Versions Compared

Old Version 23

changes.mady.by.user Unknown User (rrv@kvalitetsit.dk)

Saved on

compared with

New Version Current

changes.mady.by.user Anni Markussen

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...

Kort introduktion til service

Certificate Revocation Authority (CRA) er et tool til NSP platformen, der er ansvarlig for at opretholde en database med informationer om de certifikater der er trukket tilbage af udstederen.

CRA benyttes primært af STS.

Databasen replikeres til alle NSP miljøer således at data er tilgængelig for SecurityValve og SecurityHandler.

CRA er udviklet som en J2EE web applikation og anvender Spring til konfiguration og skedulering. Konfigurationsfilerne er specifikke for JBoss8/Wildfly som skal anvendes.

Begreber:

  • Certificate Authority (CA)

    En udsteder af X.509 certifikater. Nets og TDC er eksempler på CA’er. En CA har et enkelt rod CA certifikat og muligvis flere intermediate CA certificater som bruges til at udstede slutbruger-certifikater.
    • Certificate Revocation
    Tilbagekaldelse af et certifikat. Hvis et certifikat bliver kompromiteret kan det stadig

    anvendes

    på grund af den struktur som X.509 certifikater har. En CA vælger derfor at tilbagekalde et certifikat hvis det er nødvendigt.Certificate Revocation List (CRL)
    En liste af tilbagkaldne certifikater. Listen vedligeholdes og offentliggøres af en CA. Det er op til CA’en hvor mange forskellige CRL’er der indgår i infrastrukturen. Et certifikat udsted af en OCES CA, indeholder en URL til den CRL som certifikatet vil optræde på hvis det tilbagekaldes

    .

    Certificate Revocation Source (CRS)
    Boostrapping af CRA sker ved at angive et antal CRS’er, der til sammen indeholder alle de CRL’er der ønskes monitoreret i infrastrukturen. En CRS indeholder en eller to URL’er til CRL’er (en hvis der er tale om et OCES1 certifikat og 2 hvis det er et OCES2 certifikat) samt den certifikatkæde der knytter CRL’erne til NSP/OCES

    Komponent og versioner

    Se leverancebeskrivelse

    Kontaktoplysninger, servicebeskrivelse og testforhold
    CRA er udviklet, driftet og vedligeholdt af SDS, og alle henvendelser skal foregå gennem National Servicedesk.

    Test af servicen er beskrevet i testvejledningen.

    Leverancer

    Release 1.1.14

    Indeholder rettelser til QA kommentarer til:

    Jira
    serverNSI JIRA
    columnIdsissuekey,summary,issuetype,created,updated,duedate,assignee,reporter,priority,status,resolution
    columnskey,summary,type,created,updated,due,assignee,reporter,priority,status,resolution
    serverIde64c3bc3-001c-3439-bc53-f7a235a8cd61
    keySDS-5981

    Release 1.1.14

    Indeholder rettelser til QA kommentarer til:

    Jira
    serverNSI JIRA
    columnIdsissuekey,summary,issuetype,created,updated,duedate,assignee,reporter,priority,status,resolution
    columnskey,summary,type,created,updated,due,assignee,reporter,priority,status,resolution
    serverIde64c3bc3-001c-3439-bc53-f7a235a8cd61
    keySDS-4503

    Jira
    serverNSI JIRA
    columnIdsissuekey,summary,issuetype,created,updated,duedate,assignee,reporter,priority,status,resolution
    columnskey,summary,type,created,updated,due,assignee,reporter,priority,status,resolution
    serverIde64c3bc3-001c-3439-bc53-f7a235a8cd61
    keySDS-4094

    Release 1.1.13

    Jira
    serverNSI JIRA
    serverIde64c3bc3-001c-3439-bc53-f7a235a8cd61
    keySDS-4503

    Release 1.1.12

    Jira
    serverNSI JIRA
    serverIde64c3bc3-001c-3439-bc53-f7a235a8cd61
    keySDS-4347

    Jira
    serverNSI JIRA
    serverIde64c3bc3-001c-3439-bc53-f7a235a8cd61
    keySDS-4094

    Jira
    serverNSI JIRA
    serverIde64c3bc3-001c-3439-bc53-f7a235a8cd61
    keySDS-4328
    (fejlrettelser)

    Rettelsen i services.xml fra release 1.1.10 er trukket tilbage.

    Release 1.1.11

    Rettelse til release 1.1.10, da nogle ændringer fra SDS-4328 og SDS-4202 var faldet ud af releasen.

    Release 1.1.10

    Jira
    serverNSI JIRA
    columnskey,summary,type,created,updated,due,assignee,reporter,priority,status,resolution
    serverIde64c3bc3-001c-3439-bc53-f7a235a8cd61
    keySDS-4328

    Jira
    serverNSI JIRA
    columnskey,summary,type,created,updated,due,assignee,reporter,priority,status,resolution
    serverIde64c3bc3-001c-3439-bc53-f7a235a8cd61
    keySDS-4202

    Findings fundet ifm. brug af CRA på KIH rettet.

    Der er også fundet en uhensigtsmæssighed ifm. et af oprydningsjobbene, cleanIfGhostSerialNumberActivated, som gør at dette oprydningsjob ikke bør aktiveres.

