PDF - SecMaker
Lev vera ans sinfo orm matio on Net iD D 5.4.1 1.34 fö ör SITH HS Med info ormation o om license ernas anv vändning, nyheter i 5.4.1.34, inkluderrade pakett, support, installatiion/avinsttallation, Firefox F m.m m. 2010-10-08 Innehå åll 1. Liccensinformation ............................................................................................ ............................... 3 2. Ne et iD 5.4.1.34 4 för SITHS--anslutna................................................................. ............................... 4 3. Nyyheter i Net iD i 5.4.1.34 ................................................................................. ............................... 5 Nyheter ma an ”ser” ...................................................................................... ............................... 5 Nyheter ”un nder huven” ............................................................................... ............................... 9 Förtydligan nde om varningen för cert rtifikat som nä ärmar sig utg gångsdatum . ............................ 11 4. Pa aket inkluderrade i avtalett mellan Telia aSonera och h Inera AB ....................... ............................. 12 5. Information om m de olika pa aketen ..................................................................... ............................. 14 6. Pa aketens nam mnsättning ................................................................................... ............................. 15 7. Ne et iD SSO ....................................................................................................... ............................. 16 8. An nvända kort på en 64-bita arsversion avv Windows ......................................... ............................. 17 9. På å ritbordet ....................................................................................................... ............................. 18 10. Ko ortläsare ......................................................................................................... ............................. 20 11. Tillbehör ............................................................................................................ ............................. 20 12. Su upportavtal Net N iD ......................................................................................... ............................. 21 13. Bilaga 1 - Insta allera, uppgrradera och a vinstallera .......................................... ............................. 22 Grundpake etet i exe-form mat ......................................................................... ............................. 22 Installera ett e exe-baserrade paket ............................................................... ............................. 23 Uppdatera ett exe-base erade paket ............................................................ ............................. 23 Avinstallera a ett exe-bas serade pakett.......................................................... ............................. 24 Paket i MS SI-format ..................................................................................... ............................. 25 14. Bilaga 2 - Nyttt koncept för underskrifte er ......................................................... ............................. 26 15. Bilaga 3 - Nyh heter i Net iD 5.3.0.28................................................................. ............................. 27 Nyheter ma an ”ser” ...................................................................................... ............................. 27 Nyheter ”un nder huven” ............................................................................... ............................. 30 16. Bilaga 4 - Information om Windows W Se erver 2008........................................... ............................. 31 17. Bilaga 5 – Nett iD LOGON ............................................................................... ............................. 32 18. Bilaga 6 – Fire efox ............................................................................................ ............................. 35 PKCS#11 – Firefox och h Net iD, hurr kopplas de samman? ....................... ............................. 35 Certifikatsvval i Firefox ................................................................................. ............................. 37 19. Bilaga 7 – Citrrix ............................................................................................... ............................. 38 Citrix Access Gateway ............................................................................... ............................. 38 Citrix XenD Desktop ...................................................................................... ............................. 42 20. Bilaga 8 – Miccrosoft VPN ................................................................................ ............................. 46 1. Liccensinformattion De pake et som beskkrivs i detta dokument är endast avsedda a för kunder som m avropar smarta s kort via SITHS. Statistiken ne edan är fram mtagen vid skiftet s mella an andra occh tredje kva artalet 2010 occh såg ut så åhär: Avser kunden anvä ända Net iD D med andra a kort än SITHS-kort åligger det kuunden att kontakta k någon a av våra parttners eller SecMaker S d direkt för att teckna rätt antal licensser och erhålla en egen liccensnyckel. 