Content Comparison

1) Opprett interne rutiner

Den respektive TSP eller bank må ha på plass interne rutiner for flytt av RA.

TSP eller Bank

Sett opp rutiner for blant annet:

• Hvordan håndtere OTP tokens

• Påvirkning for sluttbrukerne

• Informasjon til sluttbrukere

• Hvordan håndtere logger og hvordan/hvem som skal arkiveres (adminlogger for sertifikater)

Merk at TSP/Bank selv er ansvarlig for å håndtere sluttbrukersertifikatene gjennom hele prosessen, inkludert tilbakekalling av gamle sertifikater.

2) Godkjenning fra BITS

Det er et krav med godkjenning fra BITS før flytt eller fusjonering av RA kan bestilles.

TSP eller Bank

• TSP/Bank beskriver endringen

• Send e-post til Torgeir.Sorvik@bits.no for godkjenning

Informasjon fra BITS om prosessen:

Ved juridisk fusjon

3) Send bestillingsskjema til BankID

Den respektive TSP eller bank må fylle ut nødvendige bestillingsskjemaer og sende de til BankID i signert tilstand.

TSP eller Bank

TSP/bank oppretter en sak her som inkluderer følgende:

• RA order form

• Godkjenning fra BITS (fra steg 2)

Skjemaer og maler finnes her: Misc forms for BankID Support

4) Sendt endringsforespørsel til BankID

BankID trenger informasjon fra TSP/bank for å passe på at alle interne systemer er oppdaterte etter endringen.

TSP eller Bank

TSP/bank oppretter en sak her med all relevant informasjon.

Eksempler på interne systemer som oppdateres:
Splunk Partnerinnsikt
BankID App
Biometri Backoffice
Passord resett
etc.

5) Utfør endringer

Navneendringer etc.

BankID følger opp interne endringer, som bestilt i steg 3 og 4:

•  BankID App
•  Biometri
•  BASS
•  Splunk Partnerinnsikt
•  Antisvindel
•  Database
•  Tilgangspakker
•  Bestillingsportalen

Ved teknisk fusjon

6) Sørg for at forutsetningene er i orden

Primær CAO token "dongle" er normalt lagret i en safe hos den respektive TSP (CA ansvarlige).

Den respektive Key Custodian for TSP’en er ansvarlig for å bære og bringe RA XML-forespørselen og den primære CAO token "dongelen" til nøkkelseremonien.

Key Custodian for TSP’en

• Opprett en RA XML request i TSP’en sitt system, for eksempel ved å benytte HAT-verktøyet

• Sørg for at USB-pinnen er ny og ubrukt

• Sørg for at Key Custodian har godkjent identifikasjon, som pass eller førerkort (om Key Custodian ikke er norsk statsborger må det benyttes pass)

Siste versjon av HAT-verktøyet kan lastes ned på Releaseweb.

7) Send bestilling til BankID

Den respektive TSP eller bank må bestille nøkkelseremoni hos BankID.

TSP eller Bank

TSP/bank oppretter en sak her som inkluderer følgende:

• Hva endringen gjelder

• Ønsket tidspunkt for nøkkelseremonien

• Ønsket tidspunkt for switchover

• Revoke RA XML Request (Ved behov)

Skjemaer og maler finnes her: Misc forms for BankID Support

8) Koordinering av nøkkelseremoni

BankID vil sørge for at alt er på plass og koordinere seremonien og switchover med alle interessenter.

Alle interessenter blir enige om dato og tid for følgende:

•  RA ceremony
•  2. Switchover
•  3. Revoke the old RA Certificate (Optional)

9) Sende møteinnkalling

BankID sender ut møteinnkalling for nøkkelseremonien

Møteinnkalling sendes ut til alle interessenter.

Innkallingen skal inneholde, men ikke begrenset til:

• Formål og beskrivelse

• Dato

• Tidspunkt

• Varighet

• Adresse

• Deltagere og kontaktinfo

• Informasjon om hva som skal medbringes

Nøkkelseremoni - Key Custodian for den respektive TSP er fysisk tilstede med deres primære CAO token og RA XML sign request.

10) Kontroll før nøkkelseremonien

BankID vil møte deltagerne og kontrollere at alt er OK for å gjennomføre nøkkelseremonien.

• Deltagere må signere seg inn ut og

• Alle nødvendige ressurser er på plass

  • Key Custodian

  • PKI

  • App

• SO kontrollerer Key Custodian sin ID

• Det gjøres manuelt en virusscanning av USB-pinnen før sikkerhetsrom (USB-pinnen som inneholder RA XML Sign request)

• All nødvendig dokumentasjon er på plass

  • Merk at RA bestillingsskjema skal oppbevares i BankID sikkerhetsrom. Om skjemaet er signert elektronisk skal en kopi av dokumentet oppbevares

11) Gjennomfør RA nøkkelseremoni

Key Custodian gjennomfører nøkkelseremonien sammen med BankID

BankID vil veilede Key Custodian gjennom utstedelse av nye RA XML/SSL-sertifikater på ny CA.

Key Custodian er ansvarlig for at endringene som er gjort er i henhold til dokumentasjonen.

Etter nøkkelseremonien

12) Aktivering

BankID vil aktivere det nye sertifikatet

Aktivering av nytt RA-sertifikat. Vanligvis gjort innen 24 timer etter nøkkelseremonien, om ikke annet er avtalt.

Utført av AO med bistand fra PKI.

13) Kontroll av sertifikatet

Kontroller at det nye sertifikatet fungerer

TSP eller Bank

TSP/bank må kontrollere at det nye sertifikatet fungerer mot ODS.

Ved flytt fra en CA til en annen:
Kontroller at det nye sertifikatet har tilgang til å vise de eksisterende sertifikatene fra gammel CA.

14) Switchover

Gjennomfør switchover.

TSP, Bank og

1. BankID:

   1. Gjennomfører switchover

   2. De som gjør switchoveren vil informere TSP/bank via telefon eller e-post når det er gjort

2. TSP/Bank: Kjør tester for å verifisere

   1. Hvis vellykket, gå til neste steg

   2. Hvis det feiler vil BankID undersøke og rette problemet

   3. Hvis det feiler og ikke er mulig å rette vil BankID gjennomføre en rollback

      1. Når rollback er gjennomført må TSP/Bank igjen kjøre tester for å verifisere

15) Revokering (om behov)

Revokering av gammelt sertifikat

BankID

BankID vil revokere sertifikatet som bestemt i steg 6.

16) Fornyelser

Fornyelser av sluttbrukersertifikater, brukerstedssertifikater, etc.

Som bestemt i steg 1.

TSP eller Bank

Ved flytt fra en CA til en annen:

1. Bank fornyer sluttbrukernes BankID sertifikater

2. Bank ber brukerstedene om å fornye brukerstedssertifikatene ved å benytte HAT-verktøyet

3. Mulig endring av OTP-tjeneste ved å legge til en ny og deretter fjerne den gamle

Dette gjøres helst utenfor arbeidstid for å redusere risikoen for forsinkelser.

Siste versjon av HAT-verktøyet kan lastes ned på Releaseweb.