Den kommunale it-infrastruktur er mere certifikatintensiv end mange IT-chefer er klar over. Bag de borgernære selvbetjeningsløsninger og de daglige fagsystemer ligger et lag af certifikatkrav knyttet til KOMBIT-platformen, FK-adgangsstyring og den fællesoffentlige infrastruktur som digitale tjenester afhænger af.
Denne artikel giver et overblik over de certifikatkrav kommunale IT-afdelinger skal håndtere — og hvordan de adskiller sig fra det generelle TLS-certifikatlandskab.
TLS-certifikater vs. FOCES/MOCES-certifikater
Kommuner arbejder med to fundamentalt forskellige typer certifikater:
TLS-certifikater sikrer krypteret kommunikation til og fra webservere og API'er. De er det der giver hengelåsen i browseren og er udstedt af offentligt betroede Certificate Authorities som Let's Encrypt, DigiCert og Sectigo. Det er disse certifikater der er i scope for NIS2-certifikatkravene og for CertControl.
FOCES/MOCES-certifikater (Funktionscertifikater til Offentlige Certifikat Service og Medarbejdercertifikater) er virksomheds- og medarbejdercertifikater udstedt af Nets/MitID Erhverv. De bruges til autentificering i den fællesoffentlige infrastruktur — Serviceplatformen, FK-adgangsstyring og NemLog-in.
De to typer certifikater administreres forskelligt og har forskellig livscyklus. FOCES-certifikater har typisk en levetid på 2-3 år og fornys via Nets' portal. TLS-certifikater er i hastig forandring (47-dages levetid inden 2029). Mange kommuner holder regnskab med dem i separate systemer — eller slet ikke.
Serviceplatformen og certifikater
Serviceplatformen er grundinfrastrukturen for datadeling i den offentlige sektor — den vej data fra fagsystemer og registre bevæger sig til og fra KOMBIT-løsningerne. For at kommunale systemer kan kommunikere med Serviceplatformen kræves det at:
- Systemerne er registreret og godkendt i STS (Security Token Service)
- Der bruges gyldige FOCES-certifikater til systemautentificering
- TLS-certifikaterne på de kommunale endpoints opfylder minimumskravene til protokolversion og cipher suites
Et udløbet FOCES-certifikat kan afbryde kommunikationen til Serviceplatformen — og dermed til fagsystemer der henter data derfra. Det er typisk ikke borgervendt og opdages måske ikke med det samme.
FK-adgangsstyring og NemLog-in
FK Organisation og FK Klassifikation bruges i mange kommunale HR-systemer og er grundlaget for adgangsstyring. NemLog-in er adgangsvejen for medarbejdere til en lang række kommunale systemer.
Begge løsninger bruger SAML-baserede forbindelser med certifikater til signering og kryptering. Disse certifikater udstedes til systemet (FOCES) og til den kommunale instans og har deres egne udløbsdatoer — uafhængigt af TLS-certifikaterne på de samme systemer.
Leverandørernes certifikater er kommunens problem
De fleste kommunale systemer hostes af leverandører: KMD, Systematic, CSC, Netcompany og en lang række specialiserede leverandører. Mange af disse systemer kører under kommunens domæner eller underdomæner.
Det betyder at certifikaterne på disse systemer typisk:
- Udstedes og styres af leverandøren
- Kommunen ikke nødvendigvis har direkte adgang til at se udløbsdato
- Kan udløbe uden at kommunens IT-afdeling får besked
Under NIS2's forsyningskædekrav (Artikel 21(2)(f)) er kommunen ansvarlig for at have overblik over denne situation. Det praktiske svar er at scanne alle kommunens domæner og underdomæner kontinuerligt — og opdage alle certifikater, uanset om de er udstedt af kommunen selv eller en leverandør.
Hvad et komplet certifikatkort kræver for en kommune
For at have det overblik NIS2 kræver skal den kommunale IT-afdeling kortlægge:
- Alle offentlige endpoints under kommunens domæne(r) — inkl. leverandørhostede systemer
- Interne endpoints bag firewall der bruger TLS (intranet, fagsystemer, administrationssystemer)
- FOCES-certifikater til Serviceplatform-integration og FK-adgangsstyring
- Certifikater til e-mail-signering og kryptering hvis relevant
CertControl dækker TLS-certifikaterne — de offentlige via ekstern scanning og de interne via on-premise agenten. FOCES-certifikaterne håndteres separat via Nets' portal, men bør inkluderes i den overordnede certifikatoversigt som kommunen vedligeholder for NIS2-compliance.