Page Comparison

Utgangspunktet for en bedriftsløsning er at smartkort med sertifikater skal benyttes for å logge seg på, gjennomføre elektronisk identifiseringer og signeringer, evt kryptering/dekryptering, i bedriftens IT-systemer – interne og eksterne.

For at smartkort skal fungere må eksisterende infrastruktur være oppdatert med følgende komponenter: 

• Buypass Access Manager - LRA-klient – programvare som utsteder og administrerer sertifikater for bedriftens brukere fra lokal CA og Buypass CA
  
• Smartkort med Buypass chip som kan inneholde kombinasjonen av lokale og kvalifiserte sertifikater
• Lokal MS CA (Microsoft Certificate Authority) med tilhørende CRL (Certificate Revocation List)
  • Lokal CA utsteder lokale sertifikater som kan benyttes internt i bedriften
  • CRL er en liste over sperrede lokale sertifikater
  • Alle PCer og terminaler må ha tilgang til CRL
• Lokal MS AD (Microsoft Active Directory) for administrasjon av bedriftens brukere
• Åpning mot Buypass CA med tilhørende CRL'er (Certificate Revocation List)
  • Buypass CA utsteder kvalifiserte sertifikater som kan benyttes internt i bedriften eller eksternt mot lukkede fagsystemer eller åpne tjenester
  • CRL er en liste over sperrede kvalifiserte sertifikater      

• Buypass Access Enterprice – programvare som kommuniserer med smartkortet. Programvaren installeres på PCer, terminalservere og eventuelt andre servere hvor smartkort skal benyttes. Programvaren omtales også som en CSP (Certificate Service Provider)

• PC-er og/eller terminaler må ha tilkoblet kortleser for smartkort

Buypass Access Manager - LRA-klienten

LRA-klienten installeres på en PC (LRA-PC) som befinner seg på egnet området hindret for innsyn direkte på skjermen pga brukerinformasjon. Buypass har ingen eksplisitte krav til LRA-PC, men anbefaler bruk a stasjonær maskin eller en bærbar PC med litt størrelse på skjerm og stor strømkapasitet for tilknobling av periferiutstyr.

Buypass LRA-klient Access Manager er en .net applikasjon som klientapplikasjon, kjent som LRA-klienten, som benyttes for utstedelse og administrasjon av lokale påloggingssertifikater og kvalifiserte sertifikater fra Buypass. Sertifikatene utstedes til brukere / ansatte hos Brukerstedet, og lastes ned i Buypass chip på ID-kortene.

LRA-klienten betjenes av en Operatør som selv benytter sitt personlige ID-kort for autentisering og elektronisk signering. I forbindelse med utstedelse av sertifikater skal det gjennomføres en legitimasjonskontroll som inkluderer innskanning av legitimasjonsdokument og innhenting av ansattes håndskrevne signatur.

LRA-klienten henter opplysninger om ansatte som skal ha sertifikater fra et et lokalt register Microsoft Active Directory (AD). De lokale sertifikatene utstedes fra en lokal CA (Microsoft CA). De kvalifiserte sertifikatene utstedes fra Buypass CA via et grensesnitt inn mot Buypass.

LRA-klienten kommuniserer med Buypass sentrale systemer (BPS) ved pålogging på LRA-klienten og i forbindelse med operasjoner som involverer kvalifiserte sertifikater.

en lokalMicrosoft Certificate Authority (CA).

Lokalt dokument register, er et område i nettverket med begrenset tilgang, hvor alle kontrolldokumenter kontroll-dokumenter (PDF’erPDFer) fra LRA-klienten lagres. De aller fleste operasjoner som utføres i LRA-klienten blir dokumentert i form av slike kontrolldokumenter. Operatøren bekrefter operasjonene gjennom å signere disse dokumentene elektronisk. For operasjoner som også inkluderer kvalifiserte sertifikater vil en kopi av kontrolldokumentet bli oversendt til BuypassBuypass.

LRA-klienten kommuniserer med Buypass sentrale systemer (BPS) via et eget grensesnitt (LTS/WebLTS) hvor alle meldinger signeres og krypteres. Dette benyttes ved pålogging på LRA-klienten og i forbindelse med operasjoner som involverer kvalifiserte sertifikater. Hvis Buypass ikke er tilgjengelig, vil LRA-klienten operere i lokal modus og kun utstede og administrere lokale sertifikater.

