Specifikationsdokument for OCSP

Relaterede dokumenter
Specifikationsdokument for OCSP

Specifikationsdokument for OCSP

Specifikationsdokument for servicen PID-CPR

Specifikationsdokument for LDAP API

Specifikationsdokument for servicen PID-CPR

Introduktion til NemID og NemID tjenesteudbyderpakken

Termer og begreber i NemID

Anbefalede testprocedurer

Specifikationsdokument for servicen RID-CPR

Specifikationsdokument for PDF Validator API

Termer og begreber i NemID

Specifikationsdokument for OCES II

Introduktion til NemID og Tjenesteudbyderpakken

Introduktion til NemID og Tjenesteudbyderpakken

Specifikationsdokument for servicen RID-CPR

SOSI STS Testscenarier

Specifikationsdokument for PDF Validator API

STS Designdokument. STS Designdokument

NemID DataHub adgang. & Doc , sag 10/3365

Termer og begreber i NemID

STS Driftsvejledning. STS Driftsvejledning

Nets Rettighedsstyring

Standardvilkår for modtagelse af OCES-certifikater fra Nets DanID. (NemID tjenesteudbyderaftale [NAVN på NemID tjenesteudbyder indsættes])

INSTRUKS FOR OFFENTLIG RA

Specifikation af kvalificerede certifikater

Nemhandel infrastruktur. Morten Hougesen Christian Uldall Pedersen 8. April 2010

Vejledning. til. RA-administrator

Digitaliseringsstyrelsen

Undgå driftsafbrydelser på grund af udløbet virksomheds- eller funktionssignatur

Regler for NemID til netbank og offentlig digital signatur v5, 1. marts 2017

Certifikatpolitik for NemLog-in

Anbefalede testprocedurer

Anbefalinger til interaktionsdesign og brugervalg af applet

Slutbrugeroplevelsen ved migrering fra OpenSign Java-applet til NemID CodeFile klient

INSTRUKS FOR OFFENTLIG RA

Understøttelse af LSS til NemID i organisationen

Kald af PingService via SOAPUI

NemHandel infrastruktur. Lars Houe Heinrich Clausen 4. November 2010

Guide til NemLog-in Security Token Service

Maj Peter Kristiansen,

NemID JS Developer site vejledning

DanID Certification Practice Statement v DanID. Certification Practice Statement (CPS) V. 1.1

STS Anvenderdokument i. STS Anvenderdokument

NemID JS Developer site vejledning

Certifikatpolitik. For den fællesoffentlige log-in-løsning. Side 1 af 9 2. december Version 1.1

DataHub Forbrugeradgangsløsning Spørgsmål og svar

e-tinglysning Digital signering

Vejledning til SmartSignatur Proof Of Concept

Affaldsdatasystem Vejledning supplement i system-til-system integration for.net brugere

DataHub Forbrugeradgangsløsning NemID Quick Guide

Introduktion til NemID og NemID tjenesteudbyderpakken

Vejledning i brug af test tools

Brugervejledning - til internetbaseret datakommunikation med Nets ved hjælp af HTTP/S-løsningen

STS Fejlsituationer. STS Fejlsituationer

En teknisk introduktion til NemHandel

1.1 Formål Webservicen gør det muligt for eksterne parter, at fremsøge informationer om elevers fravær.

Guide til integration med NemLog-in / Signering

LØSNINGSBESKRIVELSE FOR LOG-IN OG SIGNERING MED NEMID. Beskrivelse af de NemID-typer, som kan bruge på jeres tjeneste.

Fælles testmiljøer. Dato: Version: Vejledning til oprettelse og vedligehold af testcertifikater

Udvidet brug af personligt NemID i erhvervssammenhæng

STS Anvenderdokument. STS Anvenderdokument

Webservice kald. System-til-system integration. Ny Easy. ATP 1. februar 2017

ARBEJDSGANGSBESKRIVELSER FOR OFFENTLIG RA FUNKTION

Digitaliseringsstyrelsen

Dette dokument beskriver de rekonfigurationer, du skal foretage, hvis du fornyr dit eksisterende funktionscertifikat eller anskaffer et nyt.

