Tekniske forutsetninger
Sertifikat
Kjernejournal sine sertifikater er utstedt av Buypass, så klientsystemer må stole på rot-sertifikatene til Buypass:
Navn | Nedlastingsurl |
Buypass Class 3 Root CA | |
Buypass Class 2 Root CA |
Sertifikater kan administreres i Windows gjennom Certificate Manager (certlm.msc
). Korrekt plassering for rotsertifikater er Local Computer / Trusted Root Certification Authorities / Certificates.
Dette er normalt på plass som standard fra leverandøren av operativsystem/kjøremiljø.
Klokkeinnstillinger
Kjernejournal krever at klientene har korrekt klokke, så det anbefales å ha synkronisering mot tidsserver på plass. På Helsenettet kan ntp.nhn.no brukes.
Åpninger i brannmur
Kjernejournal
Kjernejournal har følgende endepunkter i produksjon:
DNS-navn | IP-adresse | Port | Beskrivelse |
---|---|---|---|
91.186.92.85 | 443 | Portal | |
91.186.92.86 | 8000 | API | |
83.118.132.0/22 | 443 | Hjelpesider |
Identitetstilbyder
I tillegg må man åpne opp mot den identitestilbyderen som skal benyttes:
DNS-navn | IP-adresse | Port | Beskrivelse |
---|---|---|---|
91.186.95.67 | 443 | Buypass-innlogging | |
91.186.95.25 | 443 | Commfides-innlogging (javafri) |
HelseID
HelseID finnes både på Helsenett og Internett, og det er "split DNS" slik at man får Helsenett-adressen om man spør NHNs navnetjenere på Helsenett, ellers får man Internett-adressen.
Benytter man HelseID på Helsenett vil man også benytte Buypass/Commfides på Helsenett, og omvendt. Så det er altså DNS-oppslaget som bestemmer hvilke åpninger man må gjøre.
DNS-navn | Internett-IP | Helsenett-IP | Port | Beskrivelse |
---|---|---|---|---|
91.186.66.76 83.118.188.93 | 91.186.92.124 91.186.86.41 | 443 | HelseID | |
185.62.160.142 | 91.186.95.67 | 443 | Buypass-innlogging | |
91.232.83.41 | 91.186.95.25 | 443 | Commfides javafri | |
146.192.252.60 146.192.252.54 | N/A | 443 | ID-porten. Kun på Internett. | |
193.26.146.36 79.171.82.40 79.171.82.41 | N/A | 443 | BankID, via ID-porten. Kun på Internett. |
Revokeringstjenester
Siden sertifikatene til kjernejournal er utstedt av Buypass vil klienten som regel prøve å nå Buypass sine revokeringstjenester, så det må åpnes for disse. Disse finnes både på Helsenett og Internett, og det er "split DNS" slik at man får Helsenett-adressene om man spør NHNs navnetjenere på Helsenett, ellers får man Internett-adressene.
DNS-navn | Internett-IP | Helsenett-IP | Port |
---|---|---|---|
185.62.160.144, 185.62.162.144 | 91.186.95.65 | 80 | |
185.62.160.145, 185.62.162.145 | 91.186.95.66 | 80 |
Skulle man ønske å bruke tjenestene på Helsenett uten å bruke NHNs navnetjenere, må man enten overstyre i lokal DNS** (evt. hosts-fil), eller så må trafikk mot Internett-adressene NAT-es mot Helsenett-adressene.
**Velger man DNS-løsningen, så vær forsiktig så ikke hele buypass.no
-sonen blir overkjørt, da dette kan skape problemer med andre tjenester mot Buypass (f.eks. e-post). Vær også forsiktig så endringen kun blir gjeldene for de som har tilgang til Helsenett, da Helsenett-adressene ikke er tilgjengelig på Internett.
© Norsk helsenett - kjernejournal