Tekniske forutsetninger

Sertifikat

Kjernejournal sine sertifikater er utstedt av Buypass, så klientsystemer må stole på rot-sertifikatene til Buypass:

Navn	Nedlastingsurl
Buypass Class 3 Root CA	https://www.buypass.no/cert/BPClass3RootCA.cer
Buypass Class 2 Root CA	https://www.buypass.no/cert/BPClass2RootCA.cer

Sertifikater kan administreres i Windows gjennom Certificate Manager (certlm.msc). Korrekt plassering for rotsertifikater er Local Computer / Trusted Root Certification Authorities / Certificates.

Dette er normalt på plass som standard fra leverandøren av operativsystem/kjøremiljø.

Klokkeinnstillinger

Kjernejournal krever at klientene har korrekt klokke, så det anbefales å ha synkronisering mot tidsserver på plass. På Helsenettet kan ntp.nhn.no brukes.

Åpninger i brannmur

Kjernejournal

Kjernejournal har følgende endepunkter i produksjon:

DNS-navn	IP-adresse	Port	Beskrivelse

DNS-navn	IP-adresse	Port	Beskrivelse
kjernejournal.no	91.186.92.85	443	Portal
api.kjernejournal.no	91.186.92.86	8000	API
hjelp.kjernejournal.no	83.118.132.0/22	443	Hjelpesider

Identitetstilbyder

I tillegg må man åpne opp mot den identitestilbyderen som skal benyttes:

DNS-navn	IP-adresse	Port	Beskrivelse

DNS-navn	IP-adresse	Port	Beskrivelse
secure.nhn.buypass.no	91.186.95.67	443	Buypass-innlogging
app06.commfides.com	91.186.95.25	443	Commfides-innlogging (javafri)

HelseID

HelseID finnes både på Helsenett og Internett, og det er "split DNS" slik at man får Helsenett-adressen om man spør NHNs navnetjenere på Helsenett, ellers får man Internett-adressen.

Benytter man HelseID på Helsenett vil man også benytte Buypass/Commfides på Helsenett, og omvendt. Så det er altså DNS-oppslaget som bestemmer hvilke åpninger man må gjøre.

DNS-navn	Internett-IP	Helsenett-IP	Port	Beskrivelse

DNS-navn	Internett-IP	Helsenett-IP	Port	Beskrivelse
helseid-sts.nhn.no	91.186.66.76 83.118.188.93	91.186.92.124 91.186.86.41	443	HelseID
secure.buypass.no secure.nhn.buypass.no	185.62.160.142 185.62.162.142	91.186.95.67	443	Buypass-innlogging
app03.commfides.com app06.commfides.com	91.232.83.41	91.186.95.25	443	Commfides javafri
idporten.difi.no oidc.difi.no	146.192.252.60 146.192.252.54	N/A	443	ID-porten. Kun på Internett.
csfe.bankid.no auth.bankid.no login.bankid.no	193.26.146.36 79.171.82.40 79.171.82.41	N/A	443	BankID, via ID-porten. Kun på Internett.

Revokeringstjenester

Siden sertifikatene til kjernejournal er utstedt av Buypass vil klienten som regel prøve å nå Buypass sine revokeringstjenester, så det må åpnes for disse. Disse finnes både på Helsenett og Internett, og det er "split DNS" slik at man får Helsenett-adressene om man spør NHNs navnetjenere på Helsenett, ellers får man Internett-adressene.

DNS-navn	Internett-IP	Helsenett-IP	Port

DNS-navn	Internett-IP	Helsenett-IP	Port
ocsp.buypass.no	185.62.160.144, 185.62.162.144	91.186.95.65	80
crl.buypass.no	185.62.160.145, 185.62.162.145	91.186.95.66	80

Skulle man ønske å bruke tjenestene på Helsenett uten å bruke NHNs navnetjenere, må man enten overstyre i lokal DNS** (evt. hosts-fil), eller så må trafikk mot Internett-adressene NAT-es mot Helsenett-adressene.

**Velger man DNS-løsningen, så vær forsiktig så ikke hele buypass.no-sonen blir overkjørt, da dette kan skape problemer med andre tjenester mot Buypass (f.eks. e-post). Vær også forsiktig så endringen kun blir gjeldene for de som har tilgang til Helsenett, da Helsenett-adressene ikke er tilgjengelig på Internett.

Kjernejournal - Dokumentasjon v1