Menu
Om den fælleskommunale infrastruktur Infrastrukturens løsninger Teknikken bag infrastrukturen Vilkår og aftaler Kontakt og support
Billede med ikon

Certifikater

Her finder du alle de certifikater, der skal anvendes til at opnå trust til de forskellige komponenter i den fælleskommunale infrastruktur.

På denne side kan du læse om

Kom godt i gang med certifikater

Er det første gang du skal anvende certifikater i den fælleskommunale infrastruktur, kan du finde hjælp i vores vejledning 'Kom godt i gang - certifikater'. I vejledningen bliver du guidet igennem de trin, du skal igennem for at kunne anvende certifikater i infrastrukturen - lige fra bestilling til konfigurering.

Anvendelse af certifikater i den fælleskommunale infrastruktur
 

  • Certifikat “adgangsstyring” anvendes af Security Token Service og Context Handler.
  • Certifikat “callback” benyttes af Serviceplatformen, når denne kalder en webservice, du udstiller. Fx som serviceudbyder i ØiR-sammenhæng, som modtager/afsender-system på Fordelingskomponenten, eller ved modtagelse af Digital Post.
  • Certifikat “signing” anvendes til signering af svar fra services udstillet af Serviceplatformen.
  • Støttesystemerne anvender egne dedikerede certifikater til signering af svar fra services og disse certifikater er navngivet derefter.
  • Fælleskommunal Beskedfordeler kalder med certifikatet ”Beskedfordeler” ved PUSH-aflevering til en REST-service.

Nedenfor kan du hente .zip-pakker med certifikater for henholdsvis Produktionsmiljø og Eksternt testmiljø, samt læse mere om anvendelse af certifikater i infrastrukturen.

Kommende certifikatskift

Der skiftes til OCES3-certifikater i følgende servicevinduer:

  • 31. maj 2023 i tidsrummet kl. 17-19 for Serviceplatformen (Eksternt testmiljø)
    Serviceplatformens callback-certifikat og signing-certifikat udskiftes med OCES3-certifikater. Læs mere i denne driftsmeddelelse.
     
  • 1. juni 2023 i tidsrummet kl. 6-9 for Støttesystemerne (Eksternt testmiljø)
    Funktionscertifikater for Støttesystemerne og certifikat for Fælleskommunal Adgangsstyring for brugere og Fælleskommunal Adgangsstyring for systemer udskiftes med OCES3-certifikater i Eksternt testmiljø. Læs mere i denne driftsmeddelelse.
     
  • 8. juni i tidsrummet kl. 6-8 for hhv. Serviceplatformen og Støttesystemerne (Produktionsmiljø)
    • Serviceplatformens callback-certifikat og signing-certifikat udskiftes med OCES3-certifikater i Produktionsmiljøet. Læs mere i denne driftsmeddelelse.
    • Funktionscertifikater for Støttesystemerne og certifikat for Fælleskommunal Adgangsstyring for brugere og Fælleskommunal Adgangsstyring for systemer udskiftes med OCES3-certifikater i Produktionsmiljøet. Læs mere i denne driftsmeddelelse.

Du finder de nye certifikater nedenfor i .zip-pakkerne for certifikater anvendt i hhv. Produktionsmiljø og Eksternt testmiljø. De nye OCES3-certifikater er navngivet med foranstillet "New_".

Udskiftning af OCES2-certifikater i infrastrukturen

Alle eksisterende OCES2-certifikater i den fælleskommunale infrastruktur skal skiftes ud med OCES3-certifikater frem mod 30. juni 2023. Du kan læse mere om status, se aktuel tidsplan og finde links til mere information om OCES3-certifikater på denne side

Certifikater anvendt i Produktionsmiljø

 
Klik her for at downloade .zip-pakken med certifikater
 

Certifikat

 Erstatter

Udløb

Root CA
Beskedfordeler_P (funktionscertifikat)   2. juni 2025 TRUST2408 OCES Primary CA
New_BFO_PROD_Beskedfordeler_1 (funktions-/systemcertifikat OCES3) Beskedfordeler_P 28. marts 2026 Den Danske Stat OCES rod-CA

Klassifikation_P (funktionscertifikat)

  

‎2. juni 2025

TRUST2408 OCES Primary CA

New_KLA_PROD_Klassifikation_1 (funktions-/systemcertifikat OCES3)

 Klassifikation_P

27. marts 2026

Den Danske Stat OCES rod-CA
kombit-serviceplatformen-callback (funktionscertifikat)   31. ‎marts ‎2026 TRUST2408 OCES Primary CA
New_SP_PROD_Callback_1 (funktions-/systemcertifikat OCES3) kombit-serviceplatformen-callback 14. maj 2026 Den Danske Stat OCES rod-CA

kombit-sp-signing2 (funktionscertifikat)

  

