/
RA flytt eller fusjonering - MAL
Document toolboxDocument toolbox

RA flytt eller fusjonering - MAL

Owned by Marita Gustavsen
Last updated: 27 Jan 2025
6 min read

Beskrivelse

 

Dato og tid for nøkkelseremonien

 

Status for nøkkelseremonien

planlegges

Dato og tid for aktivering, switchover og revokering

 

Status for aktivering, switchover og revokering

planlegges

Referanser

 

Andre kommentarer

 

Ressurser hos bank og TSP:

Rolle

Navn

Kontaktinformasjon

Rolle

Navn

Kontaktinformasjon

Key custodian

 

 

Andre

 

 

Ressurser hos BankID:

Rolle

Navn

Kontaktinformasjon

Rolle

Navn

Kontaktinformasjon

Koordinator

 

 

PKI

 

 

App

 

 

Definisjoner:

Hva

Beskrivelse

English

Hva

Beskrivelse

English

Nøkkelseremoni

Fysisk møte med alle nødvendige deltagere.
Dette er når nytt RA-sertifikat opprettes i sikkerhetsrom / rød sone.

The physical meeting with all necessary participants.
This is when the new RA certificate is created in red zone.

Aktivering

Når det nye sertifikatet blir aktivert på BankID sin side.
Dette gjøres ikke under nøkkelseremonien, men normalt innen kort tid etter opprettelsen om ikke annet er avtalt.

When the new certificate is activated on BankID side.
This is usually done at another time than the ceremony.

Switchover

Når trafikken flyttes fra gammel CA til ny CA.
Gjelder kun når en RA flytter fra en CA til en annen.

When the traffic is switched from the old CA to the new CA.
Only applicable when moving from one CA to another.

Rutine:

Steg

Beskrivelse

Ansvarlig

Oppgave

Frist

Status

Dokumenter og kommentarer

Steg

Beskrivelse

Ansvarlig

Oppgave

Frist

Status

Dokumenter og kommentarer

1) Opprett interne rutiner

Den respektive TSP eller bank må ha på plass interne rutiner for flytt av RA.

TSP eller Bank

Sett opp rutiner for blant annet:

  • Hvordan håndtere OTP tokens

  • Påvirkning for sluttbrukerne

  • Informasjon til sluttbrukere

  • Hvordan håndtere logger og hvordan/hvem som skal arkiveres (adminlogger for sertifikater)

Merk at TSP/Bank selv er ansvarlig for å håndtere sluttbrukersertifikatene gjennom hele prosessen, inkludert tilbakekalling av gamle sertifikater.



planlegges



2) Godkjenning fra BITS

Det er et krav med godkjenning fra BITS før flytt eller fusjonering av RA kan bestilles.

TSP eller Bank



planlegges

Informasjon fra BITS om prosessen:

Ved juridisk fusjon

3) Send bestillingsskjema til BankID

Den respektive TSP eller bank må fylle ut nødvendige bestillingsskjemaer og sende de til BankID i signert tilstand.

TSP eller Bank

TSP/bank oppretter en sak her som inkluderer følgende:

  • RA order form

  • Godkjenning fra BITS (fra steg 2)

 

planlegges

Skjemaer og maler finnes her: Misc forms for BankID Support

4) Sendt endringsforespørsel til BankID

BankID trenger informasjon fra TSP/bank for å passe på at alle interne systemer er oppdaterte etter endringen.

TSP eller Bank

TSP/bank oppretter en sak her med all relevant informasjon.

 

planlegges

Eksempler på interne systemer som oppdateres:
Splunk Partnerinnsikt
BankID App
Biometri Backoffice
Passord resett
etc.

5) Utfør endringer

Navneendringer etc.

BankID Primary.jpg

BankID følger opp interne endringer, som bestilt i steg 3 og 4:

BankID App
Biometri
BASS
Splunk Partnerinnsikt
Antisvindel
Database
Tilgangspakker
Bestillingsportalen

 

planlegges

 

Ved teknisk fusjon

6) Sørg for at forutsetningene er i orden

Primær CAO token "dongle" er normalt lagret i en safe hos den respektive TSP (CA ansvarlige).

Den respektive Key Custodian for TSP’en er ansvarlig for å bære og bringe RA XML-forespørselen og den primære CAO token "dongelen" til nøkkelseremonien.

Key Custodian for TSP’en

  • Opprett en RA XML request i TSP’en sitt system, for eksempel ved å benytte HAT-verktøyet

  • Sørg for at USB-pinnen er ny og ubrukt

  • Sørg for at Key Custodian har godkjent identifikasjon, som pass eller førerkort (om Key Custodian ikke er norsk statsborger må det benyttes pass)



planlegges

Siste versjon av HAT-verktøyet kan lastes ned på Releaseweb.