2. Ne et iD 5.4.1.34 4 för S SITHS-anslutna Nu finnss ”SVR-pakketen” i vers sion 5.4.1.34 4 tillgängliga för nedlad ddning. Desssa paket, som s är tillgängliga för alla som köper kort via SIT THS, är parametersatta a enligt en pprincip om minsta m gemenssam nämna are. Det bety yder bland a annat att PIIN-dialoger har ett vissst utseende och att länkar p pekar på ge emensamma a webbplatsser. Önskass ett eller fle era paket an npassade tilll lokala omständighete er behöver ssupportavta al tecknas med Se ecMaker och h en avgift erläggas e pe er anpassat paket. Före e beställnin g av kundunik paketerring ska ett särskilt s pak keteringsdokkument fylla as i, ett dokument per ppaket. Se separat bilaga m med filnamn net; ”Net iD Paketeringssdokumentt - Kundunik ka paket v1..1 2010-04--08.docx” 3. Nyyheter i Net iD 5.4.1.34 5.4.1.34 4 innehållerr följande ko orrigeringar och funktio onsförbättrin ngar relateraat den förra a ”SITHSreleasen” 5.3.0.28 Nyheter man ”serr” 1. Rättat fel i hur h “Eget na amn”/”Frien ndly name” sätts s av CS SPn och därrmed läses av t.ex. Internet Exp plorer. [[Ticket ID = RVG-4729 941] 2. Lagt till funkktion som kan k sätta “E get namn”/””Friendly na ame” dynam miskt basera at på ccertifikatsinnehåll. 3. O Om man kö ör XP och viill kunna vä älja mellan multipla m inloggningscerrtifikat vid Windows W inloggninge en medföljerr nu ett pakket ”1301” so om möjliggö ör detta. Vi kallar modu ulen för ””Net iD Log gon” och har funnits län nge men un nder annat namn. n Vi addderar här ffunktionalite et till Windo ows XP:s sta andard GIN NA såsom upplåsning aav kort föruttom den o ovan nämnda möjlighe eten att välja a mellan fle era olika cerrtifikat. O Om kortet är ä låst känns detta av o och en extra a knapp visas så att maan låsa upp p den b blockade PIN-koden med m sin PUK K-kod. 4. ””Net iD Log gon” innehåller även en n ”Credentia al Provider”. Det innebäär att om man m installerar ”1301”-pake etet på Wind dows 7 iställlet för XP så s tillförs ävven på denn na plattform funktionalitet som sakna as i Window ws egen Cre edential Proovider för sm marta kort. T T.ex. kan man m se antal PIN-försökk kvar, förän ndra ledtextterna, låsa uupp kort samt g grafiskt görra skillnad mellan m olika certifikat så å att man lä ätt ser ”vem man vill log gga in ssom”. Notera att du d måste sä ätta en GPO O för att Win ndows ska visa v mer änn ett inloggningsscertifikat: A Aktivera ”Tvvinga läsnin ng av…”: I just den insstallation bild den tagits från n har Windows inbyggda a certifikatsprropagering stängts av d då Net iD ha ar en egen inbyggd funktiion för detta ändamål Här ses en skärmdump som visarr det något akademiska a användninngsfallet attt fyra o olika person ner har stop ppat i sina S SITHS-kort i maskinen och där enn av dem ha ar tre ccertifikat attt välja mella an: S Se bilaga 5 för detaljerrade bilder. Nyheter ”under huven” 1. A Adderat inittialt stöd förr Apple Toke end. Möjligg gör bl.a. pålloggning meed smarta kort k under Mac OS X. 2. J Justerat Ch hangePIN-fu unktionen s å att det intte är möjligtt att avbrytaa PIN- b bytesprocesssen om ko onfiguratione en explicit kräver k PIN-byte. [[Ticket ID = BIG-59865 50] 3. Korrigerat NetControl-f N funktion förr Firefox närr Net iD SSO används [[Ticket ID = WAR-3798 850] 4. Utökat funk ktionaliteten i Net iD Wa atch för att kunna kombinera ”mattch”, ”message” och ””term” parametrarna. [[Ticket ID = [HGF-2196 604]. 5. Rättat ett problem med d “CertMove er” relateratt sökning av v inloggad aanvändare. [Ticket ID = CAQ-2226 689]. 6. A Adderat fun nktion för att kunna sättta “default certificate”. c 7. A Adderat fun nktion för att inte bara kkunna lista vilka kortläs sare Net iD ska arbeta med aldrig ska relatera till. (Accepted/D u utan även ange a vilka som s Net iD a ( Denied) Bra funktion n om man har h t.ex. ”sn narkanalysutrustning” som har en kkortläsare som s Net iD inte ska arbeta med d. 8. J Justerat fun nktionen förr parallell exxekvering av v kommand don i Net iD Watch [[Ticket ID = BOW-4219 902]. 9. S Stöd för “du ual-paket”, dvs. d Paket ssom innehå åller både 32- och 64-bbitarsversion nen av Net iD. 10. Infört möjlig ghet att begränsa vilka språk man ska kunna byta till [[Ticket ID = [JMP-1259 946]. 11. V Vissa av vå åra kunder använder a bä ärbara dato orer från Dell med en innbyggd SIM M- kortsläsare. Just denna a läsare är en PC/SC-läsare och den dyker ddärför upp i e enhetshantteraren unde er ”Smartko ortsläsare” och o den dettekteras därrigenom av v Net iD. S Se skärmdu umpar på nästa sida. D Detta kan i vissa v fall led da till att oöönskade meddelanden från Nett iD dyker u pp då det in nte finns några HCC påå SIM-korte et. A Alla SITHS--paket av Net N iD avsed dda för klien nter (1xxx-p paketen) harr därför konfigurera ats som så att a kortläsarren ”Mobile Broadband d SIM Card Reader 0” ignoreras i helt av Net iD. EEnhetshanteraren på en bärb bar Dell: Net iD på en bäärbar Dell: N JJämförelse med en bärbar HP P med SIM‐korttsläsare: Förtydligande om m varningen n för certifiikat som nä ärmar sig utgångsdat u tum. Funktionen för att varna v när ko ortets HCC närmar sig g utgångsda atum ser ut såhär: Viktigt a att veta om denna funk ktion är: V Varningen visas v endas st för certifikkat utgivna av a SITHS CA C v3 V Varningsgrä änsen är i SITHS-pake S eten satt till att varna nä är det är miindre än 30 dagar kvar på cerrtifikatets giltighetstid. Funktionen kommer attt behöva fö örfinas i sam mband med att certifikaat utfärdade e av S SITHS CA v4 v börjar utfärdas. Vi b ber att få åte erkomma med m detaljer kring detta. För att inte användare av reservko ort med korrtlivat HCC ska besväraas om ständiga vvarningar om o att det ärr 4-, 3-, 2-, 1-dag kvar är funktione en implemeenterad på så s sätt att ingen varning ges för certifikat c va rs totala gilttighetstid ärr mindre än dubbla värrdet på vvarningsgrä änsen (30 dagar). d Detta a innebär att a HCC på reservkort r eendast ger en e vvarning i de e fall giltighe etstiden är m mer än 60 dagar. d Eller annorlundaa uttryckt; ett HCC med en giltighetstid på å en vecka kkommer ald drig att ge någon varninng. 