Gå direkt till innehållet.
Suomi.fi-informationsled

Anslutning av informationssystem till anslutningsserver

I den här artikeln redogör vi för hur organisationens eget informationssystem ansluts till anslutningsserver.

De TLS‑klientcertifikat som behandlas i denna artikel är interna certifikat som organisationen skapar själv. Ansökan om dessa certifikat är inte kopplad till ansökan om certifikat för Informationsleden i Myndigheten för digitalisering och befolkningsdata:s (MDB) e‑tjänst.

Anslutningen av informationssystemet (service client), dvs. organisationens eget datasystem, till anslutningsservern sker via ett subsystem som skapats på anslutningsservern. Subsystemet identifierar informationssystemet i Informationsleden. Det används för anrop av tjänster och för specificering av användarrättigheterna till de tjänster som anslutits till Informationsleden. Informationssystemet ansluts till subsystemet genom att lägga till ett TLS-kundcertifikat till anslutningsservern.

Ett subsystem kan vara specifikt för ett informationssystem eller alternativt kan flera informationssystem som bildar en logisk helhet dra fördel av samma subsystem vid tjänsteanrop. I praktiken ska organisationerna dock alltid använda informationssystemspecifika subsystem för att användarrättigheterna till tjänsterna kan definieras endast för rätt subsystem.

Se till att du har lagt till ett subsystem till anslutningsservern innan du ansluter ditt informationssystem. Du kan hitta fler instruktioner om hur du lägger till ett subsystem i egen supportartikel.

I den här artikeln går vi igenom:

  • Information om anslutningsserverns och informationssystemets kontaktinställningar
  • Anslutning av informationssystemet till anslutningsservern:
  1. Välj kontakttyp
  2. Skapa TLS-kundcertifikat och lägg till det på anslutningsservern
  3. Ladda ner anslutningsserverns interna certifikat och för det till informationssystemet
  4. Anropning av tjänster
  5. Testa kundcertifikat

Information om anslutningsserverns och informationssystemets kontaktinställningar

Informationssystemet kan som standard endast anropa anslutningsservern via HTTPS-protokollet.

HTTPS-protokollet ska alltid användas i förbindelsen mellan informationssystemet och anslutningsservern, så att kontakten mellan din organisations informationssystem och anslutningsservern är krypterad. När HTTPS-protokollet används ska informationssystemet hänvisa till TLS-kundcertifikatet. Det ska läggas till separat i anslutningsserverns Internal TLS Certificates-lista.

Det är också alltid obligatoriskt att använda ett HTTPS-protokoll och kundcertifikat om flera olika organisationer använder samma anslutningsserver. I en sådan situation är kundcertifikatet det enda sättet att förhindra att organisationer anropar Informationsledens tjänster via varandras subsystem. Alla organisationer som använder samma anslutningsserver använder samma anropsgränssnitt och IP-adress till anslutningsservern. Därför är det inte möjligt att via brandmursinställningar förhindra att tjänsteanrop görs i någon annan organisations namn.

Anslutningsserverns eget certifikat är som standard självsignerat (s.k. self-signed), det vill säga undertecknat av servern själv. Det interna certifikatet kan också bytas i punkten TLS Certificate på sidan Keys and Certificates. Läs anvisningarna om byte av anslutningsserverns certifikat (på engelska)Öppnas i ett nytt fönster.. Tänk på att certifikatet ska vara i PEM-format.

Det finns två typer av interna certifikat:

  • TLS-kundcertifikat: Anslutningsservern autentiserar informationssystemet med hjälp av certifikatet. Kundcertifikatet är specifikt för varje subsystem.
  • Anslutningsserverns eget certifikat: Informationssystemet autentiseras med hjälp av anslutningsserverns certifikat. Om din organisation erbjuder tjänster via Informationsleden rekommenderar vi att man använder anslutningsserverns eget certifikat.

Connection mellan anslutningsserver och informationssystem krypteras med certifikater.

Typen av förbindelse mellan informationssystemet och anslutningsservern fastställs via inställningen Connection type for servers in service consumer role. Följande värden är möjliga:

  • HTTP: Informationssystemet kan göra ett anrop med HTTP- eller HTTPS-protokollet. Inget kundcertifikat behövs. Okrypterad.
  • HTTPS: Informationssystemet måste göra ett anrop med HTTPS-protokollet. Informationssystemet måste också lägga fram ett TLS-kundcertifikat som ingår i listan i punkten Internal TLS Certificates. Krypterad.
  • HTTPS NO AUTH: Informationssystemet måste göra ett anrop med HTTPS-protokollet. Inget kundcertifikat behövs. Krypterad.

Anslutning av informationssystemet till anslutningsservern

1. Välj kontakttyp (Connection type: HTTPS)

Välj HTTPS som typ av förbindelse mellan informationssystemet och anslutningsservern.