Smartkort

Et ID-kort er et Buypass smartkort. Smartkortet har en chip med Multos operativsystem og en elektronisk ID-applikasjon som kan inneholde flere sertifikattyper, både lokale og kvalifiserte. Bedriften avgjør i hvert enkelt tilfelle hvilke sertifikater en bruker skal ha.

Fysiske tilganger og utseende på smartkortet er ikke en del av Buypass Bedriftsløsninger, men ivaretas av bedriften internt eller av en annen aktør. 

 

 

Lokal CA/AD

Lokale sertifikater utstedes via Microsoft Certificate Authority (CA). Lokale sertifikater kan være sertifikater beregnet for brukere (brukersertifikater) eller for klienter/pc/servere/andre fysiske enheter (maskinsertifikater). LRA-klienten administrerer lokale brukersertifikater. MS

En CA forutsetter tett integrasjon med Microsoft Active Directory (AD) som administrerer brukerne av sertifikatene. Det er en en-til-en kobling mellom CA og AD. Installasjon av MS lokal CA medfører at det også må opprettes brukere og grupper i lokal AD. 

En lokal CA åpner for at bedriften selv kan sette varigheten på sertifikatene. Det er også mulig å definere forskjellige sertifikattyper med ulike varighet. Dette gir for eksempel bedriften mulighet til å utstede lånekort med kun få dagers/timers varighet. 

 

Ved etablering av en lokal CA kan bedriften velge å utarbeide en Certificate Policy (CP) samt en Certificate Practice Statement (CPS). En CP inneholder et sett med regler som sier hvordan sertifikatene utstedes og behandles, mens en CPS beskriver hvordan reglene i CPen etterleves. Dette er ikke et krav – mange støtter seg til Buypass Certificate Policy for Buypass Class3 Qualified Certificates som finnes

her: http://www.buypass.no/kundeservice/nedlastingssenter under overskriftene

på Buypass Nedlastingssenter under fanen CA Dokumentasjon (juridisk) og Personlige kvalifiserte sertifikater.

  

Lokal

MS

CA kan og bør inkluderes i et CA hierarki i form av rotsignering. Det åpner for tillit mellom bedrifter i samme CA hierarki. Sikkerhetsmessig bør rotCA være offline, mens underliggende utstedende CAer er online. Når

MS

lokal CA inngår i et hierarki skal rot CAens CP aksepteres. Hvordan bedriften etterlever rot CAens CP,

må

kan dokumenteres for eksempel i en CPS.

MS CA er en del av MS Windows Server (forutsetter en Enterprise versjon). 

CRL

MS CA produserer jevnlig lister over sperrede sertifikater også kalt sperrelister eller CRLer. Sperrelistene har en varighet som settes av bedriften. Sperrelisten må publiseres på en, men gjerne flere kilder (AD, http, fil). Lenke(r) legges inn som informasjonselement i sertifikatene.

Alle arbeidsstasjoner, terminalservere og lignende som benyttes til pålogging må ha tilgang til sperrelisten. I de tilfeller hvor sperrelisten er utilgjengelig eller gått ut på dato vil pålogging ikke være mulig.  Det er kritisk for bedriften at en gyldig sperreliste er tilgjengelig til en hver tid. Sperrelisten bør derfor være redundant.

Buypass Access Enterprice - CSP

 

Klientprogramvaren Buypass Access benyttes for kommunikasjon med smartkortet og denne klientprogramvaren må installeres på bedriftens arbeidsstasjoner og/eller terminalservere.

 

 

Buypass Access omtales også som en CSP (Certificate Service Provider). Enterprice-versjon gir bedriftsspesifikt oppsett ifht i forhold til bedriftens infrastruktur. Eget skjema fylles ut for foretaksspesifikke tilpasninger.  Buypass har et samarbeid med det svenske firmaet SecMaker om utvikling en CSP som støtter Multos smartkort – i Norge heter denne Buypass Access, i Sverige Ned iD. For produktark og mer detaljert beskrivelse av Buypass Access/Net iD, se SecMakers nettsider.Dette gjøres sammen med teknisk konsulent fra Buypass før oppstart.

 

Neste >>

Innhold