7) Send bestilling til BankID

Den respektive TSP eller bank må bestille nøkkelseremoni hos BankID.

TSP eller Bank

TSP/bank oppretter en sak her som inkluderer følgende:

  • Hva endringen gjelder

  • Ønsket tidspunkt for nøkkelseremonien

  • Ønsket tidspunkt for switchover

  • Revoke RA XML Request (Ved behov)

 

planlegges

Skjemaer og maler finnes her: Misc forms for BankID Support

8) Koordinering av nøkkelseremoni

BankID vil sørge for at alt er på plass og koordinere seremonien og switchover med alle interessenter.

BankID Primary.jpg

Alle interessenter blir enige om dato og tid for følgende:

RA ceremony
2. Switchover
3. Revoke the old RA Certificate (Optional)



planlegges



9) Sende møteinnkalling

BankID sender ut møteinnkalling for nøkkelseremonien

Møteinnkalling sendes ut til alle interessenter.

Innkallingen skal inneholde, men ikke begrenset til:

  • Formål og beskrivelse

  • Dato

  • Tidspunkt

  • Varighet

  • Adresse

  • Deltagere og kontaktinfo

  • Informasjon om hva som skal medbringes



planlegges



Nøkkelseremoni - Key Custodian for den respektive TSP er fysisk tilstede med deres primære CAO token og RA XML sign request.

10) Kontroll før nøkkelseremonien

BankID vil møte deltagerne og kontrollere at alt er OK for å gjennomføre nøkkelseremonien.

  • Deltagere må signere seg inn ut og

  • Alle nødvendige ressurser er på plass

    • Key Custodian

    • PKI

    • App

  • SO kontrollerer Key Custodian sin ID

  • Det gjøres manuelt en virusscanning av USB-pinnen før sikkerhetsrom (USB-pinnen som inneholder RA XML Sign request)

  • All nødvendig dokumentasjon er på plass

    • Merk at RA bestillingsskjema skal oppbevares i BankID sikkerhetsrom. Om skjemaet er signert elektronisk skal en kopi av dokumentet oppbevares

 

planlegges

 

11) Gjennomfør RA nøkkelseremoni

Key Custodian gjennomfører nøkkelseremonien sammen med BankID

BankID vil veilede Key Custodian gjennom utstedelse av nye RA XML/SSL-sertifikater på ny CA.

Key Custodian er ansvarlig for at endringene som er gjort er i henhold til dokumentasjonen.

 

planlegges

 

Etter nøkkelseremonien

12) Aktivering

BankID vil aktivere det nye sertifikatet

Aktivering av nytt RA-sertifikat. Vanligvis gjort innen 24 timer etter nøkkelseremonien, om ikke annet er avtalt.

Utført av AO med bistand fra PKI.

 

planlegges

 

13) Kontroll av sertifikatet

Kontroller at det nye sertifikatet fungerer

TSP eller Bank

TSP/bank må kontrollere at det nye sertifikatet fungerer mot ODS.

Ved flytt fra en CA til en annen:
Kontroller at det nye sertifikatet har tilgang til å vise de eksisterende sertifikatene fra gammel CA.

 

planlegges

 

14) Switchover

Gjennomfør switchover.

TSP, Bank og

  1. BankID:

    1. Gjennomfører switchover

    2. De som gjør switchoveren vil informere TSP/bank via telefon eller e-post når det er gjort

  2. TSP/Bank: Kjør tester for å verifisere

    1. Hvis vellykket, gå til neste steg

    2. Hvis det feiler vil BankID undersøke og rette problemet

    3. Hvis det feiler og ikke er mulig å rette vil BankID gjennomføre en rollback

      1. Når rollback er gjennomført må TSP/Bank igjen kjøre tester for å verifisere

 

planlegges

 

15) Revokering (om behov)

Revokering av gammelt sertifikat

BankID

BankID vil revokere sertifikatet som bestemt i steg 6.

 

planlegges

 

16) Fornyelser

Fornyelser av sluttbrukersertifikater, brukerstedssertifikater, etc.

Som bestemt i steg 1.

TSP eller Bank

Ved flytt fra en CA til en annen:

  1. Bank fornyer sluttbrukernes BankID sertifikater

  2. Bank ber brukerstedene om å fornye brukerstedssertifikatene ved å benytte HAT-verktøyet

  3. Mulig endring av OTP-tjeneste ved å legge til en ny og deretter fjerne den gamle

Dette gjøres helst utenfor arbeidstid for å redusere risikoen for forsinkelser.

 

planlegges

Siste versjon av HAT-verktøyet kan lastes ned på Releaseweb.