4. Pa aket inkluderrade i a avtalett mellan Telia aSonerra occh Inerra AB 1. 3 32 bit XP/Vissta/Windows s 7 utan SSO O aktiverat (1001) 2. 3 32 bit XP/Vissta/Windows s 7 med SSO O aktiverat (1101) 3. 3 32 bit XP/Vissta/Windows s 7 med Net iiD LOGON samt s SSO ak ktiverat (13011) 4. 6 64 bit XP/Vissta/Windows s 7 utan SSO O aktiverat (1001) 5. 6 64 bit XP/Vissta/Windows s 7 med SSO O aktiverat (1101) 6. 6 64 bit XP/Vissta/Windows s 7 med Net iiD LOGON samt s SSO ak ktiverat (13011) 7. 3 32 bit Windo ows Server 2003/2008/20 008R2 (Term minal Services s/Citrix) medd SSO aktive erat (2001) 8. 3 32 bit Windo ows Server 2003/2008/20 008R2 (Term minal Services s /Citrix) utann SSO aktive erat (2101) 9. 6 64 bit Windo ows Server 2003/2008/20 008R2 (Term minal Services s /Citrix) medd SSO aktive erat (2001) 10. 6 64 bit Windo ows Server 2003/2008/20 008R2 (Term minal Services s /Citrix utann SSO aktive erat (2101) 11. 3 32 bit Ubuntu (fungerar även ä på Red Hat och Fed dora) 12. 664 bit Ubuntu (fungerar även ä på Red Hat och Fed dora) Notera a att ”inkluderade” inneb bär att det ä r dessa pak ket som man automatisskt har tillgå ång till så snart man införskaffat organisations förstta SITHS-ko ort med HCC. Licens föör alla olika moduler ingår i ”25-kronan” men dessa a måste pakketeras särs skilt för varje kund då dde inte kan göras generiska. Paketen n samt inforrmationsdok kument finn ns upplagda a under SITHS på www w.projektplattsen.se. 5. Infformattion om m de ollika pa aketen Filnamn SSO Version F Format Kom mmentar För 32-b bitars Windows-klienter, Windows W XP P, Windows Vista V och Windows 7 1 iidsettup_svr1001.zip p Nej 5.4.1.34 exe 2 iidsettup_svr1101.zip p Ja 5.4.1.34 exe 3 iidsettup_svr1101.mssi Ja 5.4.1.34 msi 4 iidsettup_svr1301.zip p Ja 5.4.1.34 exe För klienter k där SSO O ej är önskvärt//behövs. Detta a paket är det de e allra flesta anvvänder för sina klienter. k Samm ma som paket 2 men som MSI.. Notera att du intte kan uppgrade era från exe till MSI. Initierra avinstallation på exe-versionnen och skjut ut MSI. MSI-paketen kan helleer inte uppgraderas utan föregående avinsstallation av d version. Se biilaga 1. befinttlig MSI-baserad Nytt paket p med Net iD LogonN sam mt SSO. För mer information om detta d paket se ppunkterna 2 och 3 i kapitel 3. För 64-b bitars Windows-klienter, Windows W XP P, Windows Vista V och Windows 7 5 iidsettup_svr1001.zip p Nej 5.4.1.34 exe 6 iidsettup_svr1101.zip p Ja 5.4.1.34 exe 7 iidsettup_svr1301.zip p Ja 5.4.1.34 För klienter k där SSO O ej är önskvärt//behövs. Inte så s ofta nyttjat men med Window ws 7 så blir det frramgent vanliga are med 64-bitarrs klienter. s ofta nyttjat men med Window ws 7 så blir Inte så det frramgent vanliga are med 64-bitarrs klienter. Nytt paket p med Net iD Logon samt S SSO. För mer information om detta d paket se ppunkterna 2 och 3 i kapitel 3. För 32-b bitars Windows Server 20 003 7 iidsettup_svr2001.zip p Nej 5.4.1.34 exe ägen där SSO ej e är önskvärt/beehövs. För För lä terminalservrar med eller utan Citrixx 008, se bilaga 4) (W20 8 iidsettup_svr2101.zip p Ja 5.4.1.34 exe För te erminalservrar med m eller utan C Citrix (W20 008, se bilaga 4) För 64-b bitars Windows Server 20 003 iidsettup_svr2001.zip p Nej 5.4.1.34 exe För lä ägen där SSO ej e är önskvärt/beehövs. För terminalservrar med eller utan Citrixx 008, se bilaga 4) (W20 10 iidsettup_svr2101.zip p Ja 5.4.1.34 exe För te erminalservrar med m eller utan C Citrix (W20 008, se bilaga 4) 9 För Ubu untu 11 iidsettup.tar.gz * 5.3.0.28 tar.gz addas upp inom kort. 32-bitars. 5.4.1.34 la 12 iidsettup.tar.gz * 5.3.0.28 tar.gz addas upp inom kort. 64-bitars. 5.4.1.34 la det på Linux är i dagsläget inte lika omfattande e som på Windo owsplattformen * SSO-stöd MSI Notera a att ”Paket 2” 2 ovan även levereras i MSI-form mat som ”Pa aket 3”. För att få tillgån ng till andra, kkundanpasssade paket i MSI-forma at krävs sup pportavtal och o det utgåår en mindre e paketete eringsavgiftt. 6. Pa aketens nam mnsättn ning Paketen ns koder ha ar tidigare ha aft formen ””SVR000x”.. Från Net iD 5.2 ändraades detta för f att lättare kkunna identtifiera ett unikt paket. N Nu används alltid två eller tre boksstäver för att identifie era kunden och o detta fö öljs av fyra ssiffror för attt beskriva paketets p innnehåll. Exempe el: Första ssiffran ange er om det ärr ett paket a avsett för klienter eller servrar s enliggt följande: 1= Klien ntpaket 2= Servverpaket Andra ssiffran anger vilka tilläggskompone enter som fiinns i paketet. Kombinaationerna är enligt följande e: 0 = Inga e extra moduler finns med i pa aketet. 1 = Pakettet har ”SSO” aktiverat, dvs. ”PIN-cache” funktionen ärr påslagen. 2 = Pakettet har Net iD LOGON inkluderat. På XP en pass-throu ugh-gina, i Win ndows 7 en Crredential Prov vider 3 = Pakettet har både SSO S och LOGON aktiverat. 4 = Pakettet installerar Net iD Minidriv ver för använd dning med Mic crosoft Smart Card Base CS SP 5 = Pakettet installerar både b SSO och h Net iD Minid driver för anvä ändning med Microsoft M Smaart Card Base CSP 6 = Pakettet har både Net N iD Minidriv ver och LOGO ON 7 = Pakettet har Net iD Minidriver, LO OGON och SS SO 8 = Oanvvänd 9 = Speciial Nedan vvisas två exxempel, ett helt ”rent” p paket utan extra e funktio oner och ettt med SSO aktiverat. Tredje o och fjärde siffran s är kun ndspecifik o och används som räknare för att aange pakete ets löpnummer. Löpnu umret är vikttigt för att s kilja två verrsions- och komponenttlika paket från f varandrra men där någon anna an mindre ju ustering gjo orts. T.ex. om någon läänk pekat fe el i första bygget. Se exempe el nedan. 