29. ‎november ‎2025

TRUST2408 OCES Primary CA
New_SP_PROD_Signing_1 (funktions-/systemcertifikat OCES3) kombit-sp-signing2 14. maj 2026 Den Danske Stat OCES rod-CA
Organisation_P (funktionscertifikat)   2. juni 2025 TRUST2408 OCES Primary CA
New_ORG_PROD_Organisation_1 (funktions-/systemcertifikat OCES3) Organisation_P 27. marts 2026 Den Danske Stat OCES rod-CA
KOMBIT AS - produktion-adgangsstyring   8. juni 2024 TRUST2408 OCES Primary CA
New_ADG_PROD_Adgangsstyring_1 (funktions-/systemcertifikat OCES3) KOMBIT AS - produktion-adgangsstyring 27. marts 2026 Den Danske Stat OCES rod-CA

Sags_dok.indeks_P (funktionscertifikat)

  

2. juni 2025

TRUST2408 OCES Primary CA
New_SDI_PROD_Sags-og-Dokindeks_1 (funktions-/systemcertifikat OCES3) Sags_dok.indeks_P 27. marts 2026 Den Danske Stat OCES rod-CA

*.serviceplatformen.dk (HTTPS)

  

4. juli 2023

GlobalSign
*.stoettesystemerne.dk (HTTPS)   7. april 2024 GlobalSign
Ydelsesindeks_P (funktionscertifikat)   2. juni 2025 TRUST2408 OCES Primary CA
New_YDI_PROD_Ydelsesindeks_1 (funktions-/systemcertifikat OCES3) Ydelsesindeks_P 15. maj 2026 Den Danske Stat OCES rod-CA

Certifikater anvendt i Eksternt testmiljø

 
Klik her for at downloade .zip-pakken med certifikater
 

Certifikat

 Erstatter

Udløb

Root CA

Beskedfordeler_T (funktionscertifikat)

  

‎16. ‎december ‎2024

TRUST2408 Systemtest VII Primary CA
New_BFO_EXTTEST_Beskedfordeler_1 (funktions-/systemcertifikat OCES3) Beskedfordeler_T  28. marts 2026 Den Danske Stat OCES rod-CA

Klassifikation_T (funktionscertifikat)

  

16. ‎december ‎2024

TRUST2408 Systemtest VII Primary CA
New_KLA_EXTTEST_Klassifikation_1 (funktions-/systemcertifikat OCES3) Klassifikation_T  28. marts 2026 Den Danske Stat OCES rod-CA
kombit-serviceplatformen-callback-test (funktionscertifikat)   31. ‎marts ‎2026 TRUST2408 OCES Primary CA
New_SP_EXTTEST_Callback_1 (funktions-/systemcertifikat OCES3) kombit-serviceplatformen-callback-test 14. maj 2026 Den Danske Stat OCES rod-CA

kombit-sp-signing-test (funktionscertifikat)

  

‎19. april 2025

TRUST2408 Systemtest VII Primary CA
New_SP_EXTTEST_Signing_1 (funktions-/systemcertifikat OCES3) kombit-sp-signing-test 14. maj 2026 Den Danske Stat OCES rod-CA

Organisation_T (funktionscertifikat)

  

16. ‎december ‎2024

TRUST2408 Systemtest VII Primary CA
New_ORG_EXTTEST_Organisation_1 (funktions-/systemcertifikat OCES3) Organisation_T 28. marts 2026 Den Danske Stat OCES rod-CA

Sags_dok.indeks_T (funktionscertifikat)

  

16. ‎december ‎2024

TRUST2408 Systemtest VII Primary CA
New_SDI_EXTTEST_Sags-og-Dokindeks_1 (funktions-/systemcertifikat OCES3) Sags_dok.indeks_T 28. marts 2026 Den Danske Stat OCES rod-CA

*.eksterntest-stoettesystemerne.dk

  

7. april 2024

GlobalSign
*.serviceplatformen.dk (HTTPS)   4. juli 2023 GlobalSign
KOMBIT AS - test-ekstern-adgangsstyring   8. juni 2024 TRUST2408 OCES Primary CA
New_ADG_EXTTEST_Adgangsstyring_1 (funktions-/systemcertifikat OCES3) KOMBIT AS - test-ekstern-adgangsstyring 28. marts 2026 Den Danske Stat OCES rod-CA
Ydelsesindeks_T (funktionscertifikat)   16. ‎december ‎2024 TRUST2408 Systemtest VII Primary CA
New_YDI_EXTTEST_Ydelsesindeks_1 (funktions-/systemcertifikat OCES3) Ydelsesindeks_T 15. maj 2026 Den Danske Stat OCES rod-CA

KOMBIT AS - KOMBIT KDI IT-system simulering.zip (indeholder 10 funktionscertifikater)

  

‎16. ‎januar ‎2026

TRUST2408 Systemtest VII Primary CA

Transport Layer Security (TLS) – når du er klient og kalder et service endpoint

En klient præsenterer sig selv med dets funktionscertifikat, og et service endpoint præsenterer sig selv med dets HTTPS-certifikat. Forudsætningen for, at der kan etableres sikker forbindelse mellem parterne (også kaldet to-vejs-TLS) er, at de stoler på hinanden.

Når du skal kalde services (som klient), skal du registrere dit funktionscertifikat på dit anvendersystem i Fælleskommunalt Administrationsmodul. Tilsvarende skal du sørge for, at din klientkode stoler på det HTTPS-certifikat, der anvendes af det endpoint, du kalder.

Følgende HTTPS-certifikater anvendes i den fælleskommunale infrastruktur:

  • .eksterntest-stoettesystemerne.dk
  • .stoettesystemerne.dk
  • .serviceplatformen.dk

Du finder HTTPS-certifikaterne i -zip-pakkerne ovenfor for henholdsvis Eksternt testmiljø og Produktionsmiljø, inkl. de Root og Intermediate Certification Authorities (CA), der har signeret dem.

Oftest er det tilstrækkeligt at etablere tillid til Root CA, i visse tilfælde også Intermediate CA. Der etableres tillid, ved at importere dem i det Trust Store, som koden anvender (se vejledningen Kom-godt i gang - Certifikater). HTTPS-certifikater kaldes også SSL-certifikater, selvom dette faktisk er den gamle protokol, der er udfaset og erstattet af TLS. Den gamle betegnelse benyttes stadig, da den er meget udbredt.

Transport Layer Security (TLS) – når du udstiller et endpoint

Hvis du derimod skal udstille en webservice, skal du udstille dit eget endpoint med et HTTPS-certifikat, og dit endpoint kaldes med et funktionscertifikat. Hvordan du registrerer dit HTTPS-certifikat og endpoint, samt hvilket funktionscertifikat, der kaldes med, afhænger af hvilken integration eller service, du benytter:

  • For SF1461 Modtag beskeder via Beskedfordeler (servicen ModtagBesked) og SF1606 Modtag post (servicen ModtagPost):
    • Du registrerer endpoint på dit anvendersystem i Fælleskommunalt Administrationsmodul og angiver adresse samt dit endpoints HTTPS-certifikat
    • Fælleskommunal Beskedfordeler kalder med funktionscertifikatet ”Beskedfordeler”
    • Serviceplatformen kalder med funktionscertifikatet ”kombit-serviceplatformen-callback”
  • For SF2900 Fordelingskomponenten og andre integrationer, hvor dit it-system er registreret som serviceudbyder - fx ØiR-integrationer:
    • Du registrerer endpoint og HTTPS-certifikat i en Word-formular, som du indsender til Serviceplatformens helpdesk
    • Serviceplatformen kalder med funktionscertifikatet ”kombit-serviceplatformen-callback”
       

Signering af payloads

Fælleskommunal Adgangsstyring for systemer
Services, der benytter SOAP-protokollen, anvender certifikater til signering af payload:

  • SOAP-services udstillet af Serviceplatformen benytter ”sp-signing”-certifikatet. Her skal du angive tillid til det specifikke certifikat – hvordan du gør det, er specifikt for den platform, du benytter.
  • Security Token Service signerer beskeder med ”adgangsstyring”-certifikatet.
  • Services udstillet af Fælleskommunalt Klassifikationssystem, Organisationssystem, Sags- og Dokumentindeks eller Ydelsesindekset benytter hver deres eget certifikat til signering; ”Ydelsesindeks”, ”Organisation”, osv. Her skal du angive tillid til det specifikke certifikat – hvordan du gør det, er specifikt for den platform, du benytter.

Fælleskommunal Adgangsstyring for brugere
Certifikater benyttes til at signere SAML-tokens (samt eventuel kryptering af Assertions).

Context Handler signerer beskeder med ”adgangsstyring”-certifikatet. Du konfigurerer SAML i dit brugervendte system med dit eget funktionscertifikat. En parts certifikat er inkluderet i dennes SAML-metadata, og ved registrering af modpartens metadata bliver der automatisk etableret tillid til dets certifikat.

Vedligehold

Alle certifikater har en udløbsdato, og de skiftes jævnligt. Som det fremgår af beskrivelsen ovenfor, er der mange certifikater i spil og i mange forskellige scenarier. Så det er vigtigt, at du får dokumenteret et komplet overblik over:

  • Hvilke integrationer, du anvender
  • Hvilke certifikater, hver integrationer benytter
  • Hvilke af dine komponenter, der benytter pågældende certifikater
  • For hver komponent; hvordan certifikat-sikkerheden er konfigureret, og hvornår pågældende certifikatet udløber

Dermed er du klar i god tid, inden et certifikat opdateres, og du ved hvor og hvordan, du skal udskifte certifikatet.