Ændring af webservice integrationen til SLS

Statens Lønsystemet vil i den kommende periode ændre IP-adressen. Der har betydning for alle institutioner som har webservice integration til SLS. Her kan du læse hvorfor, hvornår og hvordan disse ændringer sættes i gang.

Opdateret 07.11.2019

Introduktion

I forbindelse med klargøring af Statens Lønsystemet (SLS) til en evt. transition som følge af det igangværende drift- og vedligeholdelsesudbud samt opgradering af den generelle sikkerhed omkring SLS, har Moderniseringsstyrelsen igangsat et projekt, der har til formål at flytte SLS fra et delt drift-miljø, til eget drift-miljø.

Dette medfører nogle ændringer for integrationer til SLS. Den første og største ændring er flytning til en ny IP-adresse og overgangen til at benytte DNS-navne.
Fx har mange institutioner et tidsregistreringssystem eller personalesystem som sender ferie/fravær til SLS via webservice.

Dette har desværre konsekvenser for webservice integrationerne til SLS. Men ændringerne er tilrettelagt således, at det ikke vil gentager sig i tilfælde af en eventuel transition af SLS til en ny leverandør som følge af driftsudbuddet. Moderniseringsstyrelsen har anskaffet egne IP-adresser, som kan følge systemet og ikke leverandøren. Samtidig er DNS domænet SLOEN.DK anskaffet som et funktionsdomæne til Statens løn.

Hvad skal ændres?

Alle webservice kunder skal inden d. 15. december have ændret DNS adresse i integrationen til SLS.
- hvilket også kan betyde, at evt. udadgående firewall regler skal rettes.

Den nuværende IP-adresse som SLS i dag tilgås på er:
147.29.11.10  (dkcscd11.csc.dk)
Denne udskiftes til: 45.149.136.1  -  sls-service.sloen.dk

Hvordan gør du:

1. Tjek Telnet forbindelse og fejlfind

  1. Kan du forbinde med telnet til den gamle IP?
  2. Kan du forbinde med telnet til den ny IP?
  3. Traceroute mod ny og gammel IP
  4. Hvilken IP har du mod den gamle LPAR (147.29.11.10)
  5. Hvilke porte bruger du i dag? 
  6. Forbind med telnet til den nye LPAR på en ubrugt port
    - telnet sls-service.sloen.dk 701
    - telnet dkcscd11.csc.dk 701
    - Noter tidspunkt for forsøget

Hvis I oplever fejl i forbindelse med ovenstående, bedes I sende en mail til:
 og cc:  Bernd Homann (DXC) med resultatet af de test, som er foretaget.

2. Ret DNS-adresse

SLS forskellige miljøer, vil fremover tilgås via nedenstående DNS-navne:

Fremtidige DNS-navne Anvendelse
sls-service.sloen.dk:874 Produktion
sls-service.sloen.dk:872 Test (PJZ)

URL til webservice:
I wsdl-filerne er angivet placeringen af den webservice, der skal kaldes. Den gamle URL skal erstattes med den nye DNS adresse.

Eksempel på nuværende URL: 
https://dkcscd11.csc.dk:874/ModstSLSHaendelseList.wsdl 
Som skal ændres til: 
https://sls-service.sloen.dk:874/ModstSLSHaendelseList.wsdl

Firewall: Hvis der er opsat udadgående firewall regel i integrations-løsningen, skal denne tilrettes.

Certifikat: Institutionens klient certifikat, som er placeret på webserveren, bliver ikke berørt ved denne ændring.

3. Send en mail om at omlægning er gennemført

Mailen sendes til  og cc:   

Hvornår skal der ændres?

Alle webservice kunder skal inden d. 15. december have ændret DNS adresse i integrationen til SLS.

Hvem skal ændre?

Ofte vil det være 3.parts leverandøren, som skal orienteres om at de skal ændre i applikationen som har integration til SLS. Det er institutionen selv som står for at foretage bestillingen hos 3.part, som fx kan være et tidsregistreringssystem.

Kommunikation

  • Der er den 7.november udsendt et kundebrev: Som beskriver hvornår webservice integrationen skal ændres og hvornår den gamle ip-adresse lukkes. 
  • denne side vil der løbendende blive lagt teknisk information til den it-ansvarlige.
  • Har du spørgsmål til løsningen eller har brug for hjælp, kan du skrive til  så skriver/ringer vi tilbage :-)

Teknik

Kan der ikke skabes forbindelse til SLS, så prøv Telnet:
Åben Kommandoprompt (CMD) fra applikations-serveren og skriv 
"Telnet sls-service.sloen.dk 874" (Produktion),
"Telnet sls-service.sloen.dk 872" (Test)
eller "Telnet 45.149.136.1 874" (Prodution).

Webservice problem - Udskiftning af rodcertifikat  

Vi har konstateret, at enkelte kunder anvender et privat certificate store til opbevaring af rodcertifikater. Vi har identificeret følgende forhold, som kan give udfordringer:

Hvis der opleves problemer med SSL forbindelser kan det skyldes, at SLS har fået nye certifikater. Problemer i denne forbindelse kan skyldes:
-Webservice integrationen bruger særligt truststore til certifikater som manuelt opdateres.

Det nye certifikats root skal tilføjes til truststore
- Webservice integrationen kører på en gammel version af applikations server, Java, .NET eller operativsystem, der ikke har opdaterede truststores.

Opdatering af truststore på den fejlende komponent er nødvendig.
- Webservice integrationen er skrevet på en måde der ikke kontrollerer certifikate chainen, men certifiktatet mod et forventet Common Name.

Det nye certifikat udstiller ikke samme Common Name som det gamle certifikat – derfor er det nødvendigt at opdatere det Common Name der kontrolleres mod.

Da de anvendte SSL certifikater har skiftet rodcertifikat kan det for disse kunder betyde, at der manuelt skal installeres et nyt rodcertifikat, dette kan hentes her eller via linket nedenfor.

Certifikat kæden kan ses her:
Det er trust chain B:
USERTrust RSA Certification Authority (Root CA) [Root]
Sectigo RSA DV/OV/EV Secure Server CA [Intermediate 1]
End Entity [Leaf Certificate]

https://support.sectigo.com/Com_KnowledgeDetailPageFaq?Id=kA01N000000rgSZ

Har brug for hjælp, kan du skrive til  så skriver/ringer vi tilbage.