7. Ne et iD SSO S Låt oss först slå fasst att Net iD D:s SSO fun nktion inte handlar h om att ge singlee-sign-on till applikattioner som kräver k namn och lösen nord. Net iD:ss SSO-funkttion ser till att a PIN1 inte e behöver slås s varje gå ång en opeeration görs där det nyckelp par som hör samman med m PIN1 an nvänds. T.e ex. slipper en e användarre som logg gar på sin dator med kortet an nge PIN1 ig gen när Inte ernet Explorrer används s för att loggga på e-Dos s. Observe era att det finns f applika ationer som m explicit krä äver PIN alldeles oavseett detta, t.e ex. Microso ofts VPN-klie ent. 8. An nvända a kort på p en 6 64-bita arsvers sion avv Wind dows I samba and med pla anering av en e övergång g till Window ws 7 tittar många m ävenn på att växla över från en 32-bitarspla attform till en e 64-bitars för sina klie enter. På se erversidan äär det redan n idag vanligt a att det är 64 4-bitarsvers sionen av W Windows Serrver 2003 som körs. I båda d dessa samm manhang ärr det viktigt att känna till att man i vissa v lägenn behöver in nstallera både 32 2- och 64-biitarsversion nen av Net i D. - 6 64-bitarsversionen av Net iD behö övs om man n vill kunna göra en koortpåloggnin ng mot o operativsysstemet - 3 32-bitarsversionen av Net iD behö övs för att 32-bitarsapp 3 plikationer ssom t.ex. Internet Explorer occh Adobe Re eader ska kkunna användas med korten k och därefte Installerra därför förrst 32-bitars sversionen o er 64-bitarsv versionen o m du vill ha a kort/cerrtifikatsstöd för både OS-inloggnin ng och Intern net Explore er 32-bit. Kunder med suppo ortavtal kan beställa sä ärskilda ”dua al-paket” so om installeraar båda verrsionerna av Net iD. Notera a att i Net iD 5.4.1.34 så å finns ingen n koppling mellan m 32- och o 64-bitarrsversionern nas SSOfunktion nalitet. Gör du d en kortpåloggning i Windows 7 64-bit så aktiveras a SS SO-funktion nen för 64-bitarrsapplikation ner. Startarr du då 32-b bitars Internet Explorer så behöve r du ange PINP koden. Detta betee ende kommer dock att förändras framgent. f 9. På å ritborrdet etrevare Intresse Arbetar du med utffärdande av v kort och a nvänder Ne et iD Administration förr att kontrollera vilka certifika at ett visst ko ort innehålle er? Blir det många hög gerklick på Net N iD per ddag? Då kanske ”Net iD Gadg get” kan varra intressan nt? Här ned dan ser du en e skärmdu ump från en dator med ett SITHS-kort i den ena kortläsaren och ett personalise erat SITHS reservkort i den andra a. man muspekkaren över ett certifikatt visas inne ehavarens namn n samt oorganisation. Håller m Om man klickar på å namnet eftter certifikattssymbolen n öppnas ce ertifikatet. N otera att i ju ust denna konfigurration av Ne et iD Gadge et visas end dast inloggn ningscertifikaten. Certiffikaten för underskrift döljs. Net iD 5 5.5 Vi är förrstås redan i full färd med m nästa ve ersion av Net N iD som kommer k att heta 5.5. I denna release har vi lycka ats justera certifikatsva c alsdialogen i Internet Explorer. I 5..4 är det ju ”bara” själva in nloggningsb bilden som kan k ges ett unikt utsee ende. adderar vi stöd s för nya kort, utöka ar stödet krin ng RFID m.m. Vidare a 10. K Kortläsare SecMake er tillhandahåller ett brettt sortiment a av marknad dsledande ko ortläsare för olika o typer avv krav. Sortimen ntet presente eras i separa at bilaga. Kortläsarna finnas attt avropa på statliga rama avtal via våra a partners. 11. T Tillbehö ör SecMake er har även ett e heltäckan nde sortimen nt av korttillbe ehör. Exempel: Korthållare Lanyards ngar Fästanordnin Yoyo’s Y Sortimen ntet och prise erna presentteras i separa at bilaga. 12. S Supporrtavtal Net iD D Ett supp portavtal ge er tillgång till SecMakerrs tjänster fö ör felavhjälp pning enligtt vald SLA-n nivå. Nedansstående mattris visar vå årt erbjudan de. Net iD S Supportmattris Silver Gold Platin num 1, 2 eller 3 år å 1, 2 eller 3 år 1, 2 elle er 3 år 16 timmarr 10 0 timmar 4 timmar Åtkomstt till webbase erat supports system Ja Ja Ja a E-postsupport Ja Ja Ja a Telefonssupport Nej Ja Må-fr 9.00–17.00 Ja a Må-fr 8.00–18.00 Åtkomstt till kunskap psdatabas Nej Ja Ja a Möjlighe et till felsökniing via distansu uppkoppling Nej Ja Ja a Möjlighe et till felavhjä älpning på pla ats hos kund Nej 1 Vecka 48 tim mmar Tillgång g till chatt via supportsystem Nej Nej Ja a Må-fr 09.0 00–12.00 Nej Nej Ja a Nej Nej Ja a Automa atisk prioriteriing av ärenden Nej Nej Ja a Utökad tillgång till occh diskussion kring Net iD p produkt-roadmap Nej Nej Ja a Avtalspe eriod Svarstid d på ärenden n Möjlighe et att teckna paket för tilläggsu upport utöverr ordinarie supportttid Utbildning & certifierring av adminisstratörer * Specifika ka villkor kopplad de till supportma atrisen ovan är definierade i Se ecMaker's supportavtal. Kontaktta gärna Se ecMaker för mer inform mation om su upportavtal.. Växjö den 8 oktobe er 2010 Digitally signed by Jonas Öholm Date: 2010.10.08 18:37:25 +02'00' SecMakker AB 13. B Bilaga 1 - Installera a, uppg gradera a och a avinsta allera Grundp paketet i ex xe-format Installattion av Net iD kan ske på flera olikka sätt. I mindre piloterr eller för ennskilda teste er användss ofta grund dpaketet i exe-format. e Alla pakket har nam mnet ”iidsetu up.exe”. ZIP P-filen som exe-filen e finns i döps d ock så att man m kan se vilken kunds paket det