Tjänstebeskrivning för tillitsförteckningstjänst

Du som utvecklar en valideringstjänst kan använda dig av vår tillitsförteckningstjänst för att kontrollera om ett underskriftscertifikat är utgivet av en betrodd utfärdare. Här hittar du information om tillitsförteckningstjänstens API.

1 Inledning

1.1 Dokumentinformation

1.1.1 Syfte

Syftet med den här informationen är att ge en komplett beskrivning av Tillitsförteckningstjänsten genom att beskriva dess verksamhetssammanhang, funktion, teknisk information och åtkomst.

1.1.2 Målgrupp

Den här informationen vänder sig till intressenter inom och utom Myndigheten för digital förvaltning som vill använda Tillitsförteckningstjänstens API.

1.1.3 Begrepp och definitioner

Specifika begrepp för denna tjänst beskrivs i tabellen nedan.

Specifika begrepp för tillitsförteckningstjänsten.
Begrepp	Förklaring
CRL	Certificate Revocation List
OCSP	Online Certificate Status Protocol

1.2 Tjänstebeskrivning

1.2.1 Verksamhetsbeskrivning

En valideringstjänst kan inte på egen hand avgöra om ett underskriftscertifikat är utgivet av en betrodd utfärdare, utan tjänsten gör denna kontroll mot en så kallad tillitsförteckning. Tillitsförteckningen är en lista på betrodda tillitstjänster, som kan intyga giltigheten av ett utfärdat underskriftscertifikat.

En tillitsförteckningstjänst kan innehålla olika tillitsförteckningar som baseras på olika förtroendenivåer och regelverk, en s.k. tillitspolicy. Denna tillitsförteckningstjänst tillhandahåller en tillitsförteckning som för närvarande är en förteckning över kvalificerade tillhandahållare av betrodda tjänster inom EU.

1.2.2 Funktionsbeskrivning

EU tillhandahåller en elektroniskt stämplad topplista TSL (Trusted List) som listar alla EU-ländernas nationella Trusted List.

Via topplistan laddar tillitsförteckningstjänsten hem respektive lands Trusted List som innehåller en elektroniskt stämplade lista av tillitstjänster från respektive land. Utifrån dessa listor skapas en lista av de tillitstjänster som motsvarar kraven för respektive tillitspolicy.

För varje tillitspolicy utfärdar tjänsten sedan med hjälp av tjänstens CA-funktion, ett certifikat för varje betrodd tillitstjänst, där Digg står som utgivare av certifikaten.

Tjänsten kan konfigureras med ett flertal olika tillitspolicyer som anger reglerna för att tillitstjänster skall anses vara betrodda för att användas vid validering av elektroniska underskrifter. För varje tillitspolicy har tjänsten ett rotcertifikat från vilka nya certifikat utfärdas via tjänstens underliggande CA-funktion.

1.3 Villkor

Tjänsten är publikt åtkomlig.

2 Tjänstens logiska gränssnitt

Tabellen nedan visar de operationer som är möjliga att anropa i tjänsten

De operationer som är möjliga att anropa i tjänsten.
Operation	Beskrivning	Meddelande
Rotcertifikatlista	Alla rotcertifikat för Tillitsförteckningstjänsten. Ett per konfigurerad tillitspolicy.	Rotcertifikaten levereras i en JSON Web Token (JWT), signerad med Tillitsförteckningstjänstens certifikat se 1.2.1.4
Policy certifikatlista	Alla utfärdade certifikat för respektive policy. Policyer konfigurerad I QA miljön: euqualified All EU Qualified Certificate issuers and Qualified time stamp services.	Paketeras i en PKCS7 certifikatsfil (.p7b format)
Policy originalcertifikat	Certifikat för alla godkända tillitstjänster enligt respektive policy som inhämtats direkt från respektive lands Trusted List.	Certifikaten levereras i en JSON Web Token (JWT), signerad med Tillitsförteckningstjänstens certifikat s1.2.1.4
Signaturcertifikat	Tillitsförteckningstjänstens certifikat som används för att signera JWT:er.	Certifikat i PEM-format
Spärrlista CRL	Spärrlista från CA.	CRL enligt RFC 5280 https://datatracker.ietf.org/doc/html/rfc5280
Spärrkontroll OCSP	Spärrkontroll OCSPRequest enligt RFC 6960, Appendix A, A1 - OCSP over HTTP (POST) https://datatracker.ietf.org/doc/html/rfc6960	OCSPResponse enligt RFC 6960, Appendix A, A2 - OCSP over HTTP https://datatracker.ietf.org/doc/html/rfc6960

3 Tjänstens tekniska gränssnitt

3.1 Användargränssnitt

Tjänsten har ett enkelt webbgränssnitt där man kan hämta hem samtliga rotcertifikat för respektive policy, hämta tjänstens signeringscertifikat samt se de konfigurerade policyer som finns.

https://underskriftsvalidering.digg.se/trust Länk till annan webbplats.

3.2 Teknisk anslutning

3.2.1 Tillitsförtecknings API

https://underskriftsvalidering.digg.se

API för tjänsten
Operation	Metod	Bindning	Meddelande
Rotcertifikatlista	GET	/trust/rootlist	Certifikatlista *
Policy certifikatlista	GET	/svca/certs/{policyname}.p7b	.p7b
Policy originalcertifikat	GET	/trust/cert-list	Certifikatlista *
Signaturcertifikat	GET	/trust/cert	PEM-format

3.2.2 Spärrkontroll API

Spärrkontroll API
Operation	Metod	Bindning
Spärrlista	GET	/svca/crl/{policyname}.crl
Spärrkontroll	POST	/svca/ocsp/{policyname}

3.3 Teckenkodning

UTF-8

3.4 http-statuskoder och felmeddelanden

Statuskoder och felmeddelanden
http-status	Felmeddelande	Beskrivning av meddelande (Nedanstående beskrivningar skickas inte med i API)
200	N/A	Lyckad förfrågan
404	Not found	Den efterfrågade resursen återfanns ej
500	Internal server error	Internt fel

Hjälpte denna information dig?

Ditt svar hjälper oss att förbättra sidan

Senast uppdaterad: 27 mars 2024

Tillbaka till toppen