Till innehållet

Tjänstebeskrivning för tillitsförteckningstjänst

Du som utvecklar en valideringstjänst kan använda dig av vår tillitsförteckningstjänst för att kontrollera om ett underskriftscertifikat är utgivet av en betrodd utfärdare. Här hittar du information om tillitsförteckningstjänstens API.

1 Inledning

1.1 Dokumentinformation

1.1.1 Syfte

Syftet med den här informationen är att ge en komplett beskrivning av Tillitsförteckningstjänsten genom att beskriva dess verksamhetssammanhang, funktion, teknisk information och åtkomst.

1.1.2 Målgrupp

Den här informationen vänder sig till intressenter inom och utom Myndigheten för digital förvaltning som vill använda Tillitförteckningstjänstens API.

1.1.3 Begrepp och definitioner

Specifika begrepp för denna tjänst beskrivs i tabellen nedan.

Begrepp
Förklaring
CRL
Certificate Revocation List
OCSP
Online Certificate Status Protocol

1.2 Tjänstebeskrivning

1.2.1 Verksamhetsbeskrivning

En valideringstjänst kan inte på egen hand avgöra om ett underskriftscertifikat är utgivet av en betrodd utfärdare, utan tjänsten gör denna kontroll mot en så kallad tillitsförteckning. Tillitsförteckningen är en lista på betrodda tillitstjänster, som kan intyga giltigheten av ett utfärdat underskriftscertifikat.
En tillitsförteckningstjänst kan innehålla olika tillitsförteckningar som baseras på olika förtroendenivåer och regelverk, en s.k. tillitspolicy. Denna tillitsförteckningstjänst tillhandahåller en tillitsförteckning som för närvarande är en förteckning över kvalificerade tillhandahållare av betrodda tjänster inom EU.

1.2.2 Funktionsbeskrivning

EU tillhandahåller en elektroniskt stämplad topplista TSL (Trusted List) som listar alla EU ländernas nationella Trusted List.

Via topplistan laddar tillitsförteckningstjänsten hem respektive lands Trusted List som innehåller en elektroniskt stämplade lista av tillitstjänster från respektive land. Utifrån dessa listor skapas en lista av de tillitstjänster som motsvarar kraven för respektive tillitspolicy.

För varje tillitspolicy utfärdar tjänsten sedan med hjälp av tjänstens CA-funktion, ett certifikat för varje betrodd tillitstjänst, där DIGG står som utgivare av certifikaten.
Tjänsten kan konfigureras med ett flertal olika tillitspolicyer som anger reglerna för att tillitstjänster skall anses vara betrodda för att användas vid validering av elektroniska underskrifter. För varje tillitspolicy har tjänsten ett rotcertifikat från vilka nya certifikat utfärdas via tjänstens underliggande CA-funktion.

1.3 Villkor

Tjänsten är publikt åtkomlig.

2 Tjänstens logiska gränssnitt

Tabellen nedan visar de operationer som är möjliga att anropa i tjänsten

Operation
Beskrivning
Meddelande
Rotcertifikatlista
Alla rotcertifikat för Tillitsförteckningstjänsten. Ett per konfigurerad tillitspolicy.
Rotcertifikaten levereras i en JSON Web Token (JWT), signerad med Tillitsförteckningstjänstens certifikat se 1.2.1.4
Policy certifikatlista
Alla utfärdade certifikat för respektive policy. Policyer konfigurerad I QA miljön: euqualified
All EU Qualified Certificate issuers and Qualified time stamp services
Paketeras i en PKCS7 certifikatsfil (.p7b format)
Policy originalcertifikat
Certifikat för alla godkända tillitstjänster enligt respektive policy som inhämtats direkt från respektive lands Trusted List.
Certifikaten levereras i en JSON Web Token (JWT), signerad med Tillitsförteckningstjänstens certifikat s1.2.1.4
Signaturcertifikat
Tillitsförteckningstjänstens certifikat som används för att signera JWT:er.
Certifikat i PEM-format
Spärrlista CRL
Spärrlista från CA.
CRL enligt RFC 5280
https://datatracker.ietf.org/doc/html/rfc5280
Spärrkontroll OCSP
Spärrkontroll
OCSPRequest enligt RFC 6960, Appendix A, A1 - OCSP over HTTP (POST)
https://datatracker.ietf.org/doc/html/rfc6960
OCSPResponse enligt RFC 6960, Appendix A, A2 - OCSP over HTTP
https://datatracker.ietf.org/doc/html/rfc6960

3 Tjänstens tekniska gränssnitt

3.1 Användargränssnitt

Tjänsten har ett enkelt webgränssnitt där man kan hämta hem samtliga rotcertifikat för respektive policy, hämta tjänstens signeringscertifikat samt se de konfigurerade policyer som finns.

https://underskriftsvalidering.test.digg.se/trust

3.2 Teknisk anslutning

3.2.1 Tillitsförtecknings API

https://underskriftsvalidering.test.digg.se/

Operation
Metod
Bindning
Meddelande
Rotcertifikatlista
GET
/trust/rootlist
Certifikatlista*
Policy certifikatlista
GET
/svca/certs/
{policyname}.p7b
.p7b
Policy originalcertifikat
GET
/trust/cert-list/{policyname}
Certifikatlista*
Signaturcertifikat
GET
/trust/cert
PEM-format

*Format certifikatlista:

https://github.com/swedenconnect/sigvaltrust-service/certificate-list.md

3.2.2 Spärrkontroll API

Operation
Metod
Bindning
Spärrlista
GET
/svca/crl/{policyname}.crl
Spärrkontroll
POST
/svca/ocsp/{policyname}

3.3 Teckenkodning

UTF-8

3.4 http-statuskoder och felmeddelanden

http-status
Felmeddelande
Beskrivning av meddelande (Nedanstående beskrivningar skickas inte med i API)
200
N/A
Lyckad förfrågan
404
Not found
Den efterfrågade resursen återfanns ej.
500
Internal server error
Internt fel