    Ændringer til konfiguration:

    I filen services.xml er rettet følgende. cleanIfGhostSerialNumberActivated er sat til false og checkDatabaseConnection er tilføjet:

    Code Block
    <bean id="certificateRevocationCleanUp" class="dk.nsi.nsp.cra.CertificateRevocationCleanUpImpl">
	    <constructor-arg ref="certificateRevocationStoreDatabase"/>
        <constructor-arg ref="certificateRevocationSources"/>
        <constructor-arg ref="status"/>
        <!--  Activate cleanup functionality -->
        <property name="cleanActivated" value="true" />
        <property name="cleanIfRootExpiredActivated" value="true" />
        <property name="cleanIfIntermediateExpiredActivated" value="true" />
        <property name="cleanIfGhostUrlActivated" value="true" />
        <!-- Sat til false, da den bruger al CPU hvis aktiveret -->
        <property name="cleanIfGhostSerialNumberActivated" value="false" />
        <!-- Tilføjet i forbindelse med KIH rettelserne -->
        <property name="checkDatabaseConnection" value="true" />
    </bean>

    Release 1.1.9

    Jira
    serverNSI JIRA
    columnskey,summary,type,created,updated,due,assignee,reporter,priority,status,resolution
    serverIde64c3bc3-001c-3439-bc53-f7a235a8cd61
    keySDS-4037

    Release 1.1.8

    Jira
    serverNSI JIRA
    columnskey,summary,type,created,updated,due,assignee,reporter,priority,status,resolution
    serverIde64c3bc3-001c-3439-bc53-f7a235a8cd61
    keySDS-3813

    CRA er blevet opdelt i maven-moduler.

    Rettet  følgende:

    Code Block
    languageyml
    titleservices.xml
    <bean id="certificateRevocationStoreDatabase" class="dk.nsi.nsp.cra.db.DBCertificateRevocationStoreImpl" init-method="init">
	<constructor-arg ref="cra.db"/>
	<property name="rewriteBatchedStatements" value="true"/>
	<property name="cleanupSerialNumbersBatchSize" value="500"/>
	<property name="initialWaitForDatabaseConnection" value="20000"/>
	<property name="retriesWhenDatabaseConnectionFail" value="6"/>
	<property name="waitBetweenDatabaseConnectionRetries" value="5000"/>
</bean>
    Code Block
    languageyml
    titleschedule.xml
    <task:scheduled-tasks scheduler="scheduler">
	<!--  Execute  dk.nsi.nsp.cra.CertificateRevocationAuthorityImpl.update -->
	<!--  initial-delay: milliseconds until first run (1 minutes)-->
    <!--  fixed-delay: 30 minutes-->
    <task:scheduled ref="certificateRevocationAuthority" method="update" initial-delay="60000" fixed-delay="1800000"/>

    <!--  Execute  dk.nsi.nsp.cra.CertificateRevocationCleanUpImpl.cleanup -->
    <!--  initial-delay: milliseconds until first run (2 minutes)-->
    <!--  fixed-delay: milliseconds until next run from completion of previous run (1 min)-->
   	<task:scheduled ref="certificateRevocationCleanUp" method="cleanup" initial-delay="120000" fixed-delay="60000"/>
</task:scheduled-tasks>

    Release 1.1.7

    Jira
    serverNSI JIRA
    columnskey,summary,type,created,updated,due,assignee,reporter,priority,status,resolution
    serverIde64c3bc3-001c-3439-bc53-f7a235a8cd61
    keySDS-3092

    Release 1.1.6

    Jira
    serverNSI JIRA
    columnskey,summary,type,created,updated,due,assignee,reporter,priority,status,resolution
    serverIde64c3bc3-001c-3439-bc53-f7a235a8cd61
    keySDS-3884

    Tilføjet følgende:
    <property name="cleanupSerialNumbersBatchSize" value="500"/>

    til certificateRevocationStoreDatabase-bean i services.xml.

    Release 1.1.5

    Leverancen er tagget som release-1.1.5.

    Rettelse af kode efter finding ved release.

    Parameter til aktivering af oprydning af udløbet rod-certifikat var ikke stavet ens i opsætning og i koden. Ændret værdien fra "cleanIfRootExpiredActivate" til "cleanIfRootExpiredActivated" i koden.

    Release 1.1.4

    Leverancen er tagget som release-1.1.4.

    Rettelse af kode efter QA findings:

    • Status opdateres ved alle fejl
    • Fjernet udkommenteret kode.
    • Flyttet kode fra CertificateRevocationAuthorityImpl ud til oprydning ud i egen klasse CertificateRevocationCleanUpImpl.
    • Ændret struktur i oprydningskoden, så retur-værdier sendes vha. ny klasse CertificateRevocationCleanUpData.

    Release 1.1.3

    Leverancen er tagget som release-1.1.3.

    Følgende JIRA sager indgår i leverancen.

    ...

    HTML
    <iframe src="https://archi.nspop.dk/NSP/570928ca/views/id-93c48d90-bb50-436c-87c1-8816436081c7.html" name="test" height="420" width="750">You need a Frames Capable browser to view this content.</iframe>

    * Hver kasse i ovenstående diagram har en kort forklaring, som kommer frem i et nyt browservindue, når der klikkes på kassen.


    HTML
    <iframe src="https://archi.nspop.dk/NSP/570928ca/views/id-322e024d-8038-47cd-850f-02a08006ba86.html" name="test" height="290" width="750">You need a Frames Capable browser to view this content.</iframe>

    * Hver kasse i ovenstående diagram har en kort forklaring, som kommer frem i et nyt browservindue, når der klikkes på kassen.

    Kontaktoplysninger, servicebeskrivelse og testforhold
    CRA er udviklet, driftet og vedligeholdt af SDS, og alle henvendelser skal foregå gennem National Servicedesk.

    Test af servicen er beskrevet i testvejledningen.

    ...