PDF - SecMaker

Lev
vera
ans
sinfo
orm
matio
on
Net iD
D 5.4.1
1.34 fö
ör SITH
HS
Med info
ormation o
om license
ernas anv
vändning, nyheter i 5.4.1.34,
inkluderrade pakett, support, installatiion/avinsttallation, Firefox
F
m.m
m.
2010-10-08
Innehå
åll
1.
Liccensinformation ............................................................................................ ............................... 3
2.
Ne
et iD 5.4.1.34
4 för SITHS--anslutna................................................................. ............................... 4
3.
Nyyheter i Net iD
i 5.4.1.34 ................................................................................. ............................... 5
Nyheter ma
an ”ser” ...................................................................................... ............................... 5
Nyheter ”un
nder huven” ............................................................................... ............................... 9
Förtydligan
nde om varningen för cert
rtifikat som nä
ärmar sig utg
gångsdatum . ............................ 11
4.
Pa
aket inkluderrade i avtalett mellan Telia
aSonera och
h Inera AB ....................... ............................. 12
5.
Information om
m de olika pa
aketen ..................................................................... ............................. 14
6.
Pa
aketens nam
mnsättning ................................................................................... ............................. 15
7.
Ne
et iD SSO ....................................................................................................... ............................. 16
8.
An
nvända kort på en 64-bita
arsversion avv Windows ......................................... ............................. 17
9.
På
å ritbordet ....................................................................................................... ............................. 18
10.
Ko
ortläsare ......................................................................................................... ............................. 20
11.
Tillbehör ............................................................................................................ ............................. 20
12.
Su
upportavtal Net
N iD ......................................................................................... ............................. 21
13.
Bilaga 1 - Insta
allera, uppgrradera och a vinstallera .......................................... ............................. 22
Grundpake
etet i exe-form
mat ......................................................................... ............................. 22
Installera ett
e exe-baserrade paket ............................................................... ............................. 23
Uppdatera ett exe-base
erade paket ............................................................ ............................. 23
Avinstallera
a ett exe-bas
serade pakett.......................................................... ............................. 24
Paket i MS
SI-format ..................................................................................... ............................. 25
14.
Bilaga 2 - Nyttt koncept för underskrifte
er ......................................................... ............................. 26
15.
Bilaga 3 - Nyh
heter i Net iD 5.3.0.28................................................................. ............................. 27
Nyheter ma
an ”ser” ...................................................................................... ............................. 27
Nyheter ”un
nder huven” ............................................................................... ............................. 30
16.
Bilaga 4 - Information om Windows
W
Se
erver 2008........................................... ............................. 31
17.
Bilaga 5 – Nett iD LOGON ............................................................................... ............................. 32
18.
Bilaga 6 – Fire
efox ............................................................................................ ............................. 35
PKCS#11 – Firefox och
h Net iD, hurr kopplas de samman? ....................... ............................. 35
Certifikatsvval i Firefox ................................................................................. ............................. 37
19.
Bilaga 7 – Citrrix ............................................................................................... ............................. 38
Citrix Access Gateway ............................................................................... ............................. 38
Citrix XenD
Desktop ...................................................................................... ............................. 42
20.
Bilaga 8 – Miccrosoft VPN ................................................................................ ............................. 46
1. Liccensinformattion
De pake
et som beskkrivs i detta dokument är endast avsedda
a
för kunder som
m avropar smarta
s
kort via SITHS. Statistiken ne
edan är fram
mtagen vid skiftet
s
mella
an andra occh tredje kva
artalet
2010 occh såg ut så
åhär:
Avser kunden anvä
ända Net iD
D med andra
a kort än SITHS-kort åligger det kuunden att kontakta
k
någon a
av våra parttners eller SecMaker
S
d
direkt för att teckna rätt antal licensser och erhålla en
egen liccensnyckel.
2. Ne
et iD 5.4.1.34
4 för S
SITHS-anslutna
Nu finnss ”SVR-pakketen” i vers
sion 5.4.1.34
4 tillgängliga för nedlad
ddning. Desssa paket, som
s
är
tillgängliga för alla som köper kort via SIT
THS, är parametersatta
a enligt en pprincip om minsta
m
gemenssam nämna
are. Det bety
yder bland a
annat att PIIN-dialoger har ett vissst utseende och att
länkar p
pekar på ge
emensamma
a webbplatsser.
Önskass ett eller fle
era paket an
npassade tilll lokala omständighete
er behöver ssupportavta
al tecknas
med Se
ecMaker och
h en avgift erläggas
e
pe
er anpassat paket. Före
e beställnin g av kundunik
paketerring ska ett särskilt
s
pak
keteringsdokkument fylla
as i, ett dokument per ppaket. Se separat
bilaga m
med filnamn
net; ”Net iD Paketeringssdokumentt - Kundunik
ka paket v1..1 2010-04--08.docx”
3. Nyyheter i Net iD 5.4.1.34
5.4.1.34
4 innehållerr följande ko
orrigeringar och funktio
onsförbättrin
ngar relateraat den förra
a ”SITHSreleasen” 5.3.0.28
Nyheter man ”serr”
1. Rättat fel i hur
h “Eget na
amn”/”Frien
ndly name” sätts
s
av CS
SPn och därrmed läses av t.ex.
Internet Exp
plorer.
[[Ticket ID = RVG-4729
941]
2. Lagt till funkktion som kan
k sätta “E get namn”/””Friendly na
ame” dynam
miskt basera
at på
ccertifikatsinnehåll.
3. O
Om man kö
ör XP och viill kunna vä
älja mellan multipla
m
inloggningscerrtifikat vid Windows
W
inloggninge
en medföljerr nu ett pakket ”1301” so
om möjliggö
ör detta. Vi kallar modu
ulen för
””Net iD Log
gon” och har funnits län
nge men un
nder annat namn.
n
Vi addderar här
ffunktionalite
et till Windo
ows XP:s sta
andard GIN
NA såsom upplåsning aav kort föruttom den
o
ovan nämnda möjlighe
eten att välja
a mellan fle
era olika cerrtifikat.
O
Om kortet är
ä låst känns detta av o
och en extra
a knapp visas så att maan låsa upp
p den
b
blockade PIN-koden med
m sin PUK
K-kod.
4. ””Net iD Log
gon” innehåller även en
n ”Credentia
al Provider”. Det innebäär att om man
m
installerar ”1301”-pake
etet på Wind
dows 7 iställlet för XP så
s tillförs ävven på denn
na
plattform funktionalitet som sakna
as i Window
ws egen Cre
edential Proovider för sm
marta kort.
T
T.ex. kan man
m se antal PIN-försökk kvar, förän
ndra ledtextterna, låsa uupp kort samt
g
grafiskt görra skillnad mellan
m
olika certifikat så
å att man lä
ätt ser ”vem man vill log
gga in
ssom”.
