Tekniske forutsetninger

Sertifikat

Kjernejournal sine sertifikater er utstedt av Buypass, så klientsystemer må stole på rot-sertifikatene til Buypass:

Navn

Nedlastingsurl

Buypass Class 3 Root CA

https://www.buypass.no/cert/BPClass3RootCA.cer

Buypass Class 2 Root CA

https://www.buypass.no/cert/BPClass2RootCA.cer

Sertifikater kan administreres i Windows gjennom Certificate Manager (certlm.msc). Korrekt plassering for rotsertifikater er Local Computer / Trusted Root Certification Authorities / Certificates.

Dette er normalt på plass som standard fra leverandøren av operativsystem/kjøremiljø.

Klokkeinnstillinger

Kjernejournal krever at klientene har korrekt klokke, så det anbefales å ha synkronisering mot tidsserver på plass. På Helsenettet kan ntp.nhn.no brukes.

Åpninger i brannmur

Kjernejournal

Kjernejournal har følgende endepunkter i produksjon:

DNS-navn

IP-adresse

Port

Beskrivelse

DNS-navn

IP-adresse

Port

Beskrivelse

kjernejournal.no

91.186.92.85

443

Portal

api.kjernejournal.no

91.186.92.86

8000

API

hjelp.kjernejournal.no

83.118.132.0/22

443

Hjelpesider

Identitetstilbyder

I tillegg må man åpne opp mot den identitestilbyderen som skal benyttes:

DNS-navn

IP-adresse

Port

Beskrivelse

DNS-navn

IP-adresse

Port

Beskrivelse

secure.nhn.buypass.no

91.186.95.67

443

Buypass-innlogging

app06.commfides.com

91.186.95.25

443

Commfides-innlogging (javafri)

HelseID

HelseID finnes både på Helsenett og Internett, og det er "split DNS" slik at man får Helsenett-adressen om man spør NHNs navnetjenere på Helsenett, ellers får man Internett-adressen.

Benytter man HelseID på Helsenett vil man også benytte Buypass/Commfides på Helsenett, og omvendt. Så det er altså DNS-oppslaget som bestemmer hvilke åpninger man må gjøre.

DNS-navn

Internett-IP

Helsenett-IP

Port

Beskrivelse

DNS-navn

Internett-IP

Helsenett-IP

Port

Beskrivelse

helseid-sts.nhn.no

91.186.66.76

83.118.188.93

91.186.92.124

91.186.86.41

443

HelseID

secure.buypass.no

secure.nhn.buypass.no

185.62.160.142
185.62.162.142

91.186.95.67

443

Buypass-innlogging

app03.commfides.com

app06.commfides.com

91.232.83.41

91.186.95.25

443

Commfides javafri

idporten.difi.no

oidc.difi.no

146.192.252.60

146.192.252.54

N/A

443

ID-porten. Kun på Internett.

csfe.bankid.no

auth.bankid.no

login.bankid.no

193.26.146.36

79.171.82.40

79.171.82.41

N/A

443

BankID, via ID-porten. Kun på Internett.

Revokeringstjenester

Siden sertifikatene til kjernejournal er utstedt av Buypass vil klienten som regel prøve å nå Buypass sine revokeringstjenester, så det må åpnes for disse. Disse finnes både på Helsenett og Internett, og det er "split DNS" slik at man får Helsenett-adressene om man spør NHNs navnetjenere på Helsenett, ellers får man Internett-adressene.

DNS-navn

Internett-IP

Helsenett-IP

Port

DNS-navn

Internett-IP

Helsenett-IP

Port

ocsp.buypass.no

185.62.160.144, 185.62.162.144

91.186.95.65

80

crl.buypass.no

185.62.160.145, 185.62.162.145

91.186.95.66

80

Skulle man ønske å bruke tjenestene på Helsenett uten å bruke NHNs navnetjenere, må man enten overstyre i lokal DNS** (evt. hosts-fil), eller så må trafikk mot Internett-adressene NAT-es mot Helsenett-adressene.

**Velger man DNS-løsningen, så vær forsiktig så ikke hele buypass.no-sonen blir overkjørt, da dette kan skape problemer med andre tjenester mot Buypass (f.eks. e-post). Vær også forsiktig så endringen kun blir gjeldene for de som har tilgang til Helsenett, da Helsenett-adressene ikke er tilgjengelig på Internett.

 

© Norsk helsenett - kjernejournal