Januar Version 2.0. OTP-politik - 1 -

Nykredit Portefølje Administration A/S

Nets DanID Service Level Agreement. Service Level Agreement for OCES Digital Signatur ydelser Version 5

ARBEJDSGANGSBESKRIVELSER FOR OFFENTLIG RA FUNKTION

Overordnet løsningsbeskrivelse - Private aktører og borger log-in via SEB / NemLog-in

En teknisk introduktion til NemHandel

Fjernadgang til BEC s systemer via Portal2

SOSI STS Designdokument

SOSIGW. - Administrationskonsol for SOSIGW Indeks

SSO - FAQ - Kendte problemer med opsætninger

GLOBETEAM. Danmarks Miljøportal (DMP) Vejledning til fagsystemejere omkring tilkobling af Java Metrobaseret. Version 1.2

Løsningsbeskrivelse for log-in og signering med NemID. Valg af målgruppe og navigation omkring NemID på jeres tjeneste.

Kontekst. Virk BRS DKAL. DanID. NemRefusion.dk (CMS) Virksomheds dialog. Kommune service. Virksomheds service. Virk BRS. NemRefusion kernen

FairSSL Fair priser fair support

Nets - Medarbejder Signatur

NemHandelsRegistret (NHR)

Vejledning i opsætning af NemHandelsprogrammet

BESTILLING AF NEMID. For at bestille ny NemID vælger du Vælg Bestil NemID medarbejdersignatur.

Digitaliseringsstyrelsen

Forretningsmæssige testscases for Seal.net i relation til anvendelse af NSP services

Sundhedsstyrelsens Elektroniske Indberetningssystem (SEI) Vejledning til indberetning via Citrix-løsning

Tredjepart webservices

NemHandelsRegistret (NHR)

Version: 1.2 Side 1 af 6

Transkript:

Nets DanID A/S Lautrupbjerg 10 DK 2750 Ballerup T +45 87 42 45 00 F +45 70 20 66 29 info@danid.dk www.nets-danid.dk CVR-nr. 30808460 Specifikationsdokument for OCSP DanID A/S 3. juni 2014 Side 1-11

Indholdsfortegnelse 1 Formål og målgruppe... 4 2 Introduktion til OCSP-responder... 5 3 OCSP-responder-certifikater... 6 4 Komponenter i et OCES-personcertifikat... 7 5 OCSP Request profile... 8 6 OCSP Response profile... 9 7 OCSP-klienter... 11 DanID A/S 3. juni 2014 Side 2-11

Versionsfortegnelse 25. maj 2009 Version 0.0 MOBO 26. november 2009 Version 0.1 JRF 30. november 2009 Version 1.0 CR 8. februar 2010 Version 1.1 TechniWrite 20. januar 2011 Version 1.2 MTV 3. juni 2014 Version 1.3 PHJER DanID A/S 3. juni 2014 Side 3-11

1 Formål og målgruppe Dette dokument er en del af NemID tjenesteudbyderpakken. Dokument beskriver den OCSP-profil, som benyttes i NemIDsystemet. Dokumentet er relevant for tjenesteudbyderen, hvis Nets DanIDs Sikkerhedspakke ikke indeholder den ønskede funktionalitet på dette område. Dokumentet henvender sig til de personer, der er ansvarlige for implementeringen af NemID. Det forventes, at brugere har kendskab til OCSP-protokollen som beskrevet i RFC2650. DanID A/S 3. juni 2014 Side 4-11

2 Introduktion til OCSP-responder OCSP muliggør at man kan spørge online på status af et aktuelt certifikats serienummer (eller flere serienumre). Dette sikrer, at man hurtigt får den status, man skal bruge, uden at hente den fulde spærrelisteinformation, som er ganske betragtelig. Nets DanID tilbyder OCSP til validering af certifikater som supplement til spærrelister (CRL). Bemærk, at anvendelsen af OCSP-systemet er gratis for private brugere, men hvis man er en virksomhed, skal man have tegnet en aftale om anvendelse af OCSP,. Dette kan gøres ved at kontakte Nets DanID Salg på salg@danid.dk. OCSP-responderen udstilles over http. URL en, der skal anvendes, er indeholdt i certifikatet og fremgår af Authority Information Accessextensionen. OCSP er beskrevet i standarden RFC 2560 med yderligere krav fra OCES Certifikat Politikken. DanID A/S 3. juni 2014 Side 5-11

