Certifikater
Her finder du alle de certifikater, der skal anvendes til at opnå trust til de forskellige komponenter i den fælleskommunale infrastruktur.
På denne side kan du læse om
- Kom godt i gang med certifikater
- Anvendelse af certifikater i den fælleskommunale infrastruktur
- Kommende certifikatskifte
- Certifikater anvendt i henholdvis Produktionsmiljø og Eksternt testmiljø
- Transport Layer Security (TLS) – når du er klient og kalder et service endpoint
- Transport Layer Security (TLS) – når du udstiller et endpoint
- Signering af payloads
- Vedligehold
Kom godt i gang med certifikater
Er det første gang du skal anvende certifikater i den fælleskommunale infrastruktur, kan du finde hjælp i vores vejledning 'Kom godt i gang - certifikater'. I vejledningen bliver du guidet igennem de trin, du skal igennem for at kunne anvende certifikater i infrastrukturen - lige fra bestilling til konfigurering.
Anvendelse af certifikater i den fælleskommunale infrastruktur
- Certifikat “ADG_[miljø]_Adgangsstyring” anvendes af Security Token Service 1 og 2 samt Context Handler 1 og 2.
- Certifikat “SP_[miljø]_Callback” benyttes af Serviceplatformen, når denne kalder en webservice, du udstiller. Fx som serviceudbyder i i sammenhæng med Fælleskommunale Økonomiintegrationer, som modtager/afsender-system på Fordelingskomponenten, eller ved modtagelse af Digital Post.
- Certifikat “SP_[miljø]_Signing” anvendes til signering af svar fra services udstillet af Serviceplatformen.
- Støttesystemerne anvender egne dedikerede certifikater til signering af svar fra services og disse certifikater er navngivet derefter.
- Fælleskommunal Beskedfordeler kalder med certifikatet ”BFO_[miljø]_Beskedfordeler” ved PUSH-aflevering til en REST-service.
Nedenfor kan du hente .zip-pakker med certifikaterne for henholdsvis Produktionsmiljø og Eksternt testmiljø.
Dine certifikater, når du bruger infrastrukturen
Som anvender af infrastrukturen, skal du huske følgende for dine egne certifikater:
- Du må ikke bruge samme certifikat på et it-system til både Eksternt testmiljø og Produktionsmiljø - du skal bestille og registrere dedikerede certifikater til hvert unikke it-system og miljø.
- For OCES3-certifikater: Du skal bruge produktionscertifikater i både Eksternt testmiljø og Produktionsmiljø. Et anvendersystem, der skal teste mod Digitaliseringsstyrelsens DevTest4-miljø, kan dog bruge testcertifikat i Eksternt testmiljø.
- Du skal navngive dine certifikater i henhold til hvert it-systems navn, så anvendelse og relation er til at gennemskue.
Kommende certifikatskifte
Certifikatet i Produktionsmiljøet for Fælleskommunal Adgangsstyring for brugere (Context Handler 2) og Fælleskommunal Adgangsstyring for systemer (Security Token Service 2) udskiftes tirsdag den 5. november 2024 kl. 06.00-08.00.
Du kan læse mere om certifikatskiftet i denne driftsmeddelelse.
Du finder det nye certifikat (ADG_PROD_Adgangsstyring_2) i .zip-pakken nedenfor med certifikater anvendt i Produktionsmiljøet.
Transport Layer Security (TLS) – når du er klient og kalder et service endpoint
En klient præsenterer sig selv med dets funktionscertifikat, og et service endpoint præsenterer sig selv med dets HTTPS-certifikat. Forudsætningen for, at der kan etableres sikker forbindelse mellem parterne (også kaldet to-vejs-TLS) er, at de stoler på hinanden.
Når du skal kalde services (som klient), skal du registrere dit funktionscertifikat på dit anvendersystem i Fælleskommunalt Administrationsmodul. Tilsvarende skal du sørge for, at din klientkode stoler på det HTTPS-certifikat, der anvendes af det endpoint, du kalder.