Notera att du
d måste sä
ätta en GPO
O för att Win
ndows ska visa
v
mer änn ett
inloggningsscertifikat:
A
Aktivera ”Tvvinga läsnin
ng av…”:
I just den insstallation bild
den tagits från
n har Windows inbyggda
a certifikatsprropagering stängts av
d
då Net iD ha
ar en egen inbyggd funktiion för detta ändamål
Här ses en skärmdump som visarr det något akademiska
a användninngsfallet attt fyra
o
olika person
ner har stop
ppat i sina S
SITHS-kort i maskinen och där enn av dem ha
ar tre
ccertifikat attt välja mella
an:
S
Se bilaga 5 för detaljerrade bilder.
Nyheter ”under huven”
1. A
Adderat inittialt stöd förr Apple Toke
end. Möjligg
gör bl.a. pålloggning meed smarta kort
k under
Mac OS X.
2. J
Justerat Ch
hangePIN-fu
unktionen s å att det intte är möjligtt att avbrytaa PIN-
b
bytesprocesssen om ko
onfiguratione
en explicit kräver
k
PIN-byte.
[[Ticket ID = BIG-59865
50]
3. Korrigerat NetControl-f
N
funktion förr Firefox närr Net iD SSO används
[[Ticket ID = WAR-3798
850]
4. Utökat funk
ktionaliteten i Net iD Wa
atch för att kunna kombinera ”mattch”, ”message” och
””term” parametrarna.
[[Ticket ID = [HGF-2196
604].
5. Rättat ett problem med
d “CertMove
er” relateratt sökning av
v inloggad aanvändare.
[Ticket ID = CAQ-2226
689].
6. A
Adderat fun
nktion för att kunna sättta “default certificate”.
c
7. A
Adderat fun
nktion för att inte bara kkunna lista vilka kortläs
sare Net iD ska arbeta med
aldrig ska relatera till. (Accepted/D
u
utan även ange
a
vilka som
s
Net iD a
(
Denied)
Bra funktion
n om man har
h t.ex. ”sn
narkanalysutrustning” som har en kkortläsare som
s
Net
iD inte ska arbeta med
d.
8. J
Justerat fun
nktionen förr parallell exxekvering av
v kommand
don i Net iD Watch
[[Ticket ID = BOW-4219
902].
9. S
Stöd för “du
ual-paket”, dvs.
d
Paket ssom innehå
åller både 32- och 64-bbitarsversion
nen av
Net iD.
10. Infört möjlig
ghet att begränsa vilka språk man ska kunna byta till
[[Ticket ID = [JMP-1259
946].
11. V
Vissa av vå
åra kunder använder
a
bä
ärbara dato
orer från Dell med en innbyggd SIM
M-
kortsläsare. Just denna
a läsare är en PC/SC-läsare och den dyker ddärför upp i
e
enhetshantteraren unde
er ”Smartko
ortsläsare” och
o den dettekteras därrigenom av
v Net iD.
S
Se skärmdu
umpar på nästa sida. D
Detta kan i vissa
v
fall led
da till att oöönskade
meddelanden från Nett iD dyker u pp då det in
nte finns några HCC påå SIM-korte
et.
A
Alla SITHS--paket av Net
N iD avsed
dda för klien
nter (1xxx-p
paketen) harr därför
konfigurera
ats som så att
a kortläsarren ”Mobile Broadband
d SIM Card Reader 0” ignoreras
i
helt av Net iD.
EEnhetshanteraren på en bärb
bar Dell: Net iD på en bäärbar Dell: N
JJämförelse med en bärbar HP
P med SIM‐korttsläsare: Förtydligande om
m varningen
n för certifiikat som nä
ärmar sig utgångsdat
u
tum.
Funktionen för att varna
v
när ko
ortets HCC närmar sig
g utgångsda
atum ser ut såhär:
Viktigt a
att veta om denna funk
ktion är:

V
Varningen visas
v
endas
st för certifikkat utgivna av
a SITHS CA
C v3

V
Varningsgrä
änsen är i SITHS-pake
S
eten satt till att varna nä
är det är miindre än 30 dagar
kvar på cerrtifikatets giltighetstid.

Funktionen kommer attt behöva fö
örfinas i sam
mband med att certifikaat utfärdade
e av
S
SITHS CA v4
v börjar utfärdas. Vi b
ber att få åte
erkomma med
m detaljer kring detta.

För att inte användare av reservko
ort med korrtlivat HCC ska besväraas om ständiga
vvarningar om
o att det ärr 4-, 3-, 2-, 1-dag kvar är funktione
en implemeenterad på så
s sätt att
ingen varning ges för certifikat
c
va rs totala gilttighetstid ärr mindre än dubbla värrdet på
vvarningsgrä
änsen (30 dagar).
d
Detta
a innebär att
a HCC på reservkort
r
eendast ger en
e
vvarning i de
e fall giltighe
etstiden är m
mer än 60 dagar.
d
Eller annorlundaa uttryckt; ett HCC
med en giltighetstid på
å en vecka kkommer ald
drig att ge någon varninng.
4. Pa
aket inkluderrade i a
avtalett mellan Telia
aSonerra
occh Inerra AB
1. 3
32 bit XP/Vissta/Windows
s 7 utan SSO
O aktiverat (1001)
2. 3
32 bit XP/Vissta/Windows
s 7 med SSO
O aktiverat (1101)
3. 3
32 bit XP/Vissta/Windows
s 7 med Net iiD LOGON samt
s
SSO ak
ktiverat (13011)
4. 6
64 bit XP/Vissta/Windows
s 7 utan SSO
O aktiverat (1001)
5. 6
64 bit XP/Vissta/Windows
s 7 med SSO
O aktiverat (1101)
6. 6
64 bit XP/Vissta/Windows
s 7 med Net iiD LOGON samt
s
SSO ak
ktiverat (13011)
7. 3
32 bit Windo
ows Server 2003/2008/20
008R2 (Term
minal Services
s/Citrix) medd SSO aktive
erat (2001)
8. 3
32 bit Windo
ows Server 2003/2008/20
008R2 (Term
minal Services
s /Citrix) utann SSO aktive
erat (2101)
9. 6
64 bit Windo
ows Server 2003/2008/20
008R2 (Term
minal Services
s /Citrix) medd SSO aktive
erat (2001)
10. 6
64 bit Windo
ows Server 2003/2008/20
008R2 (Term
minal Services
s /Citrix utann SSO aktive
erat (2101)
11. 3
32 bit Ubuntu (fungerar även
ä
på Red Hat och Fed
dora)
12. 664 bit Ubuntu (fungerar även
ä
på Red Hat och Fed
dora)
Notera a
att ”inkluderade” inneb
bär att det ä r dessa pak
ket som man automatisskt har tillgå
ång till så
snart man införskaffat organisations förstta SITHS-ko
ort med HCC. Licens föör alla olika moduler
ingår i ”25-kronan” men dessa
a måste pakketeras särs
skilt för varje kund då dde inte kan göras
generiska.
