Personsertifikater i BAS/BAM

Owned by Sissel Hoel
Last updated: May 10, 2022
5 min read


Introduksjon

Se Endringer i Buypass personsertifikater og virksomhetssertifikater for detaljert informasjon om overgang til SEID v2.0 sertifikatprofiler.

Denne siden gjelder spesielt for Personsertifikater fra Buypass som bestilles i BAS/BAM og gir en kort beskrivelse av de ulike endringene som kommer i Personsertifikater fra Buypass som utstedes i BAS/BAM ved overgang til SEID v2.0. Dette gjelder kvalifiserte personsertifikater fra Buypass både for Buypass ID på Smartkort og ID@Work. Det gjelder ikke eventuelle lokale sertifikater fra egen CA.

Det er noen få, men viktige endringer mellom sertifikater under SEID v2.0 sammenliknet med SEID v1.0 og det er derfor svært viktig at alle tjeneste-/programvare-leverandører og sertifikatmottakere som bruker PKI og digitale sertifikater er kjent med dette og gjør nødvendige tilpasninger i sine systemer.

Buypass slutter å utstede sertifikater med SEID v1.0 profil fra 1. juni 2022.

Overgang til SEID v2.0 sertifikatprofil fra 10. mai 2022 - UTSATT TIL 1. juni 2022

Overgang fra 10. mai 2022 forutsetter at alle fellesløsninger håndterer SEID v2.0 sertifikater innen den tid.

Personsertifikater som bestilles i BAS/BAM utstedes med SEID v1.0 sertifikatprofil frem til vi nærmer oss overgangsperiodens slutt (1. juni 2022). Vi endrer sertifikatprofiler til SEID v2.0 fra og med 10. mai 2022 slik at alle Personsertifikater fra Buypass som bestilles i BAS/BAM fra denne dagen utstedes med SEID v2.0 sertifikatprofil.

Allerede utstedte sertifikater (SEID v1.0) kan benyttes helt frem til de utløper.

Innhold:



Endringer i sertifikatinnhold

Sertifikatinnehavers identitet

Sertifikatinnehaver er unikt identifisert i Subject.serialNumber (SN) og i Norge benyttes en utstederspesifikk personidentifikator og ikke en nasjonal identifikator som fødselsnummer/D-nr. I SEID v2.0 blir Subject.serialNumber endret ved at den prefikses med 'UN:NO'. Dette for å flagge at dette er et norsk skjema for tildeling av slike utstederspesifikke identifikatorer.

Navn på sertifikatinnehaver vil fortsatt være å finne i sertifikatenes Subject.CommonName (CN), men på sikt vil dette feltet kunne inneholde sertifikatinnehavers 'foretrukne navn' slik at det for eksempel kan mangle ett av flere fornavn, et mellomnavn osv. Sertifikatinnehavers fulle navn slik det er registrert i Folkeregisteret vil være å finne i hhv Givenname (fornavn) og Surname (etternavn).

Sertifikatinnehavers tilknytning til organisasjonen

Organisasjonstilknytning ved organisasjonsnavn og organisasjonsnummer var tidligere å finne i sertifikatenes Subject.Organization (O). I SEID v2.0 vil organisasjonsnavn fortsatt være å finne i Subject.Organization (O), mens organisasjonsnummer vil være å finne i Subject.organizationIdentifier (vist ved 'OID 2.5.497' i eksempel under).

Eksempel på innhold i Subject i SEID v1.0:


Eksempel på innhold i Subject i SEID v2.0:

Sertifikatinnehavers e-postadresse og UPN i Subject Alternative Name (SAN)

Med SEID v2.0 vil vi slutte å legge personens e-postadresse i feltet Subject Alternative Name (SAN), dvs. attributtet RFC822 Name videreføres ikke.

Det vil fortsatt være en en opsjon å legge inn attributt for smartcard-logon med UPN i feltet Subject Alternative Name (SAN):

Other Name:
    Principal Name=mn@buypass.no 

(lyspære) Dette må registreres ifbm provisjonering eller etterregistreres pr person. Dersom dere ikke allerede gjør dette og ønsker å ta det i bruk så må Buypass ha beskjed  slik at dette legges inn i sertifikatene for deres brukersted.


Eksempel på innhold i SAN i SEID v1.0:

Eksempel på innhold i SAN i SEID v2.0:

Andre endringer i sertifikatene

Det er kun signeringssertifikatene eller det sertifikatet som kan brukes for signering, som heretter blir markert som et 'kvalifisert sertifikat for elektronisk signatur' etter eIDAS-forordningen. Dette skjer gjennom bruk av såkalte QC-statements.