är och o vilken tyyp av paket det rör sig om. Se avssnitt 5 om pa aketens namnsä ättning. Om man är osäkerr på ett pake ets innehåll kan man packa p upp det och konttrollera inne ehållet med följjande komm mando: iidsetup p.exe /c /t:c::\unpack Öppnarr man sedan n filen iid.cfg g ser man d direkt vilket slags paket det rörde ssig om: att välja ”Ege enskaper” för f filen iidcssp.dll: Versionsnumret hitttar man t.ex. genom a Observe era att iid.cffg i själva paketet inte innehåller versionsnum v mret, det skkrivs under installattionen. Då ser s den installerade iid .cfg’s [Insta all]-sektion ut u t.ex. såhäär: Installe era ett exe-baserade paket p Dubbelkklicka på iid dsetup.exe och o följ guid den. Pakete et kan även installeras tyst med vä äxeln /Q. Uppdattera ett exe e-baserade paket Net iD:ss exe-baserrade paket stödjer s uppg gradering till ny version n. Uppgradeering från en e exebaserad d version tilll högre exe--baserad ve ersion kan ske s tyst. I alla ge enerella ”SIT THS-pakete eringar” sättts paramete ern ”MergeO OldConfig” ttill 0. Detta säkerstä äller att man inte ärverr gamla pakkets inställniingar utan det d är det nyya paketet som s bestämmer. Nottera att uppd datering från eventuell be taversion intte supportera as under någgra omständiigheter. Avin nstallera alltiid en sådan version v innan n skarp version installera as. Man n kan inte he eller uppdate era från den e exe-baserad de installation nsfilen till en MSI-baserad d eller tvärrtom. allera ett ex xe-baserad de paket Avinsta Avinstallation av exe e-baserade paket kan se via Kontrollp panelen – Lägg till/Ta borrt program elller från komman ndoraden: iid.exe --uninstall Avinstallationen kan även ske i ty yst läge via fföljande kommandon: iid.exe --uninstall -ssilent (Kommerr att misslycka as om använda aren inte har lo okala adminis stratörsrättighe eter) iidxcmt.exe -uninsttall -silent (Använda aren kan få en n fråga från UA AC om lokala a administratörs srättigheter sa aknas) Paket i MSI-forma at Av de generella ”SITHS-paketten” är det e endast det paket p som är ä avsett fö r 32-bitars WindowsW klienter och som ha ar SSO aktiiverat som llevereras i MSI-format. Önskass andra pake et i MSI-form m måste su upportavtal tecknas sam mt en paketteringsavgifft erläggas per unikt paket. Nottera att uppd datering från eventuell be taversion intte supportera as under någgra omständiigheter. Avin nstallera alltiid en sådan version v innan n skarp version installera as. Man n kan inte he eller uppdate era från den e exe-baserad de installation nsfilen till en MSI-baserad d eller tvärrtom. Att insta allera MSI-p paketet, ”iids setup_svr1 101.msi” ka an förstås ske genom aatt dubbelklicka på filen och h följa guide en. Men me era vanligt ä är förstås attt trycka ut paketet p via något av fö öljande konceptt: V Via GPO:err Med hjälp av a Microsoftt SCCM (nyya namnet på p SMS) Eller genom m att använd da någon 3 -parts produkt såsom; ”Specops D Deploy” elle er ””ZenWorks”” MSI-pakketet skjuta as ut tyst me ed Q-flagga an. SecMakkers MSI-pa aket stödjerr inte en inte egrerad avin nstallation av a tidigare vversion. Man måste därför fö örst initiera en avinstallation av de en äldre verrsionen och därefter läggga på den nya. 14. B Bilaga 2 - Nyttt konccept för unde erskrifte er n är denna: Tanken Alla har vi väl en pärrm med viktig ga papper. A Avtal och ann nat som vi anar kan vara vvärda att spa ara på om det blir n nåt strul. Ibland original och ibland en n kopia på de et original som m ens motpaart sitter på. De som inte har e en sådan pä ärm har säkert en ”hög” s om borde sä ättas in i en pärm. p I takt m med att mer och o mer görs med d datorns hjä älp gissar jag g att folk börjjar ha en ma app med ”extra viktiga sakker, kvittense er och annat”. P Problemet ärr att när man gjort nåt på nätet är det inte sällan kvittensen k baara är en lång g sifferkom mbination visad på webbs sidan. I bästa a fall en PDF F. Gäller det avtal eller dyylikt brukar det ofta sluta me ed att man får printa ut oc ch skriva und der. I yrkesliv vet blir det förstås lika vikktigt att ha ko oll på vem/vad d/när. I såna här scenario on är det flera a parters intrressen man vill v ta tillvara:: Den som mo ottar handling gen vill ibland d vara väldig gt säker på vem som läm mnat in h handlingen/a avtalet utan att a för den skkull behöva avstå a från attt; a) Bygga eett trevligt inte eraktivt fformulär b) Ta T emot inforrmationen på å ett sådant sätt s att det lä ätt kan bearbbetas maskin nellt. Den som skiickat handlingen vill ha e n exakt kopia på vad man lämnat in, inte bara en skruttig kkvittenssträn ng. Man vill också o slippa lämna webbapplikationens flöde för aatt signera PDF-en P m manuellt utanför webbläs saren och se edan göra up pload. Riksarkivet (och ( Landstin ngens egna a arkivarier) so om gärna ser att handlinggar som ska llångtidslagra as är i formattet PDF/A Om vi ta ar exemplet med m Lex Marria-anmälning gar (utan att för den skull begränsa ooss till just de etta exempell. Konceptet kan använda as till allehan nda olika tillä ämpningar). Såhär S skrive r Socialstyre elsen på sin hemssida: Det är vårdgivaren, dett vill säga den som är yttersst ansvarig för vården, som är skyldig att aanmäla hände elsen till Socialstyrrelsen. Varje vårdgivare v ska a utse en särsskild person so om ansvarar för fö att anmäla händelser enlligt lex Maria. På å sjukhusen an nsvarar ofta ch hefläkarna förr lex Maria-anm mälningar. I ko ommunerna hhar de medicin nskt ansvariga a sjuksköterskkorna ansvarett. Om det på e en privat motta agning bara fin nns en enda yyrkesutövare, som samtidigt är ansvarig fö ör