Paketen
n samt inforrmationsdok
kument finn
ns upplagda
a under SITHS på www
w.projektplattsen.se.
5. Infformattion om
m de ollika pa
aketen
Filnamn
SSO Version F
Format
Kom
mmentar
För 32-b
bitars Windows-klienter, Windows
W
XP
P, Windows Vista
V
och Windows 7
1
iidsettup_svr1001.zip
p
Nej
5.4.1.34
exe
2
iidsettup_svr1101.zip
p
Ja
5.4.1.34
exe
3
iidsettup_svr1101.mssi
Ja
5.4.1.34
msi
4
iidsettup_svr1301.zip
p
Ja
5.4.1.34
exe
För klienter
k
där SSO
O ej är önskvärt//behövs.
Detta
a paket är det de
e allra flesta anvvänder för
sina klienter.
k
Samm
ma som paket 2 men som MSI.. Notera att
du intte kan uppgrade
era från exe till MSI.
Initierra avinstallation på exe-versionnen och
skjut ut MSI. MSI-paketen kan helleer inte
uppgraderas utan föregående avinsstallation av
d version. Se biilaga 1.
befinttlig MSI-baserad
Nytt paket
p
med Net iD LogonN sam
mt SSO. För
mer information om detta
d
paket se ppunkterna 2
och 3 i kapitel 3.
För 64-b
bitars Windows-klienter, Windows
W
XP
P, Windows Vista
V
och Windows 7
5
iidsettup_svr1001.zip
p
Nej
5.4.1.34
exe
6
iidsettup_svr1101.zip
p
Ja
5.4.1.34
exe
7
iidsettup_svr1301.zip
p
Ja
5.4.1.34
För klienter
k
där SSO
O ej är önskvärt//behövs.
Inte så
s ofta nyttjat men med Window
ws 7 så blir
det frramgent vanliga
are med 64-bitarrs klienter.
s ofta nyttjat men med Window
ws 7 så blir
Inte så
det frramgent vanliga
are med 64-bitarrs klienter.
Nytt paket
p
med Net iD Logon samt S
SSO. För
mer information om detta
d
paket se ppunkterna 2
och 3 i kapitel 3.
För 32-b
bitars Windows Server 20
003
7
iidsettup_svr2001.zip
p
Nej
5.4.1.34
exe
ägen där SSO ej
e är önskvärt/beehövs. För
För lä
terminalservrar med eller utan Citrixx
008, se bilaga 4)
(W20
8
iidsettup_svr2101.zip
p
Ja
5.4.1.34
exe
För te
erminalservrar med
m eller utan C
Citrix
(W20
008, se bilaga 4)
För 64-b
bitars Windows Server 20
003
iidsettup_svr2001.zip
p
Nej
5.4.1.34
exe
För lä
ägen där SSO ej
e är önskvärt/beehövs. För
terminalservrar med eller utan Citrixx
008, se bilaga 4)
(W20
10 iidsettup_svr2101.zip
p
Ja
5.4.1.34
exe
För te
erminalservrar med
m eller utan C
Citrix
(W20
008, se bilaga 4)
9
För Ubu
untu
11
iidsettup.tar.gz
*
5.3.0.28
tar.gz
addas upp inom kort.
32-bitars. 5.4.1.34 la
12
iidsettup.tar.gz
*
5.3.0.28
tar.gz
addas upp inom kort.
64-bitars. 5.4.1.34 la
det på Linux är i dagsläget inte lika omfattande
e som på Windo
owsplattformen
* SSO-stöd
MSI
Notera a
att ”Paket 2”
2 ovan även levereras i MSI-form
mat som ”Pa
aket 3”. För att få tillgån
ng till
andra, kkundanpasssade paket i MSI-forma
at krävs sup
pportavtal och
o det utgåår en mindre
e
paketete
eringsavgiftt.
6. Pa
aketens nam
mnsättn
ning
Paketen
ns koder ha
ar tidigare ha
aft formen ””SVR000x”.. Från Net iD 5.2 ändraades detta för
f att
lättare kkunna identtifiera ett unikt paket. N
Nu används alltid två eller tre boksstäver för att
identifie
era kunden och
o detta fö
öljs av fyra ssiffror för attt beskriva paketets
p
innnehåll.
Exempe
el:
Första ssiffran ange
er om det ärr ett paket a
avsett för klienter eller servrar
s
enliggt följande:
1= Klien
ntpaket
2= Servverpaket
Andra ssiffran anger vilka tilläggskompone
enter som fiinns i paketet. Kombinaationerna är enligt
följande
e:
0 = Inga e
extra moduler finns med i pa
aketet.
1 = Pakettet har ”SSO” aktiverat, dvs. ”PIN-cache” funktionen ärr påslagen.
2 = Pakettet har Net iD LOGON inkluderat. På XP en pass-throu
ugh-gina, i Win
ndows 7 en Crredential Prov
vider
3 = Pakettet har både SSO
S
och LOGON aktiverat.
4 = Pakettet installerar Net iD Minidriv
ver för använd
dning med Mic
crosoft Smart Card Base CS
SP
5 = Pakettet installerar både
b
SSO och
h Net iD Minid
driver för anvä
ändning med Microsoft
M
Smaart Card Base CSP
6 = Pakettet har både Net
N iD Minidriv
ver och LOGO
ON
7 = Pakettet har Net iD Minidriver, LO
OGON och SS
SO
8 = Oanvvänd
9 = Speciial
Nedan vvisas två exxempel, ett helt ”rent” p
paket utan extra
e
funktio
oner och ettt med SSO aktiverat.
Tredje o
och fjärde siffran
s
är kun
ndspecifik o
och används som räknare för att aange pakete
ets
löpnummer. Löpnu
umret är vikttigt för att s kilja två verrsions- och komponenttlika paket från
f
varandrra men där någon anna
an mindre ju
ustering gjo
orts. T.ex. om någon läänk pekat fe
el i första
bygget. Se exempe
el nedan.
7. Ne
et iD SSO
S
Låt oss först slå fasst att Net iD
D:s SSO fun
nktion inte handlar
h
om att ge singlee-sign-on till
applikattioner som kräver
k
namn och lösen
nord.
Net iD:ss SSO-funkttion ser till att
a PIN1 inte
e behöver slås
s
varje gå
ång en opeeration görs där det
nyckelp
par som hör samman med
m PIN1 an
nvänds. T.e
ex. slipper en
e användarre som logg
gar på sin
dator med kortet an
nge PIN1 ig
gen när Inte
ernet Explorrer används
s för att loggga på e-Dos
s.
Observe
era att det finns
f
applika
ationer som
m explicit krä
äver PIN alldeles oavseett detta, t.e
ex.
Microso
ofts VPN-klie
ent.