Ny CA som utsteder personsertifikater

Sertifikater med SEID v1.0 sertifikatprofil utstedes under Buypass Class 3 CA 3 som kjeder tilbake til Buypass Class 3 Rot CA som er anerkjent av nettlesere og andre sertifikatprogrammer.

Sertifikater med SEID v2.0 sertifikatprofil vil bli utstedt under Buypass Class 3 CA G2 HT Person som kjeder tilbake til Buypass Class 3 Rot CA G2 HT som er med i AATL-programmet til Adobe, men ellers er denne ikke med i andre sertifikatprogrammer. 

Se mer detaljer på Nye CA-er ('generasjon 2').

Buypass Access / NetID

For å kommunisere med Buypass smartkort og sertifikatene som ligger i smartkortet benyttes programvaren Buypass Access eller NetID. NetID leser smartkortet når dette står i kortleseren og sertifikatene lastes inn i Windows certificate store hvor applikasjonene henter sertifikatene ved behov – gjelder både de lokale og de kvalifiserte sertifikatene.

SEID v2.0 sertifikatprofil og 2048 bits RSA nøkler krever NetID versjon 6.8.0.19 eller senere (fra 2019).

Dersom det er behov for nyere versjon, svar på mottatt e-post/varsling eller bestill her.

Hva må dere gjøre?

Dere må forsikre dere om at sertifikater som utstedes fra og med 10. mai 2022 (SEID v2.0) vil fungere i de løsninger hvor dere benytter personsertifikater fra Buypass (Buypass kvalifiserte sertifikater i smartkort/ansattkort og ID@Work på mobil).

Sertifikatprofilen endres altså til SEID 2.0 kun for de kvalifiserte sertifikatene og ikke for de lokale sertifikatene, med mindre virksomheten gjør tilsvarende endringer i sertifikatprofilen i lokal CA for de lokale domene-påloggingssertifikatene.

Dere må først få en oversikt over hvilke løsninger dere benytter personsertifikater fra Buypass i. Deretter må dere håndtere dette iht type løsning, som kan være:

  • Fellesløsninger; finn informasjon om status på slike fellesløsninger på samarbeidsportalen på Digdirs nettsider og samhandlingsplattformen hos Norsk Helsenett - dere trenger ikke gjøre noe
  • Andre eksterne fagapplikasjoner og løsninger; ta kontakt med tjenesteeier/leverandør og be de bekrefte at tjenesten støtter SEID v2.0 sertifikatprofil
  • Andre interne og/eller egenutviklede fagapplikasjoner og løsninger; test eller verifiser at løsningen støtter SEID v2.0 sertifikatprofil - se mer informasjon under

Hvordan kan dere teste egenutviklede løsninger i forkant av overgang?

Dersom dere kan benytte testsertifikater og har behov for testsertifikater, svar på mottatt e-post/varsling eller trykk her.

NB! Testsertifikater vil ikke innholde sertifikatinnehavers tilknytning til organisasjonen. Dersom det er viktig med slik knytning, informer om dette i e-posten.

NB! Testsertifikater vil være utstedt under test CA-er. Dersom det ikke vil være mulig å teste med testsertifikater, informer om dette i e-posten.

Hvordan kan dere verifisere egenutviklende løsninger etter overgang?

Vi oppfordrer alle til å utstede nye personsertifikater fra Buypass i BAM-klienten til noen utvalgte personer den 10. mai 2022 og verifisere at disse fungerer i de fagapplikasjoner og løsninger dere benytter personsertifikater fra Buypass i.

Spørsmål?

Dersom dere har spørsmål, se FAQ under (vil bli oppdatert etter hvert som nye spørsmål dukker opp), svar på mottatt e-post/varsling eller trykk her.

FAQ

Her finnere dere svar på spørsmål som er blitt stilt og vi vil oppdatere fortløpende etter hvert som nye spørsmål stilles.

SpørsmålSvar
Trenger vi å gjøre noe med allerede utstedte sertifikater?Nei, sertifikatene kan benyttes helt frem til utløpsdato eller til de fornyes.
Gjelder endringene også for Virksomhetssertifikater?Ja, for de som bestiller Virksomhetssertifikater i Buypass ID Manager, les mer om innføring av endringene i ID Manager og for de som bestiller Virksomhetssertifikater direkte fra Buypass Web, les mer her.
Hva skjer dersom fellesløsninger ikke håndterer SEID v2.0 sertifikater fra 10. mai 2022?Dato for overgang vil bli forskjøvet og ny dato vil bli annonsert på denne siden.
Hvorfor er overgang til SEID v2.0 sertifikatprofil utsatt til 1. juni 2022?Fordi en fellesløsning som er i bruk i helsesektoren ikke støtter SEID v2.0 sertifikatprofil før 1. juni 2022