Følgende HTTPS-certifikater anvendes i den fælleskommunale infrastruktur:
- .eksterntest-stoettesystemerne.dk
- .stoettesystemerne.dk
- .serviceplatformen.dk
Du finder HTTPS-certifikaterne i -zip-pakkerne ovenfor for henholdsvis Eksternt testmiljø og Produktionsmiljø, inkl. de Root og Intermediate Certification Authorities (CA), der har signeret dem.
Oftest er det tilstrækkeligt at etablere tillid til Root CA, i visse tilfælde også Intermediate CA. Der etableres tillid, ved at importere dem i det Trust Store, som koden anvender (se vejledningen Kom-godt i gang - Certifikater). HTTPS-certifikater kaldes også SSL-certifikater, selvom dette faktisk er den gamle protokol, der er udfaset og erstattet af TLS. Den gamle betegnelse benyttes stadig, da den er meget udbredt.
Transport Layer Security (TLS) – når du udstiller et endpoint
Hvis du derimod skal udstille en webservice, skal du udstille dit eget endpoint med et HTTPS-certifikat, og dit endpoint kaldes med et funktionscertifikat. Hvordan du registrerer dit HTTPS-certifikat og endpoint, samt hvilket funktionscertifikat, der kaldes med, afhænger af hvilken integration eller service, du benytter:
- For SF1461 Modtag beskeder via Beskedfordeler (servicen BeskedFåTilsendt) og SF1606 Modtag post (servicen PostModtag):
- Du registrerer endpoint på dit anvendersystem i Fælleskommunalt Administrationsmodul og angiver adresse samt dit endpoints HTTPS-certifikat
- Fælleskommunal Beskedfordeler kalder med funktionscertifikatet ”BFO_[miljø]_Beskedfordeler”
- Serviceplatformen kalder med funktionscertifikatet ”SP_[miljø]_Callback”
- For SF2900 Fordelingskomponenten og andre integrationer, hvor dit it-system er registreret som serviceudbyder - fx økonomiintegrationer:
- Du registrerer endpoint og HTTPS-certifikat i en Word-formular, som du indsender til Serviceplatformens helpdesk
- Serviceplatformen kalder med funktionscertifikatet ”SP_[miljø]_Callback”
Signering af payloads
Fælleskommunal Adgangsstyring for systemer
Services, der benytter SOAP-protokollen, anvender certifikater til signering af payload:
- SOAP-services udstillet af Serviceplatformen benytter ”SP_[miljø]_Signing”-certifikatet. Her skal du angive tillid til det specifikke certifikat – hvordan du gør det, er specifikt for den platform, du benytter.
- Security Token Service signerer beskeder med ”ADG_[miljø]_Adgangsstyring”-certifikatet.
- Services udstillet af Fælleskommunalt Klassifikationssystem, Organisationssystem, Sags- og Dokumentindeks eller Ydelsesindekset benytter hver deres eget certifikat til signering; ”YDI_[miljø]_Ydelsesindeks”, ”ORG_[miljø]_Organisation”, osv. Her skal du angive tillid til det specifikke certifikat – hvordan du gør det, er specifikt for den platform, du benytter.
Fælleskommunal Adgangsstyring for brugere
Certifikater benyttes til at signere SAML-tokens (samt eventuel kryptering af Assertions).
Context Handler signerer beskeder med ”ADG_[miljø]_Adgangsstyring”-certifikatet. Du konfigurerer SAML i dit brugervendte system med dit eget funktionscertifikat. En parts certifikat er inkluderet i dennes SAML-metadata, og ved registrering af modpartens metadata bliver der automatisk etableret tillid til dets certifikat.
Vedligehold
Alle certifikater har en udløbsdato, og de skiftes jævnligt. Som det fremgår af beskrivelsen ovenfor, er der mange certifikater i spil og i mange forskellige scenarier. Så det er vigtigt, at du får dokumenteret et komplet overblik over:
- Hvilke integrationer, du anvender
- Hvilke certifikater, hver integrationer benytter
- Hvilke af dine komponenter, der benytter pågældende certifikater
- For hver komponent; hvordan certifikat-sikkerheden er konfigureret, og hvornår pågældende certifikatet udløber
Dermed er du klar i god tid, inden et certifikat opdateres, og du ved hvor og hvordan, du skal udskifte certifikatet.