8. An
nvända
a kort på
p en 6
64-bita
arsvers
sion avv Wind
dows
I samba
and med pla
anering av en
e övergång
g till Window
ws 7 tittar många
m
ävenn på att växla över
från en 32-bitarspla
attform till en
e 64-bitars för sina klie
enter. På se
erversidan äär det redan
n idag
vanligt a
att det är 64
4-bitarsvers
sionen av W
Windows Serrver 2003 som körs.
I båda d
dessa samm
manhang ärr det viktigt att känna till att man i vissa
v
lägenn behöver in
nstallera
både 32
2- och 64-biitarsversion
nen av Net i D.
- 6
64-bitarsversionen av Net iD behö
övs om man
n vill kunna göra en koortpåloggnin
ng mot
o
operativsysstemet
- 3
32-bitarsversionen av Net iD behö
övs för att 32-bitarsapp
3
plikationer ssom t.ex. Internet
Explorer occh Adobe Re
eader ska kkunna användas med korten
k
och därefte
Installerra därför förrst 32-bitars
sversionen o
er 64-bitarsv
versionen o m du vill ha
a
kort/cerrtifikatsstöd för både OS-inloggnin
ng och Intern
net Explore
er 32-bit.
Kunder med suppo
ortavtal kan beställa sä
ärskilda ”dua
al-paket” so
om installeraar båda verrsionerna
av Net iD.
Notera a
att i Net iD 5.4.1.34 så
å finns ingen
n koppling mellan
m
32- och
o 64-bitarrsversionern
nas SSOfunktion
nalitet. Gör du
d en kortpåloggning i Windows 7 64-bit så aktiveras
a
SS
SO-funktion
nen för
64-bitarrsapplikation
ner. Startarr du då 32-b
bitars Internet Explorer så behöve r du ange PINP
koden. Detta betee
ende kommer dock att förändras framgent.
f
9. På
å ritborrdet
etrevare
Intresse
Arbetar du med utffärdande av
v kort och a nvänder Ne
et iD Administration förr att kontrollera vilka
certifika
at ett visst ko
ort innehålle
er? Blir det många hög
gerklick på Net
N iD per ddag? Då kanske ”Net
iD Gadg
get” kan varra intressan
nt? Här ned
dan ser du en
e skärmdu
ump från en dator med ett
SITHS-kort i den ena kortläsaren och ett personalise
erat SITHS reservkort i den andra
a.
man muspekkaren över ett certifikatt visas inne
ehavarens namn
n
samt oorganisation.
Håller m
Om man klickar på
å namnet eftter certifikattssymbolen
n öppnas ce
ertifikatet. N otera att i ju
ust denna
konfigurration av Ne
et iD Gadge
et visas end
dast inloggn
ningscertifikaten. Certiffikaten för underskrift
döljs.
Net iD 5
5.5
Vi är förrstås redan i full färd med
m nästa ve
ersion av Net
N iD som kommer
k
att heta 5.5. I denna
release har vi lycka
ats justera certifikatsva
c
alsdialogen i Internet Explorer. I 5..4 är det ju ”bara”
själva in
nloggningsb
bilden som kan
k ges ett unikt utsee
ende.
adderar vi stöd
s
för nya kort, utöka
ar stödet krin
ng RFID m.m.
Vidare a
10. K
Kortläsare
SecMake
er tillhandahåller ett brettt sortiment a
av
marknad
dsledande ko
ortläsare för olika
o
typer avv krav.
Sortimen
ntet presente
eras i separa
at bilaga.
Kortläsarna finnas attt avropa på statliga rama
avtal via våra
a
partners.
11. T
Tillbehö
ör
SecMake
er har även ett
e heltäckan
nde sortimen
nt av korttillbe
ehör.
Exempel:
 Korthållare
 Lanyards
ngar
 Fästanordnin
Yoyo’s
 Y
Sortimen
ntet och prise
erna presentteras i separa
at bilaga.
12. S
Supporrtavtal Net iD
D
Ett supp
portavtal ge
er tillgång till SecMakerrs tjänster fö
ör felavhjälp
pning enligtt vald SLA-n
nivå.
Nedansstående mattris visar vå
årt erbjudan de.
Net iD S
Supportmattris
Silver
Gold
Platin
num
1, 2 eller 3 år
å
1, 2 eller 3 år
1, 2 elle
er 3 år
16 timmarr
10
0 timmar
4 timmar
Åtkomstt till webbase
erat supports
system
Ja
Ja
Ja
a
E-postsupport
Ja
Ja
Ja
a
Telefonssupport
Nej
Ja
Må-fr 9.00–17.00
Ja
a
Må-fr 8.00–18.00
Åtkomstt till kunskap
psdatabas
Nej
Ja
Ja
a
Möjlighe
et till felsökniing via
distansu
uppkoppling
Nej
Ja
Ja
a
Möjlighe
et till felavhjä
älpning på pla
ats hos
kund
Nej
1 Vecka
48 tim
mmar
Tillgång
g till chatt via supportsystem
Nej
Nej
Ja
a
Må-fr 09.0
00–12.00
Nej
Nej
Ja
a
Nej
Nej
Ja
a
Automa
atisk prioriteriing av ärenden
Nej
Nej
Ja
a
Utökad tillgång till occh diskussion kring
Net iD p
produkt-roadmap
Nej
Nej
Ja
a
Avtalspe
eriod
Svarstid
d på ärenden
n
Möjlighe
et att teckna paket för
tilläggsu
upport utöverr ordinarie
supportttid
Utbildning & certifierring av
adminisstratörer
* Specifika
ka villkor kopplad
de till supportma
atrisen ovan är definierade i Se
ecMaker's supportavtal.
Kontaktta gärna Se
ecMaker för mer inform
mation om su
upportavtal..
Växjö den 8 oktobe
er 2010
Digitally signed
by Jonas Öholm
Date: 2010.10.08
18:37:25 +02'00'
SecMakker AB
13. B
Bilaga 1 - Installera
a, uppg
gradera
a och a
avinsta
allera
Grundp
paketet i ex
xe-format
Installattion av Net iD kan ske på flera olikka sätt. I mindre piloterr eller för ennskilda teste
er
användss ofta grund
dpaketet i exe-format.
e
Alla pakket har nam
mnet ”iidsetu
up.exe”. ZIP
P-filen som exe-filen
e
finns i döps d ock så att man
m kan
se vilken kunds paket det är och
o vilken tyyp av paket det rör sig om. Se avssnitt 5 om pa
aketens
namnsä
ättning.