vården, är hon h eller han i lagens menin ng att betrakta a som vårdgivaare och därme ed anmälning gsskyldig. Den n ansvarige sk ka göra en an nmälan på en särskild s blankett för lex Marria-anmälan i PDF-format P eller blankett för lex Ma aria-anmälan i Word-format. t. Blanketten ska s skickas till Socialstyrelseens tillsynsreg gion tillsamma ans med verkssamhetschefen ns interna utre edning,eventu uell händelseanalys, patienteens journalhan ndlingar, redogörellser från hälso o- och sjukvård dspersonal so om varit med om o händelsen, patientens bbeskrivning av händelsen tekniska ffakta om en medicinteknisk m k produkt har a använts i samb band med hän ndelsen. Det är allltså bara den som respe ektive vårdgivvare utsett so om har rätt att a anmäla. Poängen n är alltså: S Serverside få år in data som kan använ ndas för att visa v vem som m lämnat in. Datat kan får både som underteckna u d PDF och ”i lösvikt” f direkt ett eget ex av o orginalet som m ”kvittens” Inlämnaren får b glada om det är PDF//A Riksarkivet blir ellt filhanteran nde vid skap pandet av underskriften Inget manue gga både ett PDF-formulä är eller ett webbformulär, funkar lika bbra. Man kan byg gnserver.eastt.cybercom.s se:8080/SosS Sign/ http://sig 1. Adderra de två SIT THS-rötterna, både test o och prod. (Ba ara att klicka, öppna och ssen klicka på å Installera a-knappen och följa guiden) 2. Sätt ig gång (Kom ih håg att demo on bara är prreparerad förr skarpa SITH HS-kort. Om det tar lite tid så ha lite tålam mod, servern har inte full produktionssstatus) Om ni vill ha mer info ormation om vad som be ehövs på serv verside konta aktar ni Markkus Nöu på Cybercom, C markus.n [email protected], 0705-26 75 06. På klienttsidan behövver lägst ha man m Net iD 5 5.3.x.x 15. B Bilaga 3 - Nyheter i Net iD D 5.3.0 0.28 5.3.0.28 8 innehöll fö öljande korrrigeringar occh funktions sförbättringa ar relaterat den tidigare e ”SITHS--releasen” 5.2.2.32 5 Nyheter man ”serr” O Om ett kort utan u HCC sä ätts i kortläsa aren (och ma askinen kör den gemensaamma ”SVR--releasen” a av Net iD) ge es ett medde elande: Detta medde elande ges ej e på en datorr där ett annat kort med HCC H använtss under sam mma iinloggning, t.ex. när en LRA L arbetar m med reservkort. F Funktionen är ä just nu kop pplad till den n gemensamm ma licensnyc ckeln. Dvs. K Kundunika pa aket med e egen licensn nyckel ger ing get meddelan nde. I komm mande releaser övervägerr vi att göra denna d ffunktion tillgä änglig även i kundunika p paket oavsettt licensnycke el. Funktionen för f att varna när HCC närrmar sig utgå ångsdatum har h ändrats: V Varningen visas nu enda ast för certifikkat från SITH HS CA v3. De et är de som är primärt in ntressanta a att veta när de d närmar sig utgångsda atum. I komm mande releas ser övervägeer vi att utöka a denna ffunktion för att a ”bevaka” e-legitimatio nen, HCC oc ch eventuella a egna certifiikat med möjjlighet att h ha olika varn ningstid för olika certifikatt. Dessutom är ju en SITH HS CA v4 påå ingång så en e smärre ffunktionalitettsutökning be ehöver görass. JJusterad anvvändning av SITHS-korte ens “Token Label”. Detta påverkar ettt flertal dialog ger. Nedan vvisas två exe empel. SSåhär: IIstället för såhäär: SSåhär: IIstället för såhäär: Nyheter ”under huven” Korrigerat installatione en för att sä kerställa attt “Certificate e Mover” (fuunktionen som flyttar ccertifikat frå ån kortet till Windows e eget certifika atslager) allltid startas ddirekt efter installation samt justerringar för ökkad effektivitet Flera olika justeringar j för ökad inl äsningshas stighet av Net iD:s konffiguration Löst problem med multipla kortlässare och SS SO e konfigura ationsparam meter som förhindrar f attt kortets ceertifikat ham mnar Inkluderat en b bland ”dato orcertifikaten n”. Nu kopie eras certifikaten på SIT THS-kortet eendast till a användaren ns eget certtifikatslagerr. (Är bl.a. viiktigt om ma an kör Microosofts inbyg ggda V VPN-klient)) M MyStore C Computer 16. B Bilaga 4 - Info ormatio on om Windo ows Se erver 2008 2 ar från Micro osoft testas s löpande i ttakt med attt de görs tilllgängliga. Fixa Net iD ffungerar utm märkt att använda i en domän med d Windows Server 20008 (32- ellerr 64bitars) e eller Window ws Server 2008 2 R2. Du u kan även använda nå ågot av ”iidssetup_svr20 001.zip”paketen n på en 200 08-baserad CA-server fför att göra Net iD – CS SP tillgängliig då du ska apar egna templates. Problem men finns nä är man arbe etar med tjä änsten som ersätter tjänsten Remoote Desktop p Services. Intermitte enta felmed ddelande up ppstår och är ä man fler än ä en använndare upps står en hel del prob blem med sessioner so om kopplas ner till syne es helt okon ntrollerat. SeecMaker ha ar kunnat konstate era att man får dessa fel f även om m man inte använder a Ne et iD utan eendast Micro osofts egen inbyggda CSP. Problem men har nu kunnat återrskapas hoss Microsoft: 1. Two u users reconnect at exactly the same ttime – one off those users s pulls the sm martcard and d both users ge et disconnectted. This is confirmed c witth both the Base B CSP and Secmakerr’s CSP. 2. User logs on to TS S via RDP – logs off – log gs on again via v RDP – disconnects – reconnect and a gets into a loo op where the e session is always a disco onnected imm mediately afte er authenticaating. This is s confirme ed with the Base CSP and Secmaker’’s CSP. 3. Two u users connecct and reconn nect several times at exa actly the same time – at ssome point we w get to the pointt where the smartcard s reader is asso ciated with more m than on ne session annd when the credential tile is enumerated at the login scrreen you gett the tile for the smartcard d inserted intto both the correct c machine e and the smartcard of the e reader inse erted into a different d clien nt machine. This does no ot change the unde erlying security structure and you still need the co orrect PIN to log on usingg that smartca ard. This repros w with both Basse CSP and Secmaker’s S C CSP but the exact results from attem mpting authen ntication using the e ‘incorrect’ credential c tile e differ. All of the ese scenarios have the same underlyying root cause; the refere ence to the m mapped sma artcard reader g gets into a ba ad state so th hat it is assocciated with an incorrect session. s #1 occurrs when one of the sessio ons gets asssociated with the mapped d smartcard rreader on the e other workstattion – therefo ore the session gets disco onnected wh hen the card inserted intoo that reader is removed d. It does nott make any security s asso ociation between the two users or the two session ns. #2 occurrs because th he reader in the session gets associa ated with the previous insstance of the e reader that had the card rem moved. #3 occurrs when one of the “temp p” sessions th hat a connec cting user gets at the logiin screen getts associatted with the mapped m sma artcard reade er on the othe er workstatio on – thereforee the session n “sees” s it enumerrates multiple e smartcard credential c tile es. It does nnot make any y security multiple smartcards so associattion between the two users or the two o sessions ev ven if it enum merates the loogon creden ntial tile on the temp porary login screen. s Följande e ärenden finns f registrrerade: C Case 110031846614907 7 Bug regard ing “TS Disc connect” C Case 110032 2457648914 4 W2K8 Prob blem with the e mapping of the smart caard reader 17. B Bilaga 5 – Ne et iD LO OGON N Blekinge e läns lands sting / Dalarrnas läns lan ndsting / Gä ävleborgs lä äns landstin ng Hallands s läns lands sting / Jämtlands läns l andsting / Jönköpings J läns landstting Kalmar läns landstiing / Kronob bergs läns la andsting / Norrbottens N läns landstting äns landstin ng / Stockho olms läns la andsting / Sö ödermanlands läns land dsting Skåne lä Uppsala a läns landsting / Värmlands läns la andsting / Västerbotten V ns läns land dsting (svårt att få tag i en bra a logotyp från Uppsala men det ska vi ord dna i nästa release) Västernorrlands län ns landsting g / Västmanllands läns landsting / Västra V Götallands läns la andsting Örebro läns landstiing / Östergötlands läns s landsting / Gotlands kommun k (Gotlandss läns landstin ng upphörde 1970 och desss uppgifter ligg ger numera Go otlands kommuun. Ny logotyp p från 1/1 2011) Vaggery yds kommun n / Karlstad kommun / IInera AB 18. B Bilaga 6 – Firrefox Även om m Internet Exxplorer fortfarrande är den n dominerand de webbläsarren hos kom mmuner och la andsting användss webbläsare en Firefox på sina håll. De et finns dock k en del detaljer som är bbra att känna till om Firefox n när man anvä änder den tillsammans m med smarta kort k och Net iD. i PKCS#11 – Firefo ox och Net iD, hur kop pplas de sa amman? Installera a alltid Firefo ox före Net iD D. Net iDs insstallationspro ogram detekterar Firefoxx och kopplarr samman webbläsaren med Ne et iDs PKCS#11-interface e. Filen som m uppdatera as i Firefox he eter secmod .db. C:\Users\\jjonoho\AppD Data\Roaming\Mozilla\Firefo ox\Profiles\3rjg g5rxa.default\s secmod.db Se även: http://kb.mo ozillazine.org g/Profile_fold der_-_Firefox x Innan Nett iD installerats Efter att N Net iD installeraats och kopplatt Firefox till Neet iDs PKCS#11‐‐interface * Notera attt i ett paket utan SSO är det PKCS#11-modullen som pekas ut. u Men det räcker tyvärrr inte med ov vanstående enkla regel. Hopkoppling gen mellan F Firefox och Net N iD är inte gene erell utan ske er bara för den användarre som installlationen körs s under. Alltså be ehövs en justterad instruktion: 1. Installera Firrefox inlogga ad med admin nistratörsrätttigheter på datorn 2. Installera därefter Net iD inloggad me ed administra atörsrättigheter på datornn 3. O Firefox så fin Om nu någo on ny använd dare kommerr till datorn oc ch loggar på och startar F nns inte kkopplingen där d utan mås ste göras om m för den användaren. Inte e bra, men ssant. Det finn ns tre sätt a att aktivera kopplingen k mellan m Firefoxx och Net iD; Arkiv – Instä a a) Öppna Ne et iD Adminis stration, välj A ällningar och tryck ”OK”, vväntar till dett ”snurrat” kklart. Nu harr kopplingen gjorts för alla a Firefox-pro ofiler som den n inloggade aanvändaren har. b b) Öppna en n lokal fil prep parerad för a att lägga till PKCS#11-mo P odulen på rättt sätt cc) Manuellt via v Firefox grränssnitt. Re ekommenderas dock inte då kopplingeen görs på ett e felaktigt ssätt som resulterar i att man m måste s lå både PIN1 1 och PIN2 fö ör att t.ex. loogga på en webbsida. w Firefox prrofiler finns i: %APPDA ATA%\Mozilla\\Firefox\Profile es\xxxxxxxx.de efault\ %APPDA ATA% är kortfo orm för mappe en: C:\Users\\<användarnamn>\AppData a\Roaming\ (W Windows 7) eller C:\Docum ments and Setttings\<använd darnamn>\App plication Data\\ (Windows XP P) (<använd darnamn> hän nger samman med namnet p på ditt använd darkonto i Windows) Den versio on som använd des för skärmdu umpar och testt ovan var: Certifik katsval i Firrefox Hur certiifikatsvalet ser ut i Interne et Explorer n när man t.ex.. ska logga på p SITHS Sjäälvadministra ation vet de flesta a som arbetar med kortutffärdande: Använde er man samm ma kort i Fire efox ser det u ut såhär: Förutom m att dialogen n är ett bra ex xempel på fe enomenet ”av v ingenjörer för ingenjöreer” så är logik ken bakom behäftad d med ett fel som gör att kort som rym mmer flera po otentiella inlo oggningscerttifikat så är det inte alls säkert attt de visas allls av Firefox x. Det beror p på att Firefox x inte hantera ar det faktum m att flera cerrtifikat kan ha samm ma ”label”. Se ecMaker arb betar tillsamm mans med Cy ygate för att hitta en lämpplig lösning på p detta. 19. B Bilaga 7 – Cittrix Detta är inte platsen för en fullstä ändig genom mgång av Citrrix alla produ ukter och hurr de fås att fu ungera med SIT THS-korten och o Net iD. Men M viss basiinformation kan k vara på sin s plats. Access Gatteway Citrix A Citrix Acccess Gatewa ay är en fam milj av SSL VP PN-enheter som s leverera ar säker tillgåång till alla applikationer med po olicy baserad d SmartAcce sskontroll. Med M Access Gateway G får företag och organisa ationer kostnadseffektiva möjligheter att möta krav ven på applikationsleveraans oavsett plats, mö öjliggöra flexxibelt arbete, förenkla outtsourcing och h tillgång för externa anvä vändare samtidig gt som högsta a nivå på info ormationssäkkerheten bib behålls. För att kkunna använd da Access Gateway G med d smarta kortt behövs Adv vanced eller Enterprise Edition. E Via SecMake ers återförsä äljare kan fas stprispaket kö öpas för att konfigurera k lösningen påå rätt sätt tillsammans med SIT THS-kort. Såhär ka an det se ut ”live” ” Oansluten n Menyn i aktivitetsfältet Uppkoppling – steg 1 (Internet E Explorer kan kon nfigureras så attt certifikatsvalsd dialogen kan undertryckas i de fall bara ett valbbart certifikat fin nns) Uppkoppling – steg 2 Tyvärr lisstas här alla certifikat som m finns i MyS Store. Detta är en detalj vi v diskuterar med Citrix då d det kan upplevass som onödig gt att återigen behöva vä älja certifikat och denna gång g dessutoom bland flerr än ett. Laddar sid dan Inloggad m med publicerad de applikatione er tillgängliga ooch Outlook sta artad i ”seamless”‐läge Den versio on som använd des för testet ovvan var: Citrix X XenDesktop p Citrix Acccess Gatewa ay är en fam milj av SSL VP PNenheter som levererarr säker tillgånng till alla applikationer med po olicy baserad d SmartAcce sskontroll. Med M Access Gateway G får företag och organisa ationer kostnadseffektiva möjligheter att möta krav ven på applikationsleveraans oavsett plats, mö öjliggöra flexxibelt arbete, förenkla outtsourcing och h tillgång för externa anvä vändare samtidig gt som högsta a nivå på info ormationssäkkerheten bib behålls. Via SecM Makers återfförsäljare kan n fastprispakket köpas för att konfigure era lösningenn på rätt sättt tillsammans med SIT THS-kort. an det se ut ”live” ” Såhär ka Under ansslutning Uppkopplingen sker med d hjälp av korte et och PIN‐dialoogen visas bara a om PIN inte a angetts tidigaree de applikatione er Publicerad Uppkoppling mot publice erad applikatio on Citrixpro ogrammet pnamain.exe hör h till katego orin program som automa atiskt väljer ”ddefault certifficate” (Standarrdbehållare) även om korrtet innehålle er flera poten ntiellt valbara a certifikat (anndra exempe el är runas.exxe, MS VPN--klient och ne et use). Om ””fel” cert råka ar vara defau ult går det fe l och Citrix visar v rött men säg ger inget om varför. Men det finns ett vapen: Net iD:s i funktion för att sätta defaultcertifikat per applikation. Bra att veta v när pålog ggningen ofö örklarligt misslyckas… När det g gäller möjligh heten att slip ppa en extra PIN-inmatnin ng när man går g mot Citrixx-servern giv vet att man loggat på å Windows med m sitt kort så ser det i sskrivande stu und ut såhär: F Från Windows Windows Windows Windows XP XP 7 7 Till Citrix på Win ndows Serverr 2003 Citrix på Win ndows Serverr 2008/2008 R2 R Citrix på Win ndows Serverr 2003 Citrix på Win ndows Serverr 2008/2008 R2 R R Resultat Fung gerar Fung gerar Fung gerar inte, PIN N måste anges s igen Fung gerar inte, PIN N måste anges s igen Vi arbeta ar tillsamman ns med Citrix x för en lösniing på det ov vanstående. Den versio on som använd des för testet ovvan var: Här ses ett SITHS‐kort däär ”inloggnings‐HCC:t” är defaault nnat SITHS‐kortt där det ”interna” certifikatett är default Här ett an 20. B Bilaga 8 – Microsofft VPN SITHS-kkorten fungerrar bra med den d i Window ws inkluderade VPN-klien nten. Vissa ddetaljer är do ock lite märkliga a men känner man till dem m går de att hantera. enkel och rättfram. Konfigurration och an nvändning av v klienten är e Menyn förr att koppla up pp VPN efter på åloggning och m motsvarigheten n innan Window ws‐inloggning sskett: VPN‐klientens PIN‐dialogg: ent Bra att kkänna till om MS VPN-klie A) Om man n slår fel PIN--kod så försö öker ändå kliienten att koppla upp sig, efter mångaa långa seku under kommer meddelande et om att det var fel PIN-kkod. Lite märklig ordning då PIN-kodeen inte valide eras på VPN-serrvern utan lokalt. B) program som Även Miccrosofts VPN N-klient hör till kategorin p m automatisk kt väljer ”defaault certificatte” även om korte et innehåller flera potentie ellt valbara ccertifikat (and dra exempel är runas.exee, pnmain.ex xe och net use). Om m ”fel” cert rå åkar vara deffault går det ffel. Tyvärr ärr Microsofts VPN-klient V ggjord på ett sådant sätt att man inte kan använda Net iD::s funktion fö ör att sätta ”d default certifik kat” per appllikation. Man n får helt enkelt se e till att ha uttfärdarrutinerr som ser till att ”rätt certiifikat” blir ”de efault certifikaat”. Notera den n vilseledande formuleringen f i felmeddelandet f t. Det sägs att certifikatet c är ogiiltigt. Det är det inte alls, det är inte betrott för uppkop ppling mot just denna d VPN-Serv ver, men det är inte samma sak som ogiltigt.
© Copyright 2024