Val av typ av förbindelse mellan informationssystem och anslutningsserver

2. Skapa TLS-kundcertifikat och lägg till det på anslutningsservern

Det lönar sig att utföra steg 1 och 2 med ett informationssystem.

  1. Skapa först en privat nyckel för informationssystemet med kommando: openssl genrsa -out clientprivatekey.pem 2048
  2. Skapa ett s.k. self-signed-certifikat med följande kommando: openssl req -new -x509 -key clientprivatekey.pem -out clientcert.pem -days 365
  3. Logga in i anslutningsserverns administrationsgränssnitt, som finns på adressen on https://{host}:4000/ (ersätt {host}-delen med host-namnet på din organisations anslutningsserver). Efter inloggningen öppnas en lista över de subsystem som lagts till anslutningsservern på skärmen.
  4. Välj i listan det subsystem vars inställning du vill redigera.
  5. Lägg till kundcertifikatet på anslutningsservern på fliken Internal Servers genom att välja Add. När kundcertifikatet har lagts till anslutningsservern visas certifikatets checksumma i listan Internal TLS Certificates.

Att lägga kundcertifikat till anslutningsserver

3. Ladda ner anslutningsserverns interna certifikat och för det till informationssystemet

1. Ladda ner anslutningsserverns interna certifikat på fliken Internal Servers vid Information System TLS-certificate och välj Export.

Laddning av anslutningsserverns interna certifikat

2. För slutligen anslutningsserverns certifikat till informationssystemet.

I trafiken mellan anslutningsservern och informationssystemet är TLS 1.2 och följande PFS Cipher Suites tillåtna som standard:

  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256*
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256*
  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384*
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384*
  • TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384.

(*) inte i bruk i RHEL, om man använder OpenJDK

4. Anropning av tjänster

Testning av SOAP-meddelanden

Anslutningsserverns kundgränssnitt, via vilket Informationsledens tjänster anropas, har formen https://{host}/. {}{Host}-delen ska ersättas med organisationens eget host-namn på anslutningsservern. Värdet på Content-Type-rubrikinformationen för begäran som sänts till anslutningsservern ska vara i formen text/xml och HTTP-metoden ska vara POST.

Anslutningsserverns adress: https://{host}/

Method: POST

Content-Type: text/xml

OBS! Det rekommenderas inte att IP-adressen används vid kontakter, eftersom det orsakar problem i anslutning till certifikat. Problem uppstår om host-namnet som används vid kontakt till anslutningsservern inte motsvarar host-namnet på anslutningsserverns certifikat.

Testning av REST-tjänster

REST-tjänsterna kan testas med hjälp av tjänsterna rest-test/random och rest-test/hello.

rest-test/random

  • tjänsten har inga anropsparametrar
  • tjänsten returnerar ett slumpmässigt heltal mellan 0 och 100

rest-test/hello

  • tjänsten kan ges ett name-värde som query-parameter
  • som svar på den angivna name-parametern returnerar tjänsten en hälsning till det angivna namnet 

Närmare anvisningar för testning finns i artikel Informationsledens testtjänster.

5. Testa kundcertifikat

Ett kundcertifikat kan enkelt testas så att man anropar testtjänsten getRandom med hjälp av programmet Curl. Det lönar sig att utföra steg 1 och 2 med ett informationssystem.

Se instruktionsvideon om testning (YouTube video på finska, textning på svenska)Öppnas i ett nytt fönster..

  1. Anropa utvecklingsmiljöns testtjänst getRandom (se Informationsledens anropsmeddelande getRandomÖppnas i ett nytt fönster.) med det subsystem under vilket du lade till kundcertifikatet: curl -E ./clientcert.pem --key ./clientprivatekey.pem -k -d @getRandom.xml --header "Content-Type: text/xml" -X POST https://{host}/
  2. Försök anropa utvecklingsmiljöns testtjänst även utan den privata nyckeln och certifikatet du skapade med följande kommando: curl -k -d @getRandom.xml --header "Content-Type: text/xml" -X POST https://{host}/

I Curl-kommandot har k-optionen använts (på engelska)Öppnas i ett nytt fönster.. Då verifieras inte certifikatet för den anropade tjänsten.

Resultatet borde bli ett felmeddelande av den här typen:

Server.ClientProxy.SslAuthenticationFailedClient (SUBSYSTEM:FI-DEV/GOV/0245437-2/TestClient) specifies SSLAUTH but did not supply SSL certificate

Du kan också läsa NIIS dokumentation för anslutning av informationssystem till anslutningsserver (på engelska)Öppnas i ett nytt fönster. och hur man kan konfigurera brandväggar (på engelska)Öppnas i ett nytt fönster..

Uppdaterad: 5.5.2026

Är du nöjd med innehållet på denna sida?