Om man är osäkerr på ett pake
ets innehåll kan man packa
p
upp det och konttrollera inne
ehållet
med följjande komm
mando:
iidsetup
p.exe /c /t:c::\unpack
Öppnarr man sedan
n filen iid.cfg
g ser man d
direkt vilket slags paket det rörde ssig om:
att välja ”Ege
enskaper” för
f filen iidcssp.dll:
Versionsnumret hitttar man t.ex. genom a
Observe
era att iid.cffg i själva paketet inte innehåller versionsnum
v
mret, det skkrivs under
installattionen. Då ser
s den installerade iid .cfg’s [Insta
all]-sektion ut
u t.ex. såhäär:
Installe
era ett exe-baserade paket
p
Dubbelkklicka på iid
dsetup.exe och
o följ guid
den. Pakete
et kan även installeras tyst med vä
äxeln /Q.
Uppdattera ett exe
e-baserade paket
Net iD:ss exe-baserrade paket stödjer
s
uppg
gradering till ny version
n. Uppgradeering från en
e exebaserad
d version tilll högre exe--baserad ve
ersion kan ske
s tyst.
I alla ge
enerella ”SIT
THS-pakete
eringar” sättts paramete
ern ”MergeO
OldConfig” ttill 0. Detta
säkerstä
äller att man inte ärverr gamla pakkets inställniingar utan det
d är det nyya paketet som
s
bestämmer.
Nottera att uppd
datering från eventuell be taversion intte supportera
as under någgra omständiigheter.
Avin
nstallera alltiid en sådan version
v
innan
n skarp version installera
as.
Man
n kan inte he
eller uppdate
era från den e
exe-baserad
de installation
nsfilen till en MSI-baserad
d eller
tvärrtom.
allera ett ex
xe-baserad
de paket
Avinsta
Avinstallation av exe
e-baserade paket kan se via Kontrollp
panelen – Lägg till/Ta borrt program elller från
komman
ndoraden:
iid.exe --uninstall
Avinstallationen kan även ske i ty
yst läge via fföljande kommandon:
iid.exe --uninstall -ssilent
(Kommerr att misslycka
as om använda
aren inte har lo
okala adminis
stratörsrättighe
eter)
iidxcmt.exe -uninsttall -silent
(Använda
aren kan få en
n fråga från UA
AC om lokala a
administratörs
srättigheter sa
aknas)
Paket i MSI-forma
at
Av de generella ”SITHS-paketten” är det e
endast det paket
p
som är
ä avsett fö r 32-bitars WindowsW
klienter och som ha
ar SSO aktiiverat som llevereras i MSI-format.
Önskass andra pake
et i MSI-form
m måste su
upportavtal tecknas sam
mt en paketteringsavgifft
erläggas per unikt paket.
Nottera att uppd
datering från eventuell be taversion intte supportera
as under någgra omständiigheter.
Avin
nstallera alltiid en sådan version
v
innan
n skarp version installera
as.
Man
n kan inte he
eller uppdate
era från den e
exe-baserad
de installation
nsfilen till en MSI-baserad
d eller
tvärrtom.
Att insta
allera MSI-p
paketet, ”iids
setup_svr1 101.msi” ka
an förstås ske genom aatt dubbelklicka på
filen och
h följa guide
en. Men me
era vanligt ä
är förstås attt trycka ut paketet
p
via något av fö
öljande
konceptt:



V
Via GPO:err
Med hjälp av
a Microsoftt SCCM (nyya namnet på
p SMS)
Eller genom
m att använd
da någon 3 -parts produkt såsom; ”Specops D
Deploy” elle
er
””ZenWorks””
MSI-pakketet skjuta
as ut tyst me
ed Q-flagga
an.
SecMakkers MSI-pa
aket stödjerr inte en inte
egrerad avin
nstallation av
a tidigare vversion. Man måste
därför fö
örst initiera en avinstallation av de
en äldre verrsionen och därefter läggga på den nya.
14. B
Bilaga 2 - Nyttt konccept för unde
erskrifte
er
n är denna:
Tanken
Alla har vi väl en pärrm med viktig
ga papper. A
Avtal och ann
nat som vi anar kan vara vvärda att spa
ara på om
det blir n
nåt strul. Ibland original och ibland en
n kopia på de
et original som
m ens motpaart sitter på. De som
inte har e
en sådan pä
ärm har säkert en ”hög” s om borde sä
ättas in i en pärm.
p
I takt m
med att mer och
o mer
görs med
d datorns hjä
älp gissar jag
g att folk börjjar ha en ma
app med ”extra viktiga sakker, kvittense
er och
annat”. P
Problemet ärr att när man gjort nåt på nätet är det inte sällan kvittensen
k
baara är en lång
g
sifferkom
mbination visad på webbs
sidan. I bästa
a fall en PDF
F. Gäller det avtal eller dyylikt brukar det ofta
sluta me
ed att man får printa ut oc
ch skriva und
der. I yrkesliv
vet blir det förstås lika vikktigt att ha ko
oll på
vem/vad
d/när. I såna här scenario
on är det flera
a parters intrressen man vill
v ta tillvara::
 Den som mo
ottar handling
gen vill ibland
d vara väldig
gt säker på vem som läm
mnat in
h
handlingen/a
avtalet utan att
a för den skkull behöva avstå
a
från attt; a) Bygga eett trevligt inte
eraktivt
fformulär b) Ta
T emot inforrmationen på
å ett sådant sätt
s att det lä
ätt kan bearbbetas maskin
nellt.
 Den som skiickat handlingen vill ha e n exakt kopia på vad man lämnat in, inte bara en skruttig
kkvittenssträn
ng. Man vill också
o
slippa lämna webbapplikationens flöde för aatt signera PDF-en
P
m
manuellt utanför webbläs
saren och se
edan göra up
pload.
 Riksarkivet (och
(
Landstin
ngens egna a
arkivarier) so
om gärna ser att handlinggar som ska
llångtidslagra
as är i formattet PDF/A
Om vi ta
ar exemplet med
m Lex Marria-anmälning
gar (utan att för den skull begränsa ooss till just de
etta
exempell. Konceptet kan använda
as till allehan
nda olika tillä
ämpningar). Såhär
S
skrive r Socialstyre
elsen på
sin hemssida:
Det är vårdgivaren, dett vill säga den som är yttersst ansvarig för vården, som är skyldig att aanmäla hände
elsen till
Socialstyrrelsen. Varje vårdgivare
v
ska
a utse en särsskild person so
om ansvarar för
fö att anmäla händelser enlligt lex
Maria. På
å sjukhusen an
nsvarar ofta ch
hefläkarna förr lex Maria-anm
mälningar. I ko
ommunerna hhar de medicin
nskt
ansvariga
a sjuksköterskkorna ansvarett. Om det på e
en privat motta
agning bara fin
nns en enda yyrkesutövare, som
samtidigt är ansvarig fö
ör vården, är hon
h eller han i lagens menin
ng att betrakta
a som vårdgivaare och därme
ed
anmälning
gsskyldig. Den
n ansvarige sk
ka göra en an
nmälan på en särskild
s
blankett för lex Marria-anmälan i PDF-format
P
eller blankett för lex Ma
aria-anmälan i Word-format.
t. Blanketten ska
s skickas till Socialstyrelseens tillsynsreg
gion
tillsamma
ans med verkssamhetschefen
ns interna utre
edning,eventu
uell händelseanalys, patienteens journalhan
ndlingar,
redogörellser från hälso
o- och sjukvård
dspersonal so
om varit med om
o händelsen, patientens bbeskrivning av händelsen
tekniska ffakta om en medicinteknisk
m
k produkt har a
använts i samb
band med hän
ndelsen.
Det är allltså bara den som respe
ektive vårdgivvare utsett so
om har rätt att
a anmäla.
Poängen
n är alltså:
 S
Serverside få
år in data som kan använ
ndas för att visa
v
vem som
m lämnat in.
 Datat kan får både som underteckna
u
d PDF och ”i lösvikt”
f direkt ett eget ex av o
orginalet som
m ”kvittens”
 Inlämnaren får
b glada om det är PDF//A
 Riksarkivet blir
ellt filhanteran
nde vid skap
pandet av underskriften
 Inget manue
gga både ett PDF-formulä
är eller ett webbformulär, funkar lika bbra.
 Man kan byg
gnserver.eastt.cybercom.s
se:8080/SosS
Sign/
http://sig
1. Adderra de två SIT
THS-rötterna, både test o
och prod. (Ba
ara att klicka, öppna och ssen klicka på
å
Installera
a-knappen och följa guiden)
2. Sätt ig
gång (Kom ih
håg att demo
on bara är prreparerad förr skarpa SITH
HS-kort. Om det tar lite tid så ha
lite tålam
mod, servern har inte full produktionssstatus)
Om ni vill ha mer info
ormation om vad som be
ehövs på serv
verside konta
aktar ni Markkus Nöu på Cybercom,
C
markus.n
nou@cyberccomgroup.com, 0705-26 75 06.
På klienttsidan behövver lägst ha man
m Net iD 5
5.3.x.x
15. B
Bilaga 3 - Nyheter i Net iD
D 5.3.0
0.28
5.3.0.28
8 innehöll fö
öljande korrrigeringar occh funktions
sförbättringa
ar relaterat den tidigare
e
”SITHS--releasen” 5.2.2.32
5
Nyheter man ”serr”

O
Om ett kort utan
u
HCC sä
ätts i kortläsa
aren (och ma
askinen kör den gemensaamma ”SVR--releasen”
a
av Net iD) ge
es ett medde
elande:
Detta medde
elande ges ej
e på en datorr där ett annat kort med HCC
H
använtss under sam
mma
iinloggning, t.ex. när en LRA
L
arbetar m
med reservkort.
F
Funktionen är
ä just nu kop
pplad till den
n gemensamm
ma licensnyc
ckeln. Dvs. K
Kundunika pa
aket med
e
egen licensn
nyckel ger ing
get meddelan
nde. I komm
mande releaser övervägerr vi att göra denna
d
ffunktion tillgä
änglig även i kundunika p
paket oavsettt licensnycke
el.

Funktionen för
f att varna när HCC närrmar sig utgå
ångsdatum har
h ändrats:
V
Varningen visas nu enda
ast för certifikkat från SITH
HS CA v3. De
et är de som är primärt in
ntressanta
a
att veta när de
d närmar sig utgångsda
atum. I komm
mande releas
ser övervägeer vi att utöka
a denna
ffunktion för att
a ”bevaka” e-legitimatio nen, HCC oc
ch eventuella
a egna certifiikat med möjjlighet att
h
ha olika varn
ningstid för olika certifikatt. Dessutom är ju en SITH
HS CA v4 påå ingång så en
e smärre
ffunktionalitettsutökning be
ehöver görass.

JJusterad anvvändning av SITHS-korte
ens “Token Label”. Detta påverkar ettt flertal dialog
ger. Nedan
vvisas två exe
empel.
SSåhär: IIstället för såhäär: SSåhär: IIstället för såhäär: Nyheter ”under huven”

Korrigerat installatione
en för att sä kerställa attt “Certificate
e Mover” (fuunktionen som flyttar
ccertifikat frå
ån kortet till Windows e
eget certifika
atslager) allltid startas ddirekt efter
installation samt justerringar för ökkad effektivitet

Flera olika justeringar
j
för ökad inl äsningshas
stighet av Net iD:s konffiguration

Löst problem med multipla kortlässare och SS
SO

e konfigura
ationsparam
meter som förhindrar
f
attt kortets ceertifikat ham
mnar
Inkluderat en
b
bland ”dato
orcertifikaten
n”. Nu kopie
eras certifikaten på SIT
THS-kortet eendast till
a
användaren
ns eget certtifikatslagerr. (Är bl.a. viiktigt om ma
an kör Microosofts inbyg
ggda
V
VPN-klient))
M
MyStore C
Computer 16. B
Bilaga 4 - Info
ormatio
on om Windo
ows Se
erver 2008
2
ar från Micro
osoft testas
s löpande i ttakt med attt de görs tilllgängliga.
Fixa
Net iD ffungerar utm
märkt att använda i en domän med
d Windows Server 20008 (32- ellerr 64bitars) e
eller Window
ws Server 2008
2
R2. Du
u kan även använda nå
ågot av ”iidssetup_svr20
001.zip”paketen
n på en 200
08-baserad CA-server fför att göra Net iD – CS
SP tillgängliig då du ska
apar
egna templates.
Problem
men finns nä
är man arbe
etar med tjä
änsten som ersätter tjänsten Remoote Desktop
p
Services. Intermitte
enta felmed
ddelande up
ppstår och är
ä man fler än
ä en använndare upps
står en hel
del prob
blem med sessioner so
om kopplas ner till syne
es helt okon
ntrollerat. SeecMaker ha
ar kunnat
konstate
era att man får dessa fel
f även om
m man inte använder
a
Ne
et iD utan eendast Micro
osofts
egen inbyggda CSP.
Problem
men har nu kunnat återrskapas hoss Microsoft:
1. Two u
users reconnect at exactly the same ttime – one off those users
s pulls the sm
martcard and
d both
users ge
et disconnectted. This is confirmed
c
witth both the Base
B
CSP and Secmakerr’s CSP.
2. User logs on to TS
S via RDP – logs off – log
gs on again via
v RDP – disconnects – reconnect and
a gets
into a loo
op where the
e session is always
a
disco
onnected imm
mediately afte
er authenticaating. This is
s
confirme
ed with the Base CSP and Secmaker’’s CSP.
3. Two u
users connecct and reconn
nect several times at exa
actly the same time – at ssome point we
w get to
the pointt where the smartcard
s
reader is asso ciated with more
m
than on
ne session annd when the credential
tile is enumerated at the login scrreen you gett the tile for the smartcard
d inserted intto both the correct
c
machine
e and the smartcard of the
e reader inse
erted into a different
d
clien
nt machine. This does no
ot change
the unde
erlying security structure and you still need the co
orrect PIN to log on usingg that smartca
ard. This
repros w
with both Basse CSP and Secmaker’s
S
C
CSP but the exact results from attem
mpting authen
ntication
using the
e ‘incorrect’ credential
c
tile
e differ.
All of the
ese scenarios have the same underlyying root cause; the refere
ence to the m
mapped sma
artcard
reader g
gets into a ba
ad state so th
hat it is assocciated with an incorrect session.
s
#1 occurrs when one of the sessio
ons gets asssociated with the mapped
d smartcard rreader on the
e other
workstattion – therefo
ore the session gets disco
onnected wh
hen the card inserted intoo that reader is
removed
d. It does nott make any security
s
asso
ociation between the two users or the two session
ns.
#2 occurrs because th
he reader in the session gets associa
ated with the previous insstance of the
e reader
that had the card rem
moved.
#3 occurrs when one of the “temp
p” sessions th
hat a connec
cting user gets at the logiin screen getts
associatted with the mapped
m
sma
artcard reade
er on the othe
er workstatio
on – thereforee the session
n “sees”
s it enumerrates multiple
e smartcard credential
c
tile
es. It does nnot make any
y security
multiple smartcards so
associattion between the two users or the two
o sessions ev
ven if it enum
merates the loogon creden
ntial tile on
the temp
porary login screen.
s
Följande
e ärenden finns
f
registrrerade:


C
Case 110031846614907
7 Bug regard ing “TS Disc
connect”
C
Case 110032
2457648914
4 W2K8 Prob
blem with the
e mapping of the smart caard reader
17. B
Bilaga 5 – Ne
et iD LO
OGON
N
Blekinge
e läns lands
sting / Dalarrnas läns lan
ndsting / Gä
ävleborgs lä
äns landstin
ng
Hallands
s läns lands
sting / Jämtlands läns l andsting / Jönköpings
J
läns landstting
Kalmar läns landstiing / Kronob
bergs läns la
andsting / Norrbottens
N
läns landstting
äns landstin
ng / Stockho
olms läns la
andsting / Sö
ödermanlands läns land
dsting
Skåne lä
Uppsala
a läns landsting / Värmlands läns la
andsting / Västerbotten
V
ns läns land
dsting
(svårt att få tag i en bra
a logotyp från Uppsala men det ska vi ord
dna i nästa release)
Västernorrlands län
ns landsting
g / Västmanllands läns landsting / Västra
V
Götallands läns la
andsting
Örebro läns landstiing / Östergötlands läns
s landsting / Gotlands kommun
k
(Gotlandss läns landstin
ng upphörde 1970 och desss uppgifter ligg
ger numera Go
otlands kommuun. Ny logotyp
p från 1/1
2011)
Vaggery
yds kommun
n / Karlstad kommun / IInera AB
18. B
Bilaga 6 – Firrefox
Även om
m Internet Exxplorer fortfarrande är den
n dominerand
de webbläsarren hos kom
mmuner och la
andsting
användss webbläsare
en Firefox på sina håll. De
et finns dock
k en del detaljer som är bbra att känna till om
Firefox n
när man anvä
änder den tillsammans m
med smarta kort
k och Net iD.
i
PKCS#11 – Firefo
ox och Net iD, hur kop
pplas de sa
amman?
Installera
a alltid Firefo
ox före Net iD
D. Net iDs insstallationspro
ogram detekterar Firefoxx och kopplarr samman
webbläsaren med Ne
et iDs PKCS#11-interface
e.
Filen som
m uppdatera
as i Firefox he
eter secmod .db.
C:\Users\\jjonoho\AppD
Data\Roaming\Mozilla\Firefo
ox\Profiles\3rjg
g5rxa.default\s
secmod.db
Se även: http://kb.mo
ozillazine.org
g/Profile_fold
der_-_Firefox
x
Innan Nett iD installerats Efter att N
Net iD installeraats och kopplatt Firefox till Neet iDs PKCS#11‐‐interface * Notera attt i ett paket utan SSO är det PKCS#11-modullen som pekas ut.
u
Men det räcker tyvärrr inte med ov
vanstående enkla regel. Hopkoppling
gen mellan F
Firefox och Net
N iD är
inte gene
erell utan ske
er bara för den användarre som installlationen körs
s under.
Alltså be
ehövs en justterad instruktion:
1. Installera Firrefox inlogga
ad med admin
nistratörsrätttigheter på datorn
2. Installera därefter Net iD inloggad me
ed administra
atörsrättigheter på datornn
3. O
Firefox så fin
Om nu någo
on ny använd
dare kommerr till datorn oc
ch loggar på och startar F
nns inte
kkopplingen där
d utan mås
ste göras om
m för den användaren. Inte
e bra, men ssant. Det finn
ns tre sätt
a
att aktivera kopplingen
k
mellan
m
Firefoxx och Net iD;
Arkiv – Instä
a
a) Öppna Ne
et iD Adminis
stration, välj A
ällningar och tryck ”OK”, vväntar till dett ”snurrat”
kklart. Nu harr kopplingen gjorts för alla
a Firefox-pro
ofiler som den
n inloggade aanvändaren har.
b
b) Öppna en
n lokal fil prep
parerad för a
att lägga till PKCS#11-mo
P
odulen på rättt sätt
cc) Manuellt via
v Firefox grränssnitt. Re
ekommenderas dock inte då kopplingeen görs på ett
e felaktigt
ssätt som resulterar i att man
m måste s lå både PIN1
1 och PIN2 fö
ör att t.ex. loogga på en webbsida.
w
Firefox prrofiler finns i:
%APPDA
ATA%\Mozilla\\Firefox\Profile
es\xxxxxxxx.de
efault\
%APPDA
ATA% är kortfo
orm för mappe
en:
C:\Users\\<användarnamn>\AppData
a\Roaming\ (W
Windows 7)
eller
C:\Docum
ments and Setttings\<använd
darnamn>\App
plication Data\\ (Windows XP
P)
(<använd
darnamn> hän
nger samman med namnet p
på ditt använd
darkonto i Windows)
Den versio
on som använd
des för skärmdu
umpar och testt ovan var:
Certifik
katsval i Firrefox
Hur certiifikatsvalet ser ut i Interne
et Explorer n
när man t.ex.. ska logga på
p SITHS Sjäälvadministra
ation vet
de flesta
a som arbetar med kortutffärdande:
Använde
er man samm
ma kort i Fire
efox ser det u
ut såhär:
Förutom
m att dialogen
n är ett bra ex
xempel på fe
enomenet ”av
v ingenjörer för ingenjöreer” så är logik
ken bakom
behäftad
d med ett fel som gör att kort som rym
mmer flera po
otentiella inlo
oggningscerttifikat så är det inte alls
säkert attt de visas allls av Firefox
x. Det beror p
på att Firefox
x inte hantera
ar det faktum
m att flera cerrtifikat kan
ha samm
ma ”label”. Se
ecMaker arb
betar tillsamm
mans med Cy
ygate för att hitta en lämpplig lösning på
p detta.
19. B
Bilaga 7 – Cittrix
Detta är inte platsen för en fullstä
ändig genom
mgång av Citrrix alla produ
ukter och hurr de fås att fu
ungera
med SIT
THS-korten och
o Net iD. Men
M viss basiinformation kan
k vara på sin
s plats.
Access Gatteway
Citrix A
Citrix Acccess Gatewa
ay är en fam
milj av SSL VP
PN-enheter som
s
leverera
ar säker tillgåång till alla
applikationer med po
olicy baserad
d SmartAcce sskontroll. Med
M Access Gateway
G
får företag och
organisa
ationer kostnadseffektiva möjligheter att möta krav
ven på applikationsleveraans oavsett
plats, mö
öjliggöra flexxibelt arbete, förenkla outtsourcing och
h tillgång för externa anvä
vändare
samtidig
gt som högsta
a nivå på info
ormationssäkkerheten bib
behålls.
För att kkunna använd
da Access Gateway
G
med
d smarta kortt behövs Adv
vanced eller Enterprise Edition.
E
Via
SecMake
ers återförsä
äljare kan fas
stprispaket kö
öpas för att konfigurera
k
lösningen påå rätt sätt tillsammans
med SIT
THS-kort.
Såhär ka
an det se ut ”live”
”
Oansluten
n Menyn i aktivitetsfältet Uppkoppling – steg 1 (Internet E
Explorer kan kon
nfigureras så attt certifikatsvalsd
dialogen kan undertryckas i de fall bara ett valbbart certifikat fin
nns)
Uppkoppling – steg 2 Tyvärr lisstas här alla certifikat som
m finns i MyS
Store. Detta är en detalj vi
v diskuterar med Citrix då
d det kan
upplevass som onödig
gt att återigen behöva vä
älja certifikat och denna gång
g
dessutoom bland flerr än ett.
Laddar sid
dan Inloggad m
med publicerad
de applikatione
er tillgängliga ooch Outlook sta
artad i ”seamless”‐läge Den versio
on som använd
des för testet ovvan var: Citrix X
XenDesktop
p
Citrix Acccess Gatewa
ay är en fam
milj av SSL VP
PNenheter som levererarr säker tillgånng till alla
applikationer med po
olicy baserad
d SmartAcce sskontroll. Med
M Access Gateway
G
får företag och
organisa
ationer kostnadseffektiva möjligheter att möta krav
ven på applikationsleveraans oavsett
plats, mö
öjliggöra flexxibelt arbete, förenkla outtsourcing och
h tillgång för externa anvä
vändare
samtidig
gt som högsta
a nivå på info
ormationssäkkerheten bib
behålls.
Via SecM
Makers återfförsäljare kan
n fastprispakket köpas för att konfigure
era lösningenn på rätt sättt
tillsammans med SIT
THS-kort.
an det se ut ”live”
”
Såhär ka
Under ansslutning Uppkopplingen sker med
d hjälp av korte
et och PIN‐dialoogen visas bara
a om PIN inte a
angetts tidigaree de applikatione
er Publicerad
Uppkoppling mot publice
erad applikatio
on Citrixpro
ogrammet pnamain.exe hör
h till katego
orin program som automa
atiskt väljer ”ddefault certifficate”
(Standarrdbehållare) även om korrtet innehålle
er flera poten
ntiellt valbara
a certifikat (anndra exempe
el är
runas.exxe, MS VPN--klient och ne
et use). Om ””fel” cert råka
ar vara defau
ult går det fe l och Citrix visar
v
rött
men säg
ger inget om varför. Men det finns ett vapen: Net iD:s
i
funktion för att sätta defaultcertifikat per
applikation. Bra att veta
v
när pålog
ggningen ofö
örklarligt misslyckas…
När det g
gäller möjligh
heten att slip
ppa en extra PIN-inmatnin
ng när man går
g mot Citrixx-servern giv
vet att man
loggat på
å Windows med
m sitt kort så ser det i sskrivande stu
und ut såhär:
F
Från
Windows
Windows
Windows
Windows
XP
XP
7
7
Till
Citrix på Win
ndows Serverr 2003
Citrix på Win
ndows Serverr 2008/2008 R2
R
Citrix på Win
ndows Serverr 2003
Citrix på Win
ndows Serverr 2008/2008 R2
R
R
Resultat
Fung
gerar
Fung
gerar
Fung
gerar inte, PIN
N måste anges
s igen
Fung
gerar inte, PIN
N måste anges
s igen
Vi arbeta
ar tillsamman
ns med Citrix
x för en lösniing på det ov
vanstående.
Den versio
on som använd
des för testet ovvan var: Här ses ett SITHS‐kort däär ”inloggnings‐HCC:t” är defaault nnat SITHS‐kortt där det ”interna” certifikatett är default
Här ett an
20. B
Bilaga 8 – Microsofft VPN
SITHS-kkorten fungerrar bra med den
d i Window
ws inkluderade VPN-klien
nten. Vissa ddetaljer är do
ock lite
märkliga
a men känner man till dem
m går de att hantera.
enkel och rättfram.
Konfigurration och an
nvändning av
v klienten är e
Menyn förr att koppla up
pp VPN efter på
åloggning och m
motsvarigheten
n innan Window
ws‐inloggning sskett: VPN‐klientens PIN‐dialogg: ent
Bra att kkänna till om MS VPN-klie
A)
Om man
n slår fel PIN--kod så försö
öker ändå kliienten att koppla upp sig, efter mångaa långa seku
under
kommer meddelande
et om att det var fel PIN-kkod. Lite märklig ordning då PIN-kodeen inte valide
eras på
VPN-serrvern utan lokalt.
B)
program som
Även Miccrosofts VPN
N-klient hör till kategorin p
m automatisk
kt väljer ”defaault certificatte” även
om korte
et innehåller flera potentie
ellt valbara ccertifikat (and
dra exempel är runas.exee, pnmain.ex
xe och net
use). Om
m ”fel” cert rå
åkar vara deffault går det ffel. Tyvärr ärr Microsofts VPN-klient
V
ggjord på ett sådant sätt
att man inte kan använda Net iD::s funktion fö
ör att sätta ”d
default certifik
kat” per appllikation. Man
n får helt
enkelt se
e till att ha uttfärdarrutinerr som ser till att ”rätt certiifikat” blir ”de
efault certifikaat”.
Notera den
n vilseledande formuleringen
f
i felmeddelandet
f
t. Det sägs att certifikatet
c
är ogiiltigt. Det är det inte alls, det är inte betrott
för uppkop
ppling mot just denna
d
VPN-Serv
ver, men det är inte samma sak som ogiltigt.