græsrods nøglecenter hvor du kan generere gratis CAcert.org , web og SSL certifikater.

GLOBETEAM. Danmarks Miljøportal (DMP) Vejledning til fagsystemejere omkring tilkobling af Java Metrobaseret. Version 1.2

PBS CA. Certifikat Politik (CP) Virksomhed og medarbejdercertifikat. Chipkort OID:

Transkript:

Nets DanID A/S Lautrupbjerg 10 DK 2750 Ballerup T +45 87 42 45 00 F +45 70 20 66 29 info@danid.dk www.nets-danid.dk CVR-nr. 30808460 Specifikationsdokument for OCSP DanID A/S 9. marts 2015 Side 1-11

Indholdsfortegnelse 1 Formål og målgruppe... 4 2 Introduktion til OCSP-responder... 5 3 OCSP-responder-certifikater... 6 4 Komponenter i et OCES-personcertifikat... 7 5 OCSP Request profile... 8 6 OCSP Response profile... 9 7 OCSP-klienter... 11 DanID A/S 9. marts 2015 Side 2-11

Versionsfortegnelse 30. november 2009 Version 1.0 CR 8. februar 2010 Version 1.1 TechniWrite 20. januar 2011 Version 1.2 MTV 3. juni 2014 Version 1.3 PHJER 5. juni 2014 Version 1.4 PHJER CRASK 9. marts 2015 Version 1.5 MMELI DanID A/S 9. marts 2015 Side 3-11

1 Formål og målgruppe Dette dokument er en del af NemID tjenesteudbyderpakken. Dokument beskriver den OCSP-profil, som benyttes i NemIDsystemet. Dokumentet er relevant for tjenesteudbyderen, hvis Nets DanIDs Sikkerhedspakke ikke indeholder den ønskede funktionalitet på dette område. Dokumentet henvender sig til de personer, der er ansvarlige for implementeringen af NemID. Det forventes, at brugere har kendskab til OCSP-protokollen som beskrevet i RFC2650. DanID A/S 9. marts 2015 Side 4-11

2 Introduktion til OCSP-responder OCSP muliggør, at man kan spørge online på status af et aktuelt certifikats serienummer (eller flere serienumre). Dette sikrer, at man hurtigt får den status, man skal bruge, uden at hente den fulde spærrelisteinformation, som kan have en ganske betragtelig størrelse. Nets DanID tilbyder OCSP til validering af certifikater som supplement til spærrelister (CRL). Bemærk, at anvendelsen af OCSP-systemet er gratis for private brugere, men hvis man er en virksomhed, skal man have tegnet en aftale om anvendelse af OCSP. Dette kan gøres ved at kontakte Nets DanID Salg på salg@danid.dk. OCSP-responderen udstilles over http. URL en, der skal anvendes, er indeholdt i certifikatet og fremgår af Authority Information Accessextensionen. OCSP er beskrevet i standarden RFC 6960 med yderligere krav fra OCES Certifikat Politikken. DanID A/S 9. marts 2015 Side 5-11

3 OCSP-responder-certifikater De certifikater, som OCSP-responderen benytter til signering, er standard OCES-virksomhedscertifikater, dog med følgende tilpassede profil: Felt Værdi/Beskrivelse Validity Key Usage Extended Key Usage OCSP No Check CRL Distribution Point Authority Information Access (AIA) Gyldighedsperioden vil være kortere end for normale certifikater Digital Signature OCSP Signing Empty dvs. at klienten bør stole på validiteten af certifikatet. Ikke medtaget Ikke medtaget DanID A/S 9. marts 2015 Side 6-11

4 Komponenter i et OCES-personcertifikat OCES-personcertifikater indeholder en X.509 standard extension, der udpeger OCSP-responderen, så valideringsværktøjer kan kalde den: Felt Værdi Authority Information Access (AIA), accessmethod OCSP URL til OCSP-responderen, eksempelvis http://ocsp.ocesissuing01.trust2408.com/responder Denne extension er markeret som non-critical. Der er ikke yderligere OCSP-relevante oplysninger i OCES-certifikater. DanID A/S 9. marts 2015 Side 7-11

5 OCSP Request profile De OCSP-requests, som OCSP-responderen accepterer, skal overholde følgende begrænsninger: Felt Værdi Version 1 Requestor Name Request List Hash Algorithm Request List Issuer Name Hash Request List Issuer Key Hash Request List Serial Number Nonce Valgfrit felt. Bør indeholde navnet på den kaldende service SHA1 understøttes SHA1 hash af TRUST2408 OCES CA n Name SHA1 hash af den offentlige nøgle for TRUST2408 OCES CA n ens certifikat Kan indeholde ét serienummer der ønskes verificeret. Det er tilladt at angive en nonce, men Nets forbeholder sig ret til ikke at angive tilsvarende nonce i OCSP responset. Bemærk, at: Der kun kan angives ét serienummer pr. request. Signerede requests behandles præcis som usignerede requests. Det vil sige, at signaturen ikke valideres. DanID A/S 9. marts 2015 Side 8-11

6 OCSP Response profile OCSP-responses har følgende profil i forhold til standard-ocspresponses: Felt Værdi OCSP Response status Response Type Succesful, hvis et korrekt response kunne genereres. I andre tilfælde sættes en anden (udefineret) status Basic OCSP Response Version 1 Responder ID Produced At Hash Algorithm Issuer Name Hash Issuer Key Hash Serial Number Cert Status Revocation Time This Update Next Update OCSP Responder ens Distinguished Name Tidsstempel der fortæller, hvornår response er genereret SHA1 SHA1 hash af TRUST2408 OCES CA n Name SHA1 hash af den offentlige nøgle for TRUST2408 OCES CA n ens certifikat Serienummer for det certifikat, der blev valideret Revoked eller Valid afhængig af certifikatets status Revokeringstidspunkt kun angivet hvis certifikatet er spærret Tidsstempel for sidste synkronisering med CA ens spærreliste Tidsstempel for næste synkronisering med CA ens spærreliste. Synkronisering kan dog ske tidligere. DanID A/S 9. marts 2015 Side 9-11

Response vil muligvis ikke indeholde Nonce Extensions, selv om requesten indeholder en Nonce extension. Hvis request angiver andre udstedere end TRUST2408 OCES CA n, afvises requesten som malformed. Hvis request angiver et serienummer, der ikke svarer til et certifikat dusted af TRUST2408 OCES CA n en, sendes en response, der svarer til svaret for et gyldigt certifikat. DanID A/S 9. marts 2015 Side 10-11

7 OCSP-klienter OOAPI indeholder en OCSP-klient (OCSPCertificateRevocationChecker), som kan benyttes. OCSP-klienten fra OpenSSL kan også bruges direkte. Eksempel på opslag mod OCSP-responderen med OpenSSL: $ openssl ocsp -issuer certs/oces2-ica02-pr.crt -serial 0xA537332EC -url http://ocsp.pr.certifikat.dk/responder - CAfile certs/oces2-bundle-pr.crt Response verify OK 0xA537332EC: good This Update: Mar 3 14:44:35 2015 GMT Next Update: Mar 4 02:45:21 2015 GMT Bemærk at oces2-ica02-pr.crt indeholder certifikatet fra den udstedende CA, der har udstedt certifikatet, som ønskes valideret, men filen oces2- bundle-pr.crt indeholder både OCES II rodcertifikatet og certifikatet fra den udstedende CA. DanID A/S 9. marts 2015 Side 11-11

2026 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback