Systemkrav och rekommendationer - Inera

Systemkrav och rekommendationer 

Åtkomst till Pascal

Systemkrav för åtkomst till Pascal 

Version 1.9 

Innehållsförteckning 

Inera AB Box 177 03 

Östgötagatan 12 

118 93 Stockholm 

Tel 08 452 71 60 

info@inera.se 

www.inera.se 

Pascal-projektet / Säkerhetslösning 

Organisationsnummer 

556559-4230 

Senast ändrad 

2013-07-03 

1. Inledning .................................................................................................................................................... 3 

2. Operativsystem, webbläsare och Net iD ................................................................................................ 3 

3. Net iD (Gäller enbart för SITHS-kort) ...................................................................................................... 6 

4. Brandväggar.............................................................................................................................................. 7 

5. Kortläsare och drivrutin (Gäller enbart för SITHS-kort) ....................................................................... 8 

6. Pdf-läsare .................................................................................................................................................. 9 

7. CA och Rotcertifikat (Gäller enbart för SITHS-kort) .............................................................................. 9 

8. Tunna klienter (Gäller enbart för tunna klienter) ................................................................................. 10 

9. Funktionstest av SITHS och kortläsare (Gäller enbart för SITHS-kort) ............................................ 10 

Revisionshistorik 

Version Författare Kommentar 

1.0 Jan Ahlén Dokument godkänt för distribution 

1.1 Jan Ahlén Uppdaterad matris för systemkrav/rekommendationer, Nya 

brandväggsöppningar, rekommenderad inställning i webbläsaren, 

anpassa säkerhetsnivån i webbläsaren, rekommendation på pdfläsare. 

1.2 Jan Ahlén Nytt namn på dokumentet ”Systemkrav och rekommendationer för 

åtkomst till Pascal”, version på pdf-läsare, förtydligande gällande 

brandväggar, förtydligande gällande Net iD, IP för 

revokeringsadresser, förtydligande gällande anpassning av 

säkerhetsnivån i webbläsaren. 

1.3 Jan Ahlén Lagt till https://*.eordinationpascal.se som betrodd plats (sid 4) samt 

förtydligande av webbläsarens inställningar då mer än en 

certifikatsfråga erhålls vid inloggning (sid 5) 

1.4 Jan Ahlén Lagt till Net iD version 5.6.2 i listan för supportade kombinationer 

av operativsystem, webbläsare och Net iD (sid3), information om 

Net ID och Bank ID konflikt (sid 6) samt information om hur man får 

bort en lång lista med certifikat vid inloggning (sid7). 

1.5 Jan Ahlén Uppdatering med information angående Root CA v1. Se kapitel 4 

Brandväggar sid 8 (nya revokeringsadresser för CA v1) samt kapitel 

7 CA och Rootcertifikat. 

1.6 Jan Ahlén Uppdaterad med nya portöppningar för Säkerhetstjänster 2.1, se sid 

7 och 8. 

1.7 Jan Ahlén Uppdaterad/förtydligande avseended nya portöppningar för 

Säkerhetstjänster 2.1, se sid 7 och 8. 

1.8 Jan Ahlén Uppdatering av länkar i dokumentet. 

1.9 Jan Ahlén Uppdatering av matris gällande stöd för OS, webbläsare och Net iD, 

se sid 3. 

Sid 2/11


Version 1.9 




Tel 08 452 71 60 

info@inera.se 

www.inera.se 



556559-4230 


2013-07-03 

SYSTEMKRAV OCH REKOMMENDATIONER FÖR ÅTKOMST TILL PASCAL 

1. Inledning 

Vid inloggning till Pascal används SITHS-kort alternativt mobil och SMS-tjänst för att unikt 

identifiera användaren. Behörighetskontroll och rättighetstilldelning sker med data från 

HSA katalogen och Säkerhetstjänsterna (BIF). Verksamheter som ska använda Pascal 

måste därför se över systemkrav och rekommendationer, ett antal definitioner och 

implementeringen av desamma. 

2. Operativsystem, webbläsare och Net iD 

För att säkerställa att Pascals säkerhetslösning fungera på ett korrekt sätt, bl. a så att in- 

och utloggning fungerar, och att din webbläsare stängs när SITHS-kortet tas ur kortläsaren 

behövs följande systemkrav beaktas. 

Följande kombinationer (X) av operativsystem, webbläsare och Net iD stöds och 

supportas av Inera och Secmaker. Javascript och Cookies ska vara påslaget (enable) i 

webbläsarna nedan. Om man enbart använder inloggning via SMS-tjänsten behöver man 

bara beakta kraven på operativsystem och webbläsare nedan. 

Operativsystem och 

webbläsare 

Windows XP (SP3) 

Windows 7 (SP1) – 32-bit 

Windows 7 (SP1) – 64-bit 

Net iD 

5.3 5.5 5.6 6.0.1 

IE 7 X X X X 

IE 8 X X X X 

IE 8 X X X X 

IE 9 ESK ESK X X 

IE 10 ESK ESK ESK X 

IE 8 (32 bit) X X X X 

IE 9 (32 bit) ESK ESK X X 

IE 10 (32 bit) ESK ESK ESK X* 

Windows 8 – 64 bit 

IE 10 (32 bit) ESK ESK ESK X* 

ESK = Ej Supportad Kombination 

* = När SITHS-kortet rycks ut i denna kombination så erhålls meddelandet ”Ett problem med webbsidan fick Internet 

Explorer att stänga och öppna fliken igen” och man kommer till sidan ”Fel vid inloggning med SITHS-kort”. Detta kan 

åtgärdas genom att inaktivera den automatiska återställningen efter krasch. Detta görs under Internetalternativ – 

Avancerat – Webbsökning. 

Sid 3/11


Version 1.9 




Tel 08 452 71 60 

info@inera.se 

www.inera.se 



556559-4230 


2013-07-03 

Andra kombinationer än ovan kan fungera men stöds och supporteras inte av Inera och 

Secmaker. Om man har en annan kombination så ska man testa så att nedstängning av 

sessionen sker på ett korrekt sätt när SITHS-kortet rycks ur kortläsaren. Om så inte sker 

ska man uppdatera sin konfiguration enligt matrisen ovan. 

Vi rekommenderar att man markerar i webbläsarens inställningar att vid inloggning visa 

certifikat endast då fler än ett certifikat finns på SITHS-kortet. Detta sker enligt följande: 

Välj Internetalternativ – fliken Säkerhet – markera Betrodda platser och klicka på 

knappen Anpassad nivå. Markera Aktivera under rubriken ”Fråga inte efter val av 

klientcertifikat när det bara finns ett certifikat” 

Sid 4/11


Version 1.9 

Anpassa säkerhetsnivån i webbläsaren 




Tel 08 452 71 60 

info@inera.se 

www.inera.se 



556559-4230 


2013-07-03 

För att SITHS-korthantering och SingleSignOn ska fungera som tänkt, ska aktuella 

domäner/siter som säker inloggning sker mot finnas inlagda som "Betrodda platser” i 

Internet Explorer. 

Säkerhetsnivån skall vara mellan. Man kan ändra säkerhetsnivån, men inte parametrarna 

”Active scripting” och ”File download” som måste vara satta till enable. 

Lägg till följande domäner under fliken Säkerhet – Betrodda platser - Platser i Internet 

Explorer: 

https://*.eordinationpascal.se 

https://*.inera.se 

https://*.sjunet.org 

Sid 5/11


Version 1.9 

3. Net iD (Gäller enbart för SITHS-kort) 




Tel 08 452 71 60 

info@inera.se 

www.inera.se 



556559-4230 


2013-07-03 

Vi stödjer enbart att ni har Net iD installerad som CSP-programvara (programvara för att 

läsa SITHS-kort). Om man har fler än en CSP-programvara installerad på datorn, t ex 

Nexus (Bank ID), kan i vissa fall Nexus ta över som kortläsare istället för Net iD, vilket inte 

är önskvärt. Om man av någon anledning måste ha Nexus (Bank ID) installerat på sin 

dator så finns det en workaround på secmakers servicesida som kan åtgärda detta, men 

det är inget som Inera stödjer eller supportar. Du måste autentiserar dig med ditt SITHSkort 

för att få åtkomst till denna sida. 

Vi stödjer Net iD version enligt matris ovan. 

Om organisationen har en direktanslutning till SITHS (har avtal med Inera) så finns det på 

SITHS projektplats installationspaket att ladda ner som innehåller rätt inställningar i Net iD 

(enbart RA-organisationen, Registration Authority har tillgång till detta). Är man ansluten till 

SITHS via en annan organisation (tredjepartanslutning), så kan denna organisation 

tillhandahålla installationspaket för Net iD. 

I vissa fall kan man ha gjort lokala anpassningar av Net iD. Den information som behöver 

finnas i Net iD:s konfigurationsfil (iid.cfg) under program/Net iD för att nedstängning 

av webbläsaren ska fungera är: 

[NetControl] 

Applications=iexplore.exe; iidxweb.exe 

Ask=0 

Enable=1 

Det kan finnas andra sätt att få nedstängning av webbläsaren att fungera än som 

beskrivits ovan, men då får man själv genomföra tester så att nedstängning av sessionen 

sker på ett korrekt sätt när SITHS-kortet rycks ur kortläsaren. 

Om man har problem med att få webbläsaren att stängas när man rycker ur SITHS-kortet 

ur kortläsaren finns mer information och åtgärder på Secmakers servicesida. 

Ibland kan man vid inloggning få upp en lång lista med certifikat, vilket bl. a kan ske om 

arbetsstationen används av flera användare. Detta kan upplevas som irriterande när man 

måste leta i listan för att hitta sitt certifikat. I Net iD har alltid funktionen ”CertMover” 

funnits. Funktionen läser in kortets användarcertifikat och lägger dem åtkomliga för t.ex 

Internet Explorer. ’CertMover’ är helt enkelt "det som snurrar" i taskbar när du stoppar i ett 

kort. Windows har en egen sådan funktion som via Net iD:s CSP ber om samma 

operation. Det kan då ibland uppstå oönskade fenomen såsom att det blir certifikat 

liggande kvar i MyStore. På Secmakers servicesida finns det en beskrivning för hur man 

kan få bort detta, se följande länkar (man måste autentisera sig med sitt SITHS-kort för att 

få åtkomst): 

https://service.secmaker.com/secure/netidinfo/Certificate_Propagation.aspx 

https://service.secmaker.com/secure/examples/smartcard_gpo.aspx 

Sid 6/11


Version 1.9 




Tel 08 452 71 60 

info@inera.se 

www.inera.se 



556559-4230 


2013-07-03 

Stora IT-lösningar har ofta komplexa samband och registerändringar och stopp av tjänster 

kan ge oväntade resultat. Prova med försiktighet och helst i en testmiljö innan du aktiverar 

ändringen i produktionsmiljö. 

4. Brandväggar 

För att komma åt Pascal krävs att följande brandväggar är öppna, se nedan. 

En ny version av Säkerhetstjänster 2.1 planeras produktionssättas 20-21/4 2013. Detta 

gör att alla anslutna organisationer behöver öppna för de nya portar som kommer 

användas i Säkerhetstjänster 2.1. Det är mycket viktigt att brandväggarna öppnas för de 

nya portarna, annars kommer inte de anslutna systemen att kunna nås. För mer 

information se dokument SÄK 2.1 information om portöppningar. 

Sjunet 

IP-adress Url Port 

213.189.100.195 http://www.eordinationpascal.sjunet.org 80 

213.189.100.195 https://www.eordinationpascal.sjunet.org 443 

213.189.100.194 https://siths.eordinationpascal.sjunet.org 443 

Till och med 2013-04-20 (säkerhetstjänster) 

81.89.145.244 https://cluster.bif.sjunet.org 8443, 8444 

Från och med 2013-04-20 (säkerhetstjänster) 

81.89.145.246 https://sakerhetstjanst.sjunet.org 7443, 7444, 7445, 7446 

81.89.145.244 https://idp.sakerhetstjanst.sjunet.org 8443, 8444 

Internet 

IP-adress Url Port 

194.103.118.11 http://www.eordinationpascal.se 80 

194.103.118.11 https://www.eordinationpascal.se 443 

194.103.118.13 https://siths.eordinationpascal.se 443 

194.103.118.14 https://sms.eordinationpascal.se 443 

Till och med 2013-04-20 (säkerhetstjänster) 

78.41.244.29 https://sakerhetstjanst.inera.se 8443, 8444 

Från och med 2013-04-20 (säkerhetstjänster) 

78.41.244.29 https://sakerhetstjanst.inera.se 7443, 7444, 7445, 7446 

78.41.244.29 https://idp.sakerhetstjanst.inera.se 8443, 8444 

OBS! kontrollera att adressen ovan inte spärras i någon generell produkt för 

internetfiltrering (typ Bluecoat). 

Sid 7/11


Version 1.9 


Dessutom behövs följande revokeringsadresser vara öppna: 

CAv3 




Tel 08 452 71 60 

info@inera.se 

www.inera.se 


556559-4230 


2013-07-03 

Sjunet 

URL=ldap://sithscrl.carelink.sjunet.org/cn=SITHS%20CA%20ver%203,o=SITHS%20CA,c= 

SE?certificateRevocationList;binary? (IP: 82.136.149.44) 

och 

URL=http://sithsocsp.trust.telia.com (IP: 82.136.160.42 respektive 194.237.208.174) 

Internet 

URL=http://www.carelink.se/siths-ca/ca003.crl (IP: 217.16.192.80) 

Brandväggar måste också öppnas för att HSA- och SITHS-organisationen ska komma åt 

HSA Admin och SITHS Admin. 

Detta görs av nätverkstekniker i samband med tjänsternas införande. 

CAv1 

För att komma åt nya spärrar/AIA-lokationer så får följande adresser inte vara blockerade: 

Internet: 

http://ocsp1.siths.se (IP 194.237.208.174) 

http://aia.siths.se (IP 80.76.157.219) 

http://crl1.siths.se (IP 80.76.157.219) 

Port 80 

Sjunet: 

http://ocsp2.siths.sjunet.org (IP 82.136.160.42) 

http://aia.siths.sjunet.org (IP 82.136.163.164) 

http://crl2.siths.sjunet.org (IP 82.136.163.164) 

Port 80 

5. Kortläsare och drivrutin (Gäller enbart för SITHS-kort) 

Vissa kortläsare med dess drivrutin kan ibland inte registrera att SITHS-kortet har ryckts ur 

kortläsaren. Det innebär att Net iD inte upptäcker att något har hänt och följaktligen inte 

stänger ner sessionen. 

Vi rekommenderar därför att ni utgår från Cygates kortläsarbroschyr, som innehåller 

kortläsare som fungerar bra. Det är också viktigt att man använder den senaste 

drivrutinsversionen från tillverkaren. Använd inte Microsofts generiska drivrutin från 2006. 

Andra läsare kan också fungera bra men var noga med dess drivrutiner. 

I båda dessa fall så bör man testa så att kortläsaren och dess drivrutin fungerar korrekt, se 

stycket om funktionstest av SITHS-kort och dess kortläsare nedan. 

Sid 8/11

6. Pdf-läsare 


Version 1.9 




Tel 08 452 71 60 

info@inera.se 

www.inera.se 



556559-4230 


2013-07-03 

Utskrift av dos-receptet i Pascal fungerar med Adobe Reader version 9 och 10. Tidigare 

versioner kan fungera men stöds inte av Inera och Apotekens Service. Om man har en 

tidigare version än Adobe Reader 9 får man själv testa och validera att utskrift av dosreceptet 

sker på ett korrekt sätt. 

7. CA och Rotcertifikat (Gäller enbart för SITHS-kort) 

SITHS Rotcertifikat är vitlistat hos Microsoft Internet Explorer, vilket innebär att en 

användare slipper få upp varningsmeddelande vid anslutning till en webbsida identifierad 

med ett vitlistat certifikat. 

Giltighetstiden för nuvarande version av SITHS CA (CA v3) slutar snart att gälla. 

Dessutom har hotbilden på Internet ökat, vilket ställer hårdare krav på certifikat-utfärdare 

gällande bl.a. utfärdarrutiner och nyckellängder. Allt detta har resulterat i att SITHS 

Förvaltning beslutat att från och med den 29 januari 2013 införa SITHS Root CA v1. 

Dagens SITHS CA v3 är en PKI vars rotcertifikat är giltigt fram till 2015-11-28. Men redan i 

december 2013 kommer Microsoft ta bort detta certifikat ur sitt rotcertifikatprogram. 

Microsoft har 2012-12-12 tagit in SITHS Root CA v1 i sitt CA-program. Detta innebär att 

rotcertifikatet automatiskt laddas ned till Vista, W7 och W8-klienter samt motsvarande servrar 

W2K8 och W2K12 när klienten ska verifiera ett certifikat utgivet av nya SITHS. 

Man kan själva testa detta genom att gå från en dator mot webbadressen 

https://v1.test.msoft.siths.se/ och se att man inte får en certifikatsvarning. 

För klienter som kör Windows XP eller server W2K3, så måste rotcertifikatet laddas ned manuellt 

genom: 

Windows Update. Uppdateringen för XP/2003 heter ” Update for Root Certificates for Windows 

XP [December 2012] (KB931125)” http://support.microsoft.com/kb/931125 

eller 

Installera Rotcertifikatet i datorns webbläsare, enligt följande: 

Rotcertifikat finns på Ineras hemsida under Identifieringstjänst SITHS under rubriken 

Dokument – CA certifikat. 

Välj aktuellt rotcertifikat, SITHS Root CA v1, och klicka på installera certifikat. 

Se till att rotcertifikatet installeras under Betrodda rotcertifikatutfärdare (Trusted Root 

Certification Authorities) under aktuell webbläsare. 

Sid 9/11


Version 1.9 




Tel 08 452 71 60 

info@inera.se 

www.inera.se 



556559-4230 


2013-07-03 

Efter december 2013 så kommer Microsoft ta bort CA v3 ur sitt rotcertifikatprogram. Då 

kommer användarna att erhålla följande varningsmeddelande ”Ett problem har uppstått vid 

den här webbplatsens säkerhetscertifikat” vid anslutning till Pascal. För att slippa detta 

varningsmeddelande behöver ansvarig för klientinstallationen aktivt välja att lita på CA, 

vilket görs enligt följande: 

Installera Rotcertifikatet i datorns webbläsare, enligt följande: 

Rotcertifikat finns på Ineras hemsida under Identifieringstjänst SITHS under rubriken 

Dokument – CA certifikat. 

Välj aktuellt rotcertifikat, SITHS Root CA v3, och klicka på installera certifikat. 

Se till att rotcertifikatet installeras under Betrodda rotcertifikatutfärdare (Trusted Root 

Certification Authorities) under aktuell webbläsare. 

8. Tunna klienter (Gäller enbart för tunna klienter) 

För information och frågor gällande tunna klienter gäller följande rekommendationer: 

1. Kontrollera om supportavtal finns med leverantören/tillverkaren av plattformen. 

2. Kontrollera om det finns eget avtal med Secmaker avseende Net iD. 

Om supportavtal finns enligt ovan, så vänd er i första hand till dessa för information 

och support. 

3. Om man inte har några supportavtal eller får hjälp enligt ovan kan man via mail, vända 

sig till Ineras kundservice, kundservice@inera.se, för hjälp och vidare rådgivning. 

9. Funktionstest av SITHS och kortläsare (Gäller enbart för SITHS-kort) 

Funktionstest av SITHS-kort och dess kortläsare kan ske på följande sätt: 

1. Anslut kortläsare till datorn och sätt i SITHS-kortet i kortläsaren. 

2. Leta upp Net iD genom att klicka på Start och därefter Alla Program. Klicka på 

Net iD-mappen och därefter på Administration 

eller 

Högerklicka på Net iD-ikonen och därefter på Administration om den finns på 

datorns skrivbord. 

Då visas ett Net iD-fönster där alla certifikat som finns på SITHS-kortet visas. 

Sid 10/11


Version 1.9 

3. Ryck ur SITHS-kortet ur kortläsaren. 




Tel 08 452 71 60 

info@inera.se 

www.inera.se 



556559-4230 


2013-07-03 

Då ska alla certifikat som finns på SITHS-kortet försvinna från Net iD-fönstret. Om 

så inte sker så är det fel på kortläsaren och/eller dess drivrutin. 

4. Testa ditt SITHS-kort, certifikat och pinkoder på Ineras testsida. 

Sid 11/11

Systemkrav och rekommendationer - Inera

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?