3 OCSP-responder-certifikater De certifikater, som OCSP-responderen benytter til signering, er standard OCES-virksomhedscertifikater, dog med følgende tilpassede profil: Felt Værdi/Beskrivelse Validity Key Usage Extended Key Usage OCSP No Check CRL Distribution Point Authority Information Access (AIA) Gyldighedsperioden vil være kortere end for normale certifikater Digital Signature OCSP Signing Empty dvs. at klienten bør stole på validiteten af certifikatet. Ikke medtaget Ikke medtaget DanID A/S 3. juni 2014 Side 6-11

4 Komponenter i et OCES-personcertifikat OCES-personcertifikater indeholder en X.509 standard extension, der udpeger OCSP-responderen, så valideringsværktøjer kan kalde den: Felt Værdi Authority Information Access (AIA) Online Certificate Status Protocol, som findes på: http://ocsp.certifikat.dk/ocsp/status Denne extension er markeret som non-critical. Der er ikke yderligere OCSP-relevante oplysninger i OCES-certifikater. DanID A/S 3. juni 2014 Side 7-11

5 OCSP Request profile De OCSP-requests, som OCSP-responderen accepterer, skal overholde følgende begrænsninger: Felt Værdi Version 1 Requestor Name Request List Hash Algorithm Request List Issuer Name Hash Request List Issuer Key Hash Request List Serial Number Nonce Valgfrit felt. Bør indeholde navnet på den kaldende service SHA1 understøttes SHA1 hash af TRUST2408 OCES CA n Name SHA1 hash af den offentlige nøgle for TRUST2408 OCES CA n ens certifikat Kan indeholde ét serienummer der ønskes verificeret. Hvis der er angivet nonce extensions, ignoreres de. Bemærk, at: Der kun kan angives ét serienummer pr. request. Signerede requests behandles præcis som usignerede requests. Det vil sige, at signaturen ikke valideres. DanID A/S 3. juni 2014 Side 8-11

6 OCSP Response profile OCSP-responses har følgende profil i forhold til standard-ocspresponses: Felt Værdi OCSP Response status Response Type Succesful, hvis et korrekt response kunne genereres. I andre tilfælde sættes en anden (udefineret) status Basic OCSP Response Version 1 Responder ID Produced At Hash Algorithm Issuer Name Hash Issuer Key Hash Serial Number Cert Status Revocation Time This Update Next Update OCSP Responder ens Distinguished Name Tidsstempel der fortæller, hvornår response er genereret SHA1 SHA1 hash af TRUST2408 OCES CA n Name SHA1 hash af den offentlige nøgle for TRUST2408 OCES CA n ens certifikat Serienummer for det certifikat, der blev valideret Revoked eller Valid afhængig af certifikatets status Revokeringstidspunkt kun angivet hvis certifikatet er spærret Tidsstempel for sidste synkronisering med CA ens spærreliste Tidsstempel for næste synkronisering med CA ens spærreliste DanID A/S 3. juni 2014 Side 9-11

Response vil ikke indeholde Nonce Extensions, heller ikke hvis requesten indeholder en Nonce extension. Hvis request angiver andre udstedere end TRUST2408 OCES CA n, afvises requesten som malformed. Hvis request angiver et serienummer, der ikke svarer til et certifikat dusted af TRUST2408 OCES CA n en, sendes en response, der svarer til svaret for et gyldigt certifikat. DanID A/S 3. juni 2014 Side 10-11

7 OCSP-klienter Der kan hentes et eksempel på en Java OCSP-klient på http://ocsp.certifikat.dk/ocsp/status OCSP-klienten fra OpenSSL kan bruges direkte. Eksempel på opslag mod OCSP-responderen med OpenSSL: > openssl ocsp -issuer oces.cer -CAfile oces.cer - no_nonce -serial 123 url http://ocsp.certifikat.dk/ocsp/status Response verify OK 123: good This Update: Nov 29 11:19:36 2009 GMT Next Update: Nov 29 11:20:36 2009 GMT DanID A/S 3. juni 2014 Side 11-11

2026 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback