Gebruik en Achtergrond Digikoppeling Certificaten - Logius
Gebruik en Achtergrond Digikoppeling Certificaten - Logius
Gebruik en Achtergrond Digikoppeling Certificaten - Logius
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
<strong>Gebruik</strong> <strong>en</strong> <strong>Achtergrond</strong> <strong>Digikoppeling</strong><br />
Certificat<strong>en</strong><br />
Versie 1.2.1<br />
Datum 20 juni 2013<br />
Status Definitief
Definitief | <strong>Gebruik</strong> <strong>en</strong> <strong>Achtergrond</strong> <strong>Digikoppeling</strong> Certificat<strong>en</strong> | 20 juni 2013<br />
Colofon<br />
Projectnaam <strong>Digikoppeling</strong><br />
Versi<strong>en</strong>ummer 1.2.1 Definitief<br />
Organisatie Servicec<strong>en</strong>trum <strong>Logius</strong><br />
Postbus 96810 | 2509 JE D<strong>en</strong> Haag<br />
T 0900 555 4555<br />
servicec<strong>en</strong>trum@logius.nl<br />
Bijlage(n) 0<br />
Pagina 2 van 24
Definitief | <strong>Gebruik</strong> <strong>en</strong> <strong>Achtergrond</strong> <strong>Digikoppeling</strong> Certificat<strong>en</strong> | 20 juni 2013<br />
Inhoud<br />
Colofon ................................................................................................................... 2<br />
Inhoud .................................................................................................................... 3<br />
1 Inleiding ......................................................................................................... 5<br />
1.1 Doelgroep ................................................................................................. 5<br />
1.2 <strong>Achtergrond</strong> ............................................................................................. 5<br />
1.3 Omgang met certificaat ....................................................................... 5<br />
1.4 Leeswijzer ................................................................................................. 6<br />
1.5 Sam<strong>en</strong>hang met andere docum<strong>en</strong>t<strong>en</strong> ........................................... 6<br />
2 Ontwerp aspect<strong>en</strong> <strong>Digikoppeling</strong> adapter ................................. 7<br />
2.1 Vrag<strong>en</strong> ....................................................................................................... 7<br />
2.2 <strong>Achtergrond</strong> ............................................................................................. 7<br />
2.3 Stapp<strong>en</strong> ..................................................................................................... 8<br />
3 Bestell<strong>en</strong> certificaat ................................................................................ 9<br />
3.1 Vrag<strong>en</strong> ....................................................................................................... 9<br />
3.2 <strong>Achtergrond</strong> ............................................................................................. 9<br />
3.3 Stapp<strong>en</strong> ..................................................................................................... 9<br />
4 Installatie certificaat ............................................................................ 12<br />
4.1 Vrag<strong>en</strong> ..................................................................................................... 12<br />
4.2 <strong>Achtergrond</strong> ........................................................................................... 12<br />
4.3 Stapp<strong>en</strong> ................................................................................................... 12<br />
5 Distributie <strong>en</strong> CPA-creatie ................................................................. 14<br />
5.1 Vrag<strong>en</strong> ..................................................................................................... 14<br />
5.2 <strong>Achtergrond</strong> ........................................................................................... 14<br />
5.3 Stapp<strong>en</strong> ................................................................................................... 14<br />
6 <strong>Gebruik</strong>saspect<strong>en</strong> ................................................................................... 15<br />
6.1 Vrag<strong>en</strong> ..................................................................................................... 15<br />
6.2 <strong>Achtergrond</strong> ........................................................................................... 15<br />
6.3 Stapp<strong>en</strong> ................................................................................................... 16<br />
BIJLAGEN ............................................................................................................ 18<br />
Pagina 3 van 24
Definitief | <strong>Gebruik</strong> <strong>en</strong> <strong>Achtergrond</strong> <strong>Digikoppeling</strong> Certificat<strong>en</strong> | 20 juni 2013<br />
Bestandsformat<strong>en</strong> voor certificat<strong>en</strong> ................................................... 18<br />
Richtlijn<strong>en</strong> voor e<strong>en</strong> veilig password ................................................. 19<br />
Subject attribut<strong>en</strong> in certificaat ............................................................ 20<br />
Nummersystematiek OIN <strong>en</strong> HRN ....................................................... 23<br />
OIN formaat, als thans in gebruik voor Overheidsorganisaties .... 23<br />
HRN formaat, als te gebruik<strong>en</strong> voor Bedrijv<strong>en</strong> ................................... 24<br />
Pagina 4 van 24
1 Inleiding<br />
Definitief | <strong>Gebruik</strong> <strong>en</strong> <strong>Achtergrond</strong> <strong>Digikoppeling</strong> Certificat<strong>en</strong> | 20 juni 2013<br />
1.1 Doelgroep<br />
Dit docum<strong>en</strong>t beschrijft de wijze waarop, binn<strong>en</strong> de context van<br />
<strong>Digikoppeling</strong> (voorhe<strong>en</strong> Overheidsservicebus), met certificat<strong>en</strong> wordt<br />
omgegaan. Inhoudelijk voorziet het in de detaillering van de architectuur<br />
voor id<strong>en</strong>tificatie, auth<strong>en</strong>ticatie <strong>en</strong> autorisatie. Bov<strong>en</strong>di<strong>en</strong> geeft het uitleg<br />
over de gebruikelijke werkwijze bij het toepass<strong>en</strong> van certificat<strong>en</strong>.<br />
Hoewel het docum<strong>en</strong>t als naslagwerk toegepast kan word<strong>en</strong>, komt het niet<br />
in de plaats van de implem<strong>en</strong>tatie handleiding op het punt van<br />
certificat<strong>en</strong>.<br />
1.2 <strong>Achtergrond</strong><br />
E<strong>en</strong> belangrijk aspect voor beveiliging van <strong>Digikoppeling</strong> is de juiste<br />
id<strong>en</strong>tificatie, auth<strong>en</strong>ticatie <strong>en</strong> autorisatie van organisaties. <strong>Digikoppeling</strong><br />
maakt hiervoor gebruik van e<strong>en</strong> PKI-infrastructuur met certificat<strong>en</strong>. Voor<br />
<strong>Digikoppeling</strong> is daarbij gekoz<strong>en</strong> om certificat<strong>en</strong> toe te pass<strong>en</strong> die voldo<strong>en</strong><br />
aan de eis<strong>en</strong> van PKIoverheid 1 . Het juist toepass<strong>en</strong> van deze certificat<strong>en</strong> is<br />
ess<strong>en</strong>tieel voor e<strong>en</strong> goede beveiliging. Helaas is dit toepass<strong>en</strong> ook<br />
complex. <strong>Digikoppeling</strong> heeft daarom aanvull<strong>en</strong>d aan de door PKIoverheid<br />
gestelde eis<strong>en</strong> e<strong>en</strong> aantal afsprak<strong>en</strong> gemaakt die <strong>en</strong>erzijds de beveiliging<br />
conform PKIoverheid garander<strong>en</strong> <strong>en</strong> anderzijds de complexiteit<br />
beheersbaar mak<strong>en</strong> 2 . De praktische toepassing van deze afsprak<strong>en</strong> is<br />
uitgewerkt in dit docum<strong>en</strong>t. Het bevat daarvoor:<br />
• e<strong>en</strong> uitwerking van de consequ<strong>en</strong>ties van deze auth<strong>en</strong>ticatieafsprak<strong>en</strong>;<br />
• voorstell<strong>en</strong> / bestpractices voor het gebruik van certificat<strong>en</strong>.<br />
In docum<strong>en</strong>t wordt duidelijk aangegev<strong>en</strong> of het e<strong>en</strong> uitwerking betreft (die<br />
verplicht is vanuit deze afsprak<strong>en</strong>) of e<strong>en</strong> voorstel (waar m<strong>en</strong> van af kan<br />
wijk<strong>en</strong>).<br />
1.3 Omgang met certificaat<br />
Certificat<strong>en</strong> zijn gebaseerd op sleutelpar<strong>en</strong> waarvan het publiekedeel in<br />
het certificaat is opg<strong>en</strong>om<strong>en</strong> <strong>en</strong> het privédeel door de certificaateig<strong>en</strong>aar<br />
geheim wordt gehoud<strong>en</strong>. Beide del<strong>en</strong> pass<strong>en</strong> op elkaar in de zin dat:<br />
• ondertek<strong>en</strong>ing met de privésleutel via de publieke sleutel gecontroleerd<br />
kan word<strong>en</strong>;<br />
• <strong>en</strong>cryptie met de publieke sleutel alle<strong>en</strong> met de privésleutel ontcijferd<br />
kan word<strong>en</strong>.<br />
De privésleutel verteg<strong>en</strong>woordigt in de elektronische communicatie de<br />
eig<strong>en</strong>aar. Binn<strong>en</strong> de huidige <strong>Digikoppeling</strong> afsprak<strong>en</strong> is dit e<strong>en</strong><br />
overheidsorganisatie. Overheidsorganisaties hebb<strong>en</strong> veelal toegang tot<br />
(meerdere) basisregistraties <strong>en</strong> hebb<strong>en</strong> vergaande recht<strong>en</strong> binn<strong>en</strong> de eoverheid.<br />
Het is daarom van het grootste belang om zeer vertrouwelijk om<br />
te gaan met e<strong>en</strong> privésleutel behor<strong>en</strong>d bij e<strong>en</strong> certificaat <strong>en</strong> te voorkom<strong>en</strong><br />
dat deze zoek raakt of in verkeerde hand<strong>en</strong> belandt. E<strong>en</strong> dergelijke<br />
situatie leidt namelijk tot:<br />
1 Zie http://www.logius.nl/pkioverheid<br />
2 Zie het docum<strong>en</strong>t “<strong>Digikoppeling</strong> Id<strong>en</strong>tificatie <strong>en</strong> Auth<strong>en</strong>ticatie”<br />
Pagina 5 van 24
Definitief | <strong>Gebruik</strong> <strong>en</strong> <strong>Achtergrond</strong> <strong>Digikoppeling</strong> Certificat<strong>en</strong> | 20 juni 2013<br />
• toegang tot de e-overheidssystem<strong>en</strong> voor onbevoegd<strong>en</strong>;<br />
• het intrekk<strong>en</strong> van e<strong>en</strong> sleutel met het gevolg dat e<strong>en</strong> organisatie niet<br />
kan deelnem<strong>en</strong> aan de e-overheid;<br />
• de noodzaak tot het opnieuw g<strong>en</strong>erer<strong>en</strong> van het sleutelpaar <strong>en</strong> het<br />
aanvrag<strong>en</strong> van e<strong>en</strong> certificaat.<br />
1.4 Leeswijzer<br />
Dit docum<strong>en</strong>t is opgebouwd volg<strong>en</strong>s e<strong>en</strong> karakteristiek proces dat<br />
organisaties bij invoering van <strong>Digikoppeling</strong> doorlop<strong>en</strong>:<br />
• Ontwerp<strong>en</strong> van de aansluiting op <strong>Digikoppeling</strong> met e<strong>en</strong> <strong>Digikoppeling</strong><br />
adapter of <strong>Digikoppeling</strong> gateway (2).<br />
• Bestell<strong>en</strong> van e<strong>en</strong> certificaat (3).<br />
• Ontvangst <strong>en</strong> installatie van het certificaat (4).<br />
• Distributie van het certificaat (5).<br />
• <strong>Gebruik</strong> van het certificaat (6).<br />
De volg<strong>en</strong>de hoofdstukk<strong>en</strong> gaan hier per proces stap op in. Elk hoofdstuk<br />
begint met de opsomming van e<strong>en</strong> aantal vrag<strong>en</strong> die duidelijk mak<strong>en</strong> op<br />
welke informatiebehoefte het hoofdstuk antwoord geeft. Daarna volgt<br />
belangrijke achtergrondinformatie. Het hoofdstuk sluit af met e<strong>en</strong><br />
beschrijving van de b<strong>en</strong>odigde activiteit<strong>en</strong> voor deze proces stap.<br />
In bijlag<strong>en</strong> is de volg<strong>en</strong>de aanvull<strong>en</strong>de informatie opg<strong>en</strong>om<strong>en</strong>:<br />
• Informatie over bestandsformat<strong>en</strong> waarin sleutels <strong>en</strong>/of certificat<strong>en</strong><br />
uitgewisseld kunn<strong>en</strong> word<strong>en</strong>.<br />
• Richtlijn<strong>en</strong> voor e<strong>en</strong> veilig password.<br />
• Gegev<strong>en</strong>s die in e<strong>en</strong> certificaat opg<strong>en</strong>om<strong>en</strong> kunn<strong>en</strong> word<strong>en</strong>.<br />
• De opbouw van het OverheidsId<strong>en</strong>tificatieNummer-formaat.<br />
1.5 Sam<strong>en</strong>hang met andere docum<strong>en</strong>t<strong>en</strong><br />
De uitwerking van het gebruik van certificat<strong>en</strong> is gebaseerd op <strong>en</strong> wordt<br />
aangevuld door de volg<strong>en</strong>de docum<strong>en</strong>t<strong>en</strong>:<br />
Docum<strong>en</strong>t Refer<strong>en</strong>tie<br />
<strong>Digikoppeling</strong> architectuur http://www.logius.nl/digikoppeling/docum<strong>en</strong>tatie/<br />
<strong>Digikoppeling</strong> Id<strong>en</strong>tificatie <strong>en</strong> Auth<strong>en</strong>ticatie http://www.logius.nl/digikoppeling/docum<strong>en</strong>tatie/<br />
<strong>Digikoppeling</strong> Koppelvlakstandaard WUS http://www.logius.nl/digikoppeling/docum<strong>en</strong>tatie/<br />
<strong>Digikoppeling</strong> Koppelvlakstandaard ebMS http://www.logius.nl/digikoppeling/docum<strong>en</strong>tatie/<br />
<strong>Digikoppeling</strong> WUS Best Practices http://www.logius.nl/digikoppeling/docum<strong>en</strong>tatie/<br />
<strong>Digikoppeling</strong> ebMS Best Practices http://www.logius.nl/digikoppeling/docum<strong>en</strong>tatie/<br />
PKIoverheid “Programma van Eis<strong>en</strong> 2011” http://www.logius.nl/pkioverheid/<br />
Handleiding <strong>Digikoppeling</strong> implem<strong>en</strong>tatie, http://www.stelselhandboek.nl/<br />
<strong>Digikoppeling</strong> Glossary http://www.logius.nl/digikoppeling/docum<strong>en</strong>tatie/<br />
Pagina 6 van 24
Definitief | <strong>Gebruik</strong> <strong>en</strong> <strong>Achtergrond</strong> <strong>Digikoppeling</strong> Certificat<strong>en</strong> | 20 juni 2013<br />
2 Ontwerp aspect<strong>en</strong> <strong>Digikoppeling</strong> adapter<br />
2.1 Vrag<strong>en</strong><br />
Dit hoofdstuk geeft antwoord op de volg<strong>en</strong>de vrag<strong>en</strong> met betrekking tot<br />
certificat<strong>en</strong> voor <strong>Digikoppeling</strong>:<br />
1. Wat zijn de consequ<strong>en</strong>ties van het auth<strong>en</strong>ticer<strong>en</strong> <strong>en</strong> autoriser<strong>en</strong><br />
met certificat<strong>en</strong> op organisatorisch niveau?<br />
2. Welke organisaties kunn<strong>en</strong> e<strong>en</strong> OIN krijg<strong>en</strong>?<br />
3. Moet ik dezelfde of verschill<strong>en</strong>de certificat<strong>en</strong> gebruik<strong>en</strong> voor<br />
servicerequester <strong>en</strong> serviceprovider?<br />
4. Moet ik dezelfde of verschill<strong>en</strong>de certificat<strong>en</strong> gebruik<strong>en</strong> voor WUS<br />
<strong>en</strong> ebMS?<br />
5. Wat moet ik do<strong>en</strong> als ik al e<strong>en</strong> certificaat heb?<br />
2.2 <strong>Achtergrond</strong><br />
Het docum<strong>en</strong>t “<strong>Digikoppeling</strong> Id<strong>en</strong>tificatie <strong>en</strong> Auth<strong>en</strong>ticatie” beschrijft de<br />
afsprak<strong>en</strong> over gestandaardiseerde auth<strong>en</strong>ticatie volg<strong>en</strong>s <strong>Digikoppeling</strong><br />
standaard<strong>en</strong>. E<strong>en</strong> onderdeel van deze afsprak<strong>en</strong> is dat auth<strong>en</strong>ticatie<br />
plaatsvindt op het niveau van organisaties. Dit heeft consequ<strong>en</strong>ties voor<br />
het certificaat dat organisaties gebruik<strong>en</strong>:<br />
• Certificat<strong>en</strong> voor het gebruik van <strong>Digikoppeling</strong> word<strong>en</strong> beschikbaar<br />
gesteld aan organisaties <strong>en</strong> niet aan person<strong>en</strong>.<br />
• <strong>Digikoppeling</strong> id<strong>en</strong>tificeert organisaties zoveel mogelijk in lijn met de<br />
Staatsalmanak. Voor <strong>Digikoppeling</strong> is van belang of<br />
organisatie(onderdel<strong>en</strong>) tak<strong>en</strong> hebb<strong>en</strong> in e<strong>en</strong> wettelijk kader <strong>en</strong> hun<br />
bestuurders tek<strong>en</strong>bevoegd zijn. Soms id<strong>en</strong>tificeert <strong>Digikoppeling</strong><br />
daarom onderdel<strong>en</strong> van organisaties.<br />
• Voor de unieke id<strong>en</strong>tificatie <strong>en</strong> auth<strong>en</strong>ticatie van deze organisaties is er<br />
door PKIoverheid gekoz<strong>en</strong> (zie PKIoverheid Programma van Eis<strong>en</strong> 3b)<br />
om het OIN toe te voeg<strong>en</strong> aan e<strong>en</strong> PKIoverheid certificaat in het<br />
zog<strong>en</strong>aamde Subject.serialNumber-veld.<br />
E<strong>en</strong> belangrijke overweging is of voor verschill<strong>en</strong>de doel<strong>en</strong> ook<br />
verschill<strong>en</strong>de certificat<strong>en</strong> gebruikt word<strong>en</strong> of dat deze doel<strong>en</strong> in het zelfde<br />
certificaat word<strong>en</strong> gecombineerd. Keuzes hierbij zijn de combinatie van:<br />
• Verschill<strong>en</strong>de servicerequesters (dus cli<strong>en</strong>ts in TLS-omgeving).<br />
• Verschill<strong>en</strong>de serviceproviders (dus servers in TLS-omgeving) zoals<br />
basisregistraties <strong>en</strong> andere gegev<strong>en</strong>sbronn<strong>en</strong>.<br />
• Servicerequesterrol <strong>en</strong> serviceproviderrol van e<strong>en</strong> organisatie.<br />
• Certificat<strong>en</strong> voor auth<strong>en</strong>ticatie, signing <strong>en</strong>/of <strong>en</strong>cryptie 3 .<br />
• <strong>Gebruik</strong> voor WUS-omgeving <strong>en</strong>/of ebMS-omgeving.<br />
Combinatie van verschill<strong>en</strong>de doel<strong>en</strong> in hetzelfde certificaat is efficiënt<br />
aangezi<strong>en</strong> minder certificat<strong>en</strong> hoev<strong>en</strong> te word<strong>en</strong> aangeschaft <strong>en</strong> periodiek<br />
vernieuwd. Dat scheelt in kost<strong>en</strong> <strong>en</strong> inspanning. Combinatie van<br />
certificat<strong>en</strong> heeft ook e<strong>en</strong> nadeel. Soms moet<strong>en</strong> hetzelfde certificaat <strong>en</strong> de<br />
bijbehor<strong>en</strong>de privésleutel op meerdere servers (in zog<strong>en</strong>aamde keystores)<br />
opgeslag<strong>en</strong> word<strong>en</strong>. Het is dan lastiger om vast te stell<strong>en</strong> of er misbruik<br />
van e<strong>en</strong> certificaat heeft plaatsgevond<strong>en</strong>. Daarom wordt sterk afgerad<strong>en</strong><br />
om hetzelfde certificaat op verschill<strong>en</strong>de servers toe te pass<strong>en</strong>. Als deze<br />
3 Signing is ge<strong>en</strong> functie van <strong>Digikoppeling</strong> 1.0. Encryptie van data vindt in <strong>Digikoppeling</strong> 1.0 op TLS-<br />
niveau plaats <strong>en</strong> niet rechtstreeks met de sleutel van het PKIoverheid-certificaat.<br />
Pagina 7 van 24
Definitief | <strong>Gebruik</strong> <strong>en</strong> <strong>Achtergrond</strong> <strong>Digikoppeling</strong> Certificat<strong>en</strong> | 20 juni 2013<br />
servers e<strong>en</strong> geme<strong>en</strong>schappelijke key-store gebruik<strong>en</strong> geldt het bezwaar<br />
niet.<br />
Voor gebruik van certificat<strong>en</strong> voor <strong>Digikoppeling</strong> is het toegestaan om<br />
certificat<strong>en</strong> te combiner<strong>en</strong> voor alle g<strong>en</strong>oemde doel<strong>en</strong>. Verder scheid<strong>en</strong><br />
van certificat<strong>en</strong> per server wordt sterk aanbevol<strong>en</strong>, maar is niet vereist.<br />
Vaak spel<strong>en</strong> ook technische inrichtingsaspect<strong>en</strong> e<strong>en</strong> rol. Voor gebruik t<strong>en</strong><br />
behoeve van server-auth<strong>en</strong>ticatie di<strong>en</strong>t e<strong>en</strong> Common Name (CN) 4 te zijn<br />
opg<strong>en</strong>om<strong>en</strong> in het certificaat. Combinatie is technisch daarom alle<strong>en</strong><br />
mogelijk voorzover de TLS-afhandeling in dit verband plaatsvindt op<br />
dezelfde (proxy)server met dezelfde CN.<br />
2.3 Stapp<strong>en</strong><br />
Allereerst di<strong>en</strong>t e<strong>en</strong> organisatie te kiez<strong>en</strong> voor welke doel<strong>en</strong> certificat<strong>en</strong><br />
gecombineerd dan wel gescheid<strong>en</strong> word<strong>en</strong> (zie voorgaande paragraaf).<br />
Het advies hierbij is om elke server e<strong>en</strong> eig<strong>en</strong> certificaat te gev<strong>en</strong> zodat er<br />
normaliter ge<strong>en</strong> hergebruik van het <strong>Digikoppeling</strong> certificaat plaatsvindt.<br />
Het volg<strong>en</strong>de hoofdstuk beschrijft stapsgewijs hoe m<strong>en</strong> e<strong>en</strong> OIN <strong>en</strong> e<strong>en</strong><br />
PKIoverheid certificaat kan verkrijg<strong>en</strong>.<br />
4 Hostname of Fully Qualified Name (FQN).<br />
Pagina 8 van 24
Definitief | <strong>Gebruik</strong> <strong>en</strong> <strong>Achtergrond</strong> <strong>Digikoppeling</strong> Certificat<strong>en</strong> | 20 juni 2013<br />
3 Bestell<strong>en</strong> certificaat<br />
3.1 Vrag<strong>en</strong><br />
Dit hoofdstuk geeft antwoord op de volg<strong>en</strong>de vrag<strong>en</strong> met betrekking tot<br />
certificat<strong>en</strong> voor <strong>Digikoppeling</strong>:<br />
1. Wat heb ik nodig voordat ik e<strong>en</strong> certificaat kan bestell<strong>en</strong>?<br />
2. Bij wie kan ik e<strong>en</strong> certificaat bestell<strong>en</strong>?<br />
3. Wie g<strong>en</strong>ereert het sleutelpaar <strong>en</strong> waarom geeft PKIoverheid de<br />
voorkeur aan g<strong>en</strong>eratie door de aanvrager?<br />
4. Wat zijn de format<strong>en</strong> voor het opslaan van certificat<strong>en</strong>?<br />
3.2 <strong>Achtergrond</strong><br />
Er zijn twee manier<strong>en</strong> om e<strong>en</strong> sleutelpaar van e<strong>en</strong> certificaat aan te<br />
mak<strong>en</strong>: zelf g<strong>en</strong>erer<strong>en</strong> of dit door de CSP lat<strong>en</strong> do<strong>en</strong>. Als het sleutelpaar<br />
zelf aangemaakt wordt, blijft de primaire sleutel achter op de server <strong>en</strong> zal<br />
alle<strong>en</strong> de publieke sleutel aan de CSP verzond<strong>en</strong> word<strong>en</strong>. De CSP stuurt<br />
dan e<strong>en</strong> door hem ondertek<strong>en</strong>d certificaat terug waarin de publieke sleutel<br />
is opg<strong>en</strong>om<strong>en</strong>. Dit is de meest veilige oplossing aangezi<strong>en</strong> de<br />
vertrouwelijke privésleutel nooit de gebruikersorganisatie (of zelfs de<br />
server waarop deze gebruikt gaat word<strong>en</strong>) verlaat.<br />
Als de CSP het sleutelpaar aanmaakt, zal de CSP sam<strong>en</strong> met het<br />
certificaat (<strong>en</strong> de daarin opg<strong>en</strong>om<strong>en</strong> publieke sleutel) e<strong>en</strong> vertrouwelijke<br />
privésleutel opstur<strong>en</strong>. Deze sleutel wordt via e<strong>en</strong> wachtwoord beveiligd.<br />
Dit is e<strong>en</strong> minder veilige oplossing aangezi<strong>en</strong> de privésleutel uitgewisseld<br />
wordt. PKIoverheid adviseert daarom om zelf e<strong>en</strong> sleutelpaar te<br />
g<strong>en</strong>erer<strong>en</strong>, wat in het kader van <strong>Digikoppeling</strong> met klem wordt b<strong>en</strong>adrukt.<br />
In het verdere docum<strong>en</strong>t gaan we ervan uit dat e<strong>en</strong> organisatie zelf het<br />
sleutelpaar g<strong>en</strong>ereert.<br />
3.3 Stapp<strong>en</strong><br />
De procesgang voor het aansluit<strong>en</strong> op <strong>Digikoppeling</strong> is beschrev<strong>en</strong> in het<br />
stelselhandboek (www.stelselhandboek.nl). Het bestell<strong>en</strong> van certificat<strong>en</strong><br />
vormt hiervan e<strong>en</strong> onderdeel. Om certificat<strong>en</strong> te kunn<strong>en</strong> bestell<strong>en</strong>, moet<br />
de organisatie e<strong>en</strong> id<strong>en</strong>tificer<strong>en</strong>d nummer hebb<strong>en</strong>: het OIN. Dit nummer<br />
wordt verkreg<strong>en</strong> bij de beheerorganisatie van <strong>Digikoppeling</strong> volg<strong>en</strong>s de<br />
procedure die is beschrev<strong>en</strong> op de website van <strong>Logius</strong> 5 .<br />
Bestell<strong>en</strong> van e<strong>en</strong> certificaat vindt plaats bij e<strong>en</strong> door PKIoverheid<br />
aangewez<strong>en</strong> CSP die certificat<strong>en</strong> op commerciële basis verstrekt. <strong>Logius</strong><br />
houdt op haar website e<strong>en</strong> lijst met goedgekeurde CSP's bij die e<strong>en</strong><br />
PKIoverheid certificaat kunn<strong>en</strong> lever<strong>en</strong> 6 . Op deze website staat ook<br />
achtergrondinformatie over certificat<strong>en</strong> <strong>en</strong> hun werking. Belangrijk<br />
aandachtspunt hierbij is dat de eerste keer e<strong>en</strong> aantal extra handeling<strong>en</strong><br />
(bijvoorbeeld e<strong>en</strong> bezoek aan de notaris of GWK) voorafgaat aan het<br />
daadwerkelijk bestell<strong>en</strong> van het certificaat. De website van <strong>Logius</strong> <strong>en</strong> het<br />
stelselhandboek bied<strong>en</strong> e<strong>en</strong> heldere beschrijving van het bestell<strong>en</strong> <strong>en</strong> de<br />
daarbij betrokk<strong>en</strong> CSP's.<br />
5 Bijlage “Nummersystematiek OIN <strong>en</strong> HRN“ beschrijft de opbouw van het OIN.<br />
6 http://www.logius.nl/pkioverheid/ is de algem<strong>en</strong>e website. Specifieke informatie over het<br />
aanschaff<strong>en</strong> van e<strong>en</strong> certificaat is te vind<strong>en</strong> op http://www.logius.nl/pkioverheid/voororganisaties/certificat<strong>en</strong>-aanschaff<strong>en</strong>/.<br />
Pagina 9 van 24
Definitief | <strong>Gebruik</strong> <strong>en</strong> <strong>Achtergrond</strong> <strong>Digikoppeling</strong> Certificat<strong>en</strong> | 20 juni 2013<br />
De websites van de CSP's bevatt<strong>en</strong> formulier<strong>en</strong> voor de aanvraag van<br />
certificat<strong>en</strong>. In het bestelproces <strong>en</strong> leveringsproces voor certificat<strong>en</strong> is het<br />
nodig om informatie zoals sleutels <strong>en</strong> certificat<strong>en</strong> uit te wissel<strong>en</strong>. Hiervoor<br />
bestaan verschill<strong>en</strong>de bestandsformat<strong>en</strong>. Deze zijn beschrev<strong>en</strong> in<br />
“Bestandsformat<strong>en</strong> voor certificat<strong>en</strong>“.<br />
Om op deze wijze e<strong>en</strong> certificaat te bestell<strong>en</strong> moet u eerst e<strong>en</strong> Certificate<br />
Signing Request (CSR) mak<strong>en</strong> op de server waarop u het certificaat wilt<br />
installer<strong>en</strong>. Dit CSR bevat naast de door u geg<strong>en</strong>ereerde publieke sleutel<br />
ook gegev<strong>en</strong>s die u in het certificaat wilt opnem<strong>en</strong> (zie hieronder).<br />
Vervolg<strong>en</strong>s stuurt u dit CSR in p10 formaat op (afhankelijk van de CSPprocedure)<br />
per mail of op e<strong>en</strong> fysieke drager per aangetek<strong>en</strong>de post. Het<br />
aanmak<strong>en</strong> van e<strong>en</strong> CSR verschilt per type server, maar er zijn veel<br />
leveranciers die hier handleiding<strong>en</strong> voor publicer<strong>en</strong> 7 . De privésleutel kunt<br />
u uit de keystore van uw server exporter<strong>en</strong> voor veilige back-up in e<strong>en</strong><br />
kluis; het p12 formaat is hiervoor geschikt (zie ook “Bestandsformat<strong>en</strong><br />
voor certificat<strong>en</strong>“). Het volg<strong>en</strong>de hoofdstuk beschrijft hoe u deze<br />
privésleutel zou moet<strong>en</strong> beveilig<strong>en</strong>.<br />
Bij bestelling van het certificaat di<strong>en</strong>t u de volg<strong>en</strong>de onderdel<strong>en</strong> te<br />
specificer<strong>en</strong>:<br />
• Country Name (C): twee letterige landcode C=NL.<br />
• State or Province (S): PKIoverheid raadt het gebruik van dit veld af.<br />
• Locality or City (L): PKIoverheid raadt het gebruik van dit veld af;<br />
indi<strong>en</strong> gebruikt hier de vestigingsplaats van de organisatie opnem<strong>en</strong>.<br />
Bijvoorbeeld: L=D<strong>en</strong> Haag.<br />
• Organisation (O): Volledige naam van de organisatie overe<strong>en</strong>komstig<br />
gegev<strong>en</strong>s in basisregistratie of formeel docum<strong>en</strong>t. Bijvoorbeeld:<br />
O=Stichting ICTU.<br />
• Organisational Unit (OU): Optionele naam van e<strong>en</strong> organisatie<br />
onderdeel. Bijvoorbeeld: OU=<strong>Digikoppeling</strong><br />
• Common Name (CN): Dit is de FQN van de server (Host + Domain<br />
Name). Bijvoorbeeld: www.logius.nl/digikoppeling/<br />
• OverheidsId<strong>en</strong>tificatieNummer (OIN): Nummer dat is uitgegev<strong>en</strong> door<br />
de beheerorganisatie van <strong>Digikoppeling</strong>. Hoewel PKIoverheid in haar<br />
Programma van Eis<strong>en</strong> dit nummer als optioneel vermeldt is het<br />
verplicht in de context van <strong>Digikoppeling</strong>. Bijvoorbeeld:<br />
OIN=00000001123456789000. Dit nummer wordt vermeld op het<br />
aanvraagformulier.<br />
• Key usage: In certificat<strong>en</strong> voor <strong>Digikoppeling</strong> moet<strong>en</strong> het digital<br />
Signature <strong>en</strong> keyEncipherm<strong>en</strong>t bit uit de key usage zijn opg<strong>en</strong>om<strong>en</strong> <strong>en</strong><br />
zijn aangemerkt als ess<strong>en</strong>tieel. Ge<strong>en</strong> ander key usage mag hiermee<br />
word<strong>en</strong> gecombineerd. Deze gegev<strong>en</strong>s zijn standaard voor e<strong>en</strong><br />
<strong>Digikoppeling</strong> certificaat <strong>en</strong> kan m<strong>en</strong> niet opnem<strong>en</strong> in het CSR of de<br />
aanvraag.<br />
• Ext<strong>en</strong>ded key usage: In certificat<strong>en</strong> voor <strong>Digikoppeling</strong> wordt<br />
afgerad<strong>en</strong> om dit veld toe te pass<strong>en</strong> 8 . Deze gegev<strong>en</strong>s zijn daarom<br />
standaard voor e<strong>en</strong> <strong>Digikoppeling</strong> certificaat <strong>en</strong> kan m<strong>en</strong> niet opnem<strong>en</strong><br />
in het CSR of de aanvraag.<br />
7 Zie bijvoorbeeld https://knowledge.verisign.com/support/ssl-certificates-<br />
support/index?page=cont<strong>en</strong>t&id=AR235<br />
8 Interoperabiliteit met sterk verouderde Java-tooling kan vereis<strong>en</strong> dat de “ext<strong>en</strong>ded key usage”-bits<br />
TLSwwwServerAuth<strong>en</strong>tication <strong>en</strong>/of TLSwwwCli<strong>en</strong>tAuth<strong>en</strong>tication opg<strong>en</strong>om<strong>en</strong> word<strong>en</strong>.<br />
Pagina 10 van 24
Definitief | <strong>Gebruik</strong> <strong>en</strong> <strong>Achtergrond</strong> <strong>Digikoppeling</strong> Certificat<strong>en</strong> | 20 juni 2013<br />
Het programma van Eis<strong>en</strong> deel 3b van PKIoverheid bevat e<strong>en</strong> uitgebreider<br />
overzicht van veld<strong>en</strong> die (deels optioneel) in e<strong>en</strong> certificaat voor kunn<strong>en</strong><br />
kom<strong>en</strong>.<br />
Het door de CSP ondertek<strong>en</strong>de certificaat ontvangt u meestal in e<strong>en</strong> .p7b<br />
formaat of e<strong>en</strong> .cer formaat (zie ook “Bestandsformat<strong>en</strong> voor<br />
certificat<strong>en</strong>“). Verander<strong>en</strong> van informatie in het certificaat is niet mogelijk<br />
behalve door e<strong>en</strong> nieuwe certificaat aan te vrag<strong>en</strong>. Het volg<strong>en</strong>de<br />
hoofdstuk beschrijft hoe u dit certificaat kunt installer<strong>en</strong>.<br />
Pagina 11 van 24
Definitief | <strong>Gebruik</strong> <strong>en</strong> <strong>Achtergrond</strong> <strong>Digikoppeling</strong> Certificat<strong>en</strong> | 20 juni 2013<br />
4 Installatie certificaat<br />
4.1 Vrag<strong>en</strong><br />
Dit hoofdstuk geeft antwoord op de volg<strong>en</strong>de vrag<strong>en</strong> met betrekking tot<br />
certificat<strong>en</strong> voor <strong>Digikoppeling</strong>:<br />
1. Waarom is het belangrijk om de privésleutel van mijn certificaat te<br />
beveilig<strong>en</strong>?<br />
2. Hoe moet ik de privésleutel van e<strong>en</strong> certificaat opslaan?<br />
3. Hoe beveilig ik de toegang tot deze sleutel?<br />
4.2 <strong>Achtergrond</strong><br />
Beveiliging van de privésleutel kan plaatsvind<strong>en</strong> door deze op e<strong>en</strong><br />
smartcard (in PKI-term<strong>en</strong> e<strong>en</strong> Secure User Device of afgekort SUD) te<br />
plaats<strong>en</strong>. E<strong>en</strong> dergelijke<br />
fysieke beveiliging wordt<br />
vaak gecombineerd met e<strong>en</strong><br />
userid/password. Als<br />
alternatief kan de<br />
privésleutel ook in e<strong>en</strong><br />
password-beveiligde<br />
keystore opgeslag<strong>en</strong> word<strong>en</strong>.<br />
De eerste optie (SUD) heeft<br />
de voorkeur van<br />
PKIoverheid. Er zijn extra<br />
maatregel<strong>en</strong> nodig als er<br />
ge<strong>en</strong> SUD gebruikt wordt.<br />
Het programma van eis<strong>en</strong> 9<br />
sleutels ongemerkt te stel<strong>en</strong> of te kopiër<strong>en</strong>.<br />
dat PKIoverheid aan CSP's<br />
oplegt bevat de verplichting<br />
aan CSP's om over de juiste<br />
beveiliging van sleutels door<br />
gebruikers te wak<strong>en</strong> inclusief<br />
de mogelijkheid tot audit (zie<br />
kader).<br />
4.3 Stapp<strong>en</strong><br />
Zodra u e<strong>en</strong> door de CSP<br />
ondertek<strong>en</strong>d certificaat ontvangt kunt u dit installer<strong>en</strong> bij de privésleutel<br />
op uw server. Dit certificaat (met de daarin opg<strong>en</strong>om<strong>en</strong> publieke sleutel)<br />
is niet vertrouwelijk. De bijbehor<strong>en</strong>de privésleutel daar<strong>en</strong>teg<strong>en</strong> des te<br />
meer. Het is belangrijk om deze privésleutel goed te beveilig<strong>en</strong>. Immers:<br />
de privésleutel verteg<strong>en</strong>woordigt in de elektronische communicatie de<br />
eig<strong>en</strong>aar <strong>en</strong> kan toegang tot (meerdere) basisregistraties <strong>en</strong> andere<br />
services gev<strong>en</strong> (zie verder “Omgang met certificaat“).<br />
Om de privésleutel behor<strong>en</strong>d bij certificat<strong>en</strong> veilig op te slaan in e<strong>en</strong><br />
keystore is het noodzakelijk om veilige wachtwoord<strong>en</strong> te kiez<strong>en</strong>. <strong>Gebruik</strong><br />
daarom e<strong>en</strong> wachtwoord dat moeilijk te herleid<strong>en</strong> is (zie “Richtlijn<strong>en</strong> voor<br />
e<strong>en</strong> veilig password“ voor e<strong>en</strong> voorbeeld). Basisregistraties <strong>en</strong> andere<br />
gegev<strong>en</strong>shouders kunn<strong>en</strong> aanvull<strong>en</strong>de maatregel<strong>en</strong> eis<strong>en</strong> vanuit de<br />
9 Zie http://www.logius.nl/pkioverheid.nl<br />
PKIoverheid Programma van Eis<strong>en</strong> deel 3b<br />
In plaats van gebruik te mak<strong>en</strong> van e<strong>en</strong> hardwarematige SUD mog<strong>en</strong> de<br />
sleutels van e<strong>en</strong> services certificaat softwarematig word<strong>en</strong> beschermd<br />
indi<strong>en</strong> comp<strong>en</strong>ser<strong>en</strong>de maatregel<strong>en</strong> word<strong>en</strong> getroff<strong>en</strong> in de omgeving van<br />
het systeem dat de sleutels bevat. De comp<strong>en</strong>ser<strong>en</strong>de maatregel<strong>en</strong><br />
moet<strong>en</strong> van e<strong>en</strong> dusdanige kwaliteit zijn dat het praktisch onmogelijk is de<br />
De beheerder van de services certificat<strong>en</strong> die gebruik maakt van deze<br />
mogelijkheid voor softwarematige opslag di<strong>en</strong>t bij registratie t<strong>en</strong> minste<br />
e<strong>en</strong> schriftelijke verklaring te overlegg<strong>en</strong> dat comp<strong>en</strong>ser<strong>en</strong>de maatregel<strong>en</strong><br />
zijn getroff<strong>en</strong> die voldo<strong>en</strong> aan de hiervoor gestelde voorwaarde. In de<br />
overe<strong>en</strong>komst tuss<strong>en</strong> abonnee <strong>en</strong> CSP di<strong>en</strong>t te word<strong>en</strong> opg<strong>en</strong>om<strong>en</strong> dat de<br />
CSP het recht heeft om e<strong>en</strong> controle uit te voer<strong>en</strong> naar de getroff<strong>en</strong><br />
maatregel<strong>en</strong>.<br />
Pagina 12 van 24
Definitief | <strong>Gebruik</strong> <strong>en</strong> <strong>Achtergrond</strong> <strong>Digikoppeling</strong> Certificat<strong>en</strong> | 20 juni 2013<br />
vertrouwelijkheid van de door h<strong>en</strong> beheerde gegev<strong>en</strong>s <strong>en</strong> het gebruik van<br />
daarbij behor<strong>en</strong>de certificat<strong>en</strong> 10 .<br />
Het opslaan van e<strong>en</strong> privésleutel van e<strong>en</strong> certificaat in e<strong>en</strong> keystore<br />
verschilt per systeem. Raadpleeg de docum<strong>en</strong>tatie van uw systeem voor<br />
de manier waarop dit moet plaatsvind<strong>en</strong>. Er zijn ook veel leveranciers die<br />
hier handleiding<strong>en</strong> voor publicer<strong>en</strong>. 11 Probeer t<strong>en</strong> all<strong>en</strong> tijd het kopiër<strong>en</strong><br />
van privé-sleutels zo veel mogelijk teg<strong>en</strong> te gaan met fysieke, technische<br />
<strong>en</strong> procedurele maatregel<strong>en</strong>.<br />
10 E<strong>en</strong> voorbeeld hiervoor vormt de zorg, waar m<strong>en</strong> eis<strong>en</strong> stelt aan opslag van servercertificat<strong>en</strong> (zie<br />
http://infobsnzorg.nl/informatiepunt_sites/objects/f05be31d8915df7192c3d1586b126d2a/het_beve<br />
ilig<strong>en</strong>_van_servercertificat<strong>en</strong>.pdf<br />
11 Zie bijvoorbeeld https://knowledge.verisign.com/support/ssl-certificates-<br />
support/index?page=cont<strong>en</strong>t&id=AR212<br />
Pagina 13 van 24
Definitief | <strong>Gebruik</strong> <strong>en</strong> <strong>Achtergrond</strong> <strong>Digikoppeling</strong> Certificat<strong>en</strong> | 20 juni 2013<br />
5 Distributie <strong>en</strong> CPA-creatie<br />
5.1 Vrag<strong>en</strong><br />
Dit hoofdstuk geeft antwoord op de volg<strong>en</strong>de vrag<strong>en</strong> met betrekking tot<br />
certificat<strong>en</strong> voor <strong>Digikoppeling</strong>:<br />
1. Op welke wijze kan ik ander<strong>en</strong> mijn certificaat ter beschikking<br />
stell<strong>en</strong> t.b.v. auth<strong>en</strong>ticatie <strong>en</strong> hoe verkrijg ik certificat<strong>en</strong> van<br />
ander<strong>en</strong>?<br />
2. Wat is de rol van het serviceregister bij distributie van<br />
certificat<strong>en</strong>?<br />
3. Wat is de rol van e<strong>en</strong> CPA bij distributie van certificat<strong>en</strong>?<br />
5.2 <strong>Achtergrond</strong><br />
Id<strong>en</strong>tificatie (<strong>en</strong> autorisatie) van organisaties vindt voor <strong>Digikoppeling</strong><br />
plaats aan de hand van het OIN dat is opg<strong>en</strong>om<strong>en</strong> in het certificaat. Het<br />
certificaat zelf (dat ook e<strong>en</strong> uniek id<strong>en</strong>tificatie nummer heeft) wordt niet<br />
rechtstreeks voor id<strong>en</strong>tificatie gebruikt; dit verloopt altijd via het OIN uit<br />
het certificaat. Nieuwe (of extra) certificat<strong>en</strong> voor dezelfde organisatie<br />
hebb<strong>en</strong> altijd hetzelfde OIN nummer (maar e<strong>en</strong> ander certificaatnummer).<br />
Zolang het certificaat geldig is (ondertek<strong>en</strong>d door de CSP,<br />
geldigheidsdatum nog niet verstrek<strong>en</strong> <strong>en</strong> niet ingetrokk<strong>en</strong>) kunn<strong>en</strong><br />
organisaties ervan uitgaan dat dit OIN correct is.<br />
Basisregistraties <strong>en</strong> gegev<strong>en</strong>sbronn<strong>en</strong> met vertrouwelijke gegev<strong>en</strong>s<br />
autoriser<strong>en</strong> toegang tot hun gegev<strong>en</strong>s aan de hand van het OIN in het<br />
certificaat.<br />
Het is daarom nodig om uw OIN vooraf aan organisaties ter beschikking te<br />
stell<strong>en</strong>. Distributie van certificat<strong>en</strong> is afhankelijk van het profiel vaak niet<br />
nodig voor <strong>Digikoppeling</strong> op basis van WUS. Bij <strong>Digikoppeling</strong> op basis van<br />
ebMS word<strong>en</strong> certificat<strong>en</strong> echter ook opg<strong>en</strong>om<strong>en</strong> in de CPA's die<br />
organisaties uitwissel<strong>en</strong>. Het is daarom het e<strong>en</strong>voudigst om één lijn te<br />
trekk<strong>en</strong> <strong>en</strong> certificat<strong>en</strong> standaard via het <strong>Digikoppeling</strong> serviceregister<br />
beschikbaar te stell<strong>en</strong>.<br />
5.3 Stapp<strong>en</strong><br />
Uitwisseling van certificat<strong>en</strong> is vaak nodig voor gebruik binn<strong>en</strong><br />
<strong>Digikoppeling</strong> verband. Aanbevol<strong>en</strong> wordt om het certificaat daarom<br />
standaard op te nem<strong>en</strong> in het <strong>Digikoppeling</strong> serviceregister.<br />
Voor het mak<strong>en</strong> van CPA's kunn<strong>en</strong> organisaties de daarbij b<strong>en</strong>odigde<br />
certificat<strong>en</strong> uit het <strong>Digikoppeling</strong> serviceregister ophal<strong>en</strong>.<br />
Pagina 14 van 24
Definitief | <strong>Gebruik</strong> <strong>en</strong> <strong>Achtergrond</strong> <strong>Digikoppeling</strong> Certificat<strong>en</strong> | 20 juni 2013<br />
6 <strong>Gebruik</strong>saspect<strong>en</strong><br />
6.1 Vrag<strong>en</strong><br />
Dit hoofdstuk geeft antwoord op de volg<strong>en</strong>de vrag<strong>en</strong> met betrekking tot<br />
certificat<strong>en</strong> voor <strong>Digikoppeling</strong>:<br />
1. Hoe word<strong>en</strong> organisaties geautoriseerd?<br />
2. Welke alternatiev<strong>en</strong> heb ik om autorisatie in mijn applicatie te<br />
regel<strong>en</strong>?<br />
3. Hoe vaak moet e<strong>en</strong> certificaat vernieuwd word<strong>en</strong>?<br />
4. Hoe controleer ik of e<strong>en</strong> certificaat nog geldig is?<br />
5. Hoe zorg ik dat ik met mijn certificaat kan test<strong>en</strong>?<br />
6.2 <strong>Achtergrond</strong><br />
Id<strong>en</strong>tificatie van organisaties vindt plaats aan de hand van het OIN.<br />
Auth<strong>en</strong>ticatie van dit OIN vindt plaats door te controler<strong>en</strong> of het certificaat<br />
waarin dit OIN is opg<strong>en</strong>om<strong>en</strong> ook geldig is. Autorisatie beperkt zich in<br />
beginsel tot organisatorisch niveau <strong>en</strong> maakt daarom gebruik van dit<br />
OIN 12 .<br />
In specifieke gevall<strong>en</strong> kan autorisatie op e<strong>en</strong> gedetailleerder niveau<br />
noodzakelijk zijn. Voor grote organisaties is het bijvoorbeeld mogelijk om<br />
e<strong>en</strong> volgnummer toe te voeg<strong>en</strong>.<br />
Organisaties hebb<strong>en</strong> daarom in hoofdlijn<strong>en</strong> de keuze uit de volg<strong>en</strong>de<br />
opties voor autorisatie:<br />
• Iedere<strong>en</strong> autoriser<strong>en</strong> (na succesvolle auth<strong>en</strong>ticatie):<br />
E<strong>en</strong> dergelijke autorisatie kan in bijzondere situaties soms<br />
zinvol zijn. Het gaat hierbij om situaties waarbij elke<br />
overheidsorganisatie 13 dezelfde handeling<strong>en</strong> mag verricht<strong>en</strong> op<br />
e<strong>en</strong> gegev<strong>en</strong>sbron (of basisregistratie) of wanneer onjuiste<br />
handeling<strong>en</strong> beperkte consequ<strong>en</strong>ties hebb<strong>en</strong>.<br />
• Autoriser<strong>en</strong> op OIN (na succesvolle autorisatie):<br />
E<strong>en</strong> dergelijke situatie is zinvol als organisaties niet dezelfde<br />
handeling<strong>en</strong> mog<strong>en</strong> verricht<strong>en</strong> omdat dit vergaande consequ<strong>en</strong>ties<br />
heeft voor de integriteit <strong>en</strong> vertrouwelijkheid. In deze situatie is het<br />
noodzakelijk dat de basisregistratie (of e<strong>en</strong> andere service) e<strong>en</strong><br />
autorisatietabel met daarin OIN-nummers bijhoudt 14 15 .<br />
12 E<strong>en</strong> leid<strong>en</strong>d principe van <strong>Digikoppeling</strong> is dat de overheidsorganisatie waar e<strong>en</strong> persoon werkzaam<br />
is, verantwoordelijk is om deze persoon (medewerker) te auth<strong>en</strong>ticer<strong>en</strong> <strong>en</strong> juist te autoriser<strong>en</strong> voor<br />
deeltak<strong>en</strong> binn<strong>en</strong> de organisatie. Overheidsorganisaties onderling autoriser<strong>en</strong> (<strong>en</strong> auth<strong>en</strong>ticer<strong>en</strong>)<br />
elkaar vervolg<strong>en</strong>s voor toegang tot bepaalde services op basis van de aan e<strong>en</strong> organisatie<br />
toegewez<strong>en</strong> taak.<br />
13 Deze autorisatie is vaak te ruim. Het is namelijk mogelijk dat hackers e<strong>en</strong> certificaat bedoeld voor<br />
medewerkers misbruik<strong>en</strong> om zich als <strong>Digikoppeling</strong> applicaties voor te do<strong>en</strong>. Dit komt doordat<br />
(afhankelijk van de CSP) ook persoonsgebond<strong>en</strong> PKIoverheid certificat<strong>en</strong> word<strong>en</strong> uitgegev<strong>en</strong> (zoals<br />
smartcards) die lijk<strong>en</strong> op <strong>Digikoppeling</strong> certificat<strong>en</strong>. De technische achtergrond hiervan is dat e<strong>en</strong><br />
persoonsgebond<strong>en</strong> certificaat namelijk ook de key usage 'digitalSignature' heeft. Dit volstaat voor<br />
e<strong>en</strong> TLS-cli<strong>en</strong>t in <strong>Digikoppeling</strong> omgeving<strong>en</strong>. Sommige CSP's gebruik<strong>en</strong> bov<strong>en</strong>di<strong>en</strong> dezelfde CSPkey<br />
voor signing van persoonsgebond<strong>en</strong> certificat<strong>en</strong> <strong>en</strong> server-certificat<strong>en</strong> zodat het verschil tuss<strong>en</strong><br />
de beide type certificat<strong>en</strong> nog moeilijker is vast te stell<strong>en</strong>.<br />
14 <strong>Digikoppeling</strong> communicatiepartners wissel<strong>en</strong> het OIN uit t<strong>en</strong> behoeve van deze autorisatietabel.<br />
15 Bijlage 0 “Nummersystematiek OIN <strong>en</strong> HRN“ beschrijft de opbouw van het OIN.<br />
Pagina 15 van 24
Definitief | <strong>Gebruik</strong> <strong>en</strong> <strong>Achtergrond</strong> <strong>Digikoppeling</strong> Certificat<strong>en</strong> | 20 juni 2013<br />
• Autoriser<strong>en</strong> op organisatie onderdeel:<br />
E<strong>en</strong> dergelijke situatie kan nodig zijn vanuit e<strong>en</strong> wettelijke verplichting<br />
aan de gegev<strong>en</strong>shouder om dit te do<strong>en</strong>. De gegev<strong>en</strong>shouder zal in dit<br />
geval van de communicatiepartners eis<strong>en</strong> dat zij e<strong>en</strong> OIN met daaraan<br />
toegevoegd e<strong>en</strong> volgnummer toepass<strong>en</strong> om het specifieke organisatie<br />
onderdeel te onderscheid<strong>en</strong>.<br />
In sommige gevall<strong>en</strong> kan het audit-proces vere<strong>en</strong>voudigd word<strong>en</strong> met<br />
aanvull<strong>en</strong>de id<strong>en</strong>tificatiegegev<strong>en</strong>s. Bij dergelijke behoeft<strong>en</strong> kunn<strong>en</strong><br />
bijvoorbeeld afdelings- of persoonsgegev<strong>en</strong>s als inhoud in e<strong>en</strong> bericht<br />
opg<strong>en</strong>om<strong>en</strong> word<strong>en</strong>. Ook gegev<strong>en</strong>s over auth<strong>en</strong>ticatie van afdeling<strong>en</strong> <strong>en</strong><br />
person<strong>en</strong> kunn<strong>en</strong>, bijvoorbeeld in de vorm van certificat<strong>en</strong>, toegevoegd<br />
word<strong>en</strong>, maar spel<strong>en</strong> ge<strong>en</strong> rol bij het <strong>Digikoppeling</strong> autorisatieproces.<br />
E<strong>en</strong> geldig certificaat vormt binn<strong>en</strong> de overheid de basis voor vertrouw<strong>en</strong><br />
op elektronisch gebied. Om risico van het gebruik van privésleutels door<br />
onbevoegd<strong>en</strong> te beperk<strong>en</strong> hebb<strong>en</strong> certificat<strong>en</strong> e<strong>en</strong> beperkte geldigheid<br />
(<strong>en</strong>kele jar<strong>en</strong>). Als dit vertrouw<strong>en</strong> tuss<strong>en</strong>tijds verlor<strong>en</strong> gaat wordt het<br />
certificaat ingetrokk<strong>en</strong>. Het is van groot belang dat de eig<strong>en</strong>aar van het<br />
certificaat e<strong>en</strong> dergelijke situatie zo snel mogelijk meldt aan zijn CSP. Via<br />
e<strong>en</strong> zog<strong>en</strong>aamde Certificate Revocation List (CRL) mak<strong>en</strong> CSP's publiek<br />
k<strong>en</strong>baar welke certificat<strong>en</strong> niet meer vertrouwd mog<strong>en</strong> word<strong>en</strong>. Het<br />
intrekk<strong>en</strong> van e<strong>en</strong> certificaat kan om verschill<strong>en</strong>de red<strong>en</strong><strong>en</strong> plaatsvind<strong>en</strong>:<br />
• De privésleutel van het certificaat is niet meer beschikbaar:<br />
o Er is ge<strong>en</strong> p<strong>en</strong>ding request aanwezig in de server bij<br />
installatie van het certificaat.<br />
o Er is sprake van e<strong>en</strong> 'private key mismatch' bij installatie<br />
van het certificaat op de server.<br />
o De privésleutel is corrupt.<br />
o De privésleutel is verlor<strong>en</strong> geraakt (bijvoorbeeld bij e<strong>en</strong><br />
server crash of upgrade).<br />
o Het wachtwoord van de privésleutel is verget<strong>en</strong>.<br />
• De privésleutel is gecompromitteerd.<br />
• Bij installatie van het certificaat blijkt dat er e<strong>en</strong> certificaat voor e<strong>en</strong><br />
onjuiste common name is aangevraagd.<br />
• Informatie in het certificaat is niet meer juist (bijvoorbeeld wijziging<br />
van organisati<strong>en</strong>aam).<br />
Ingetrokk<strong>en</strong> certificat<strong>en</strong> waarvan de geldigheidsduur is verlop<strong>en</strong> word<strong>en</strong><br />
niet meer in de CRL gepubliceerd.<br />
CSP's kunn<strong>en</strong> informatie over ingetrokk<strong>en</strong> certificat<strong>en</strong> in plaats van via<br />
e<strong>en</strong> CRL ook via e<strong>en</strong> onlinevoorzi<strong>en</strong>ing opvraagbaar mak<strong>en</strong>. Deze<br />
ondersteuning via het Online Certificate Status Protocol (OCSP) is voor<br />
CSP's niet verplicht (maar voor CRL's wel). Indi<strong>en</strong> beschikbaar biedt dit<br />
wel de mogelijkheid om elk certificaat direct online te verifiër<strong>en</strong>.<br />
6.3 Stapp<strong>en</strong><br />
Om de betrouwbaarheid van het certificaat te waarborg<strong>en</strong> is het nodig om<br />
dit regelmatig te vernieuw<strong>en</strong>. PKIoverheid eist van CSP's dat e<strong>en</strong><br />
certificaat maximaal vijf jaar geldig is maar in de praktijk gev<strong>en</strong> CSP's<br />
certificat<strong>en</strong> uit die niet langer dan drie jaar geldig zijn. Vernieuw<strong>en</strong> van<br />
het certificaat zal moet<strong>en</strong> plaatsvind<strong>en</strong> ruim voordat dit verlop<strong>en</strong> is. Dit is<br />
vooral van belang als met meerdere organisaties sam<strong>en</strong>gewerkt wordt <strong>en</strong><br />
met deze organisaties certificat<strong>en</strong> <strong>en</strong> CPA's (ebMS) uitgewisseld word<strong>en</strong>.<br />
Pagina 16 van 24
Definitief | <strong>Gebruik</strong> <strong>en</strong> <strong>Achtergrond</strong> <strong>Digikoppeling</strong> Certificat<strong>en</strong> | 20 juni 2013<br />
PKIoverheid eist dat bij vernieuwing van het certificaat ook e<strong>en</strong> nieuw<br />
sleutelpaar geg<strong>en</strong>ereerd wordt.<br />
E<strong>en</strong> certificaat is geldig als het aan de volg<strong>en</strong>de drie eis<strong>en</strong> voldoet:<br />
• De ondertek<strong>en</strong>ing van het certificaat berust op e<strong>en</strong> geldige hiërarchie<br />
van certificat<strong>en</strong> afgeleid van het overheid stamcertificaat 16 .<br />
• De geldigheidsduur van het certificaat is niet verstrek<strong>en</strong>.<br />
• Het certificaat is niet ingetrokk<strong>en</strong> door de CSP.<br />
Om na te gaan of het certificaat is ingetrokk<strong>en</strong> (Engels: revoked)<br />
publicer<strong>en</strong> de CSP's e<strong>en</strong> Certificate Revocation List (CRL). In deze lijst<br />
word<strong>en</strong> de seri<strong>en</strong>ummers van ingetrokk<strong>en</strong> certificat<strong>en</strong> opg<strong>en</strong>om<strong>en</strong>. Het is<br />
daarom nodig dat de CRL op regelmatige basis geraadpleegd wordt (of<br />
indi<strong>en</strong> beschikbaar het OCSP-alternatief). Aangezi<strong>en</strong> er meerdere CSP's<br />
zijn aangewez<strong>en</strong> binn<strong>en</strong> het overheidsdomein zull<strong>en</strong> deze allemaal moet<strong>en</strong><br />
word<strong>en</strong> geraadpleegd. PKIoverheid certificat<strong>en</strong> zijn onderdeel van e<strong>en</strong><br />
hiërarchie. Daarom moet<strong>en</strong> ook 'bov<strong>en</strong>geleg<strong>en</strong>' CRL's word<strong>en</strong><br />
geraadpleegd 17 .<br />
Bij het gebruik van e<strong>en</strong> CRL di<strong>en</strong>t m<strong>en</strong> er op te lett<strong>en</strong> dat ook e<strong>en</strong> CRL e<strong>en</strong><br />
bepaalde geldigheidsduur heeft. Voor het verlop<strong>en</strong> van de CRL di<strong>en</strong>t er<br />
e<strong>en</strong> nieuwe opgehaald te zijn. Bij het verzuim hiervan <strong>en</strong> het lat<strong>en</strong><br />
verlop<strong>en</strong> van de geldigheidsduur van de CRL word<strong>en</strong> alle certificat<strong>en</strong> van<br />
de betreff<strong>en</strong>de CSP als ongeldig beschouwd 18 . Hoewel e<strong>en</strong> CRL bruikbaar<br />
blijft tot de next update, is het verstandig om deze minimaal elke vier uur<br />
te ververs<strong>en</strong> 19 . Basisregistraties (<strong>en</strong> andere gegev<strong>en</strong>shouders) kunn<strong>en</strong><br />
voor hun domein specifieke eis<strong>en</strong> stell<strong>en</strong>.<br />
Bij het test<strong>en</strong> van applicaties is het van belang om certificat<strong>en</strong> te<br />
gebruik<strong>en</strong> waarvan de structuur overe<strong>en</strong>komt met die van e<strong>en</strong><br />
PKIoverheid certificaat 20 . Binn<strong>en</strong>kort kunn<strong>en</strong> certificat<strong>en</strong> met e<strong>en</strong><br />
vergelijkbare structuur maar geg<strong>en</strong>ereerd met e<strong>en</strong> afwijk<strong>en</strong>d<br />
stamcertificaat aangevraagd word<strong>en</strong>. In de tuss<strong>en</strong>tijd voorziet het project<br />
<strong>Digikoppeling</strong> in levering van testcertificat<strong>en</strong>.<br />
Het is niet toegestaan om (ket<strong>en</strong>)testsystem<strong>en</strong> uit te rust<strong>en</strong> met<br />
certificat<strong>en</strong> die zijn geg<strong>en</strong>ereerd op basis van het overheid<br />
stamcertificaat; voor test<strong>en</strong> moet e<strong>en</strong> testcertificaat gebruikt word<strong>en</strong>.<br />
16 Het stamcertificaat Staat der Nederland<strong>en</strong> Root CA vindt u op<br />
http://www.logius.nl/pkioverheid/certificat<strong>en</strong>-pkioverheid/. Hier vindt u ook per CSP e<strong>en</strong> link naar<br />
de CRL met ingetrokk<strong>en</strong> certificat<strong>en</strong>.<br />
17 Servers bied<strong>en</strong> standaard configuratieparameters voor e<strong>en</strong> CRL. Niet altijd kan er naar meerdere<br />
CRL's verwez<strong>en</strong> word<strong>en</strong>. In dat geval kunn<strong>en</strong> automatische scripts help<strong>en</strong> om meerdere CRL's<br />
sam<strong>en</strong> te voeg<strong>en</strong>. <strong>Digikoppeling</strong> biedt bestpractices waarin wordt beschrev<strong>en</strong> hoe CRL's word<strong>en</strong><br />
geconfigureerd voor bijvoorbeeld de Apache Tomcat <strong>en</strong> Apache HTTP server.<br />
18 Tev<strong>en</strong>s kan het zijn dat de tooling die de CRL uitleest niet dynamisch de update van het<br />
CRLbestand registreert. Zo kan het zijn dat e<strong>en</strong> webserver herstart moet word<strong>en</strong> voordat deze het<br />
nieuwe bestand inleest. Dit gedrag is afhankelijk van het gebruikte product. Het is daarom<br />
belangrijk dat dat goed getest wordt.<br />
19 CSP's zijn verplicht om het intrekk<strong>en</strong> van e<strong>en</strong> certificaat uiterlijk vier uur na melding via de CRL te<br />
publicer<strong>en</strong>.<br />
20 E<strong>en</strong> belangrijk k<strong>en</strong>merk van PKIoverheid certificat<strong>en</strong> is behalve het OIN voor <strong>Digikoppeling</strong> dat<br />
deze e<strong>en</strong> vierlaagsstructuur hebb<strong>en</strong> (stamcertificaat, domein, CSP <strong>en</strong> certificaathouder). Niet alle<br />
software kan standaard goed omgaan met e<strong>en</strong> vierlaagsstructuur. Het is daarom belangrijk dat dit<br />
goed getest wordt.<br />
Pagina 17 van 24
Definitief | <strong>Gebruik</strong> <strong>en</strong> <strong>Achtergrond</strong> <strong>Digikoppeling</strong> Certificat<strong>en</strong> | 20 juni 2013<br />
BIJLAGEN<br />
Bestandsformat<strong>en</strong> voor certificat<strong>en</strong><br />
De volg<strong>en</strong>de bestandsformat<strong>en</strong> word<strong>en</strong> gebruikt voor uitwisseling van<br />
sleutels <strong>en</strong>/of certificat<strong>en</strong>:<br />
p7b De Cryptographic Message Syntax standaard (PKCS #7) wordt gebruikt voor uitwisseling van<br />
certificat<strong>en</strong> <strong>en</strong> hogere orde certificat<strong>en</strong> uit de hiërarchie waarmee dit certificaat is ondertek<strong>en</strong>d (<strong>en</strong><br />
op hun beurt de bov<strong>en</strong>geleg<strong>en</strong> certificat<strong>en</strong> zijn ondertek<strong>en</strong>d). Bestand<strong>en</strong> in dit formaat hebb<strong>en</strong><br />
vaak de ext<strong>en</strong>tie .p7b <strong>en</strong> soms .p7c. Hetzelfde formaat wordt gebruikt voor CRL's.<br />
p10 De Certification Request Standard (PKCS #10) wordt gebruikt voor aanvraag van e<strong>en</strong> door e<strong>en</strong><br />
CSP ondertek<strong>en</strong>d certificaat <strong>en</strong> aangeduid als Certificate Signing Request (CSR). Het CSR bevat<br />
daartoe informatie die in het certificaat opg<strong>en</strong>om<strong>en</strong> moet word<strong>en</strong> waaronder de publieke sleutel.<br />
Bestand<strong>en</strong> in dit formaat hebb<strong>en</strong> vaak de ext<strong>en</strong>tie .p10.<br />
p12 Het Personal Information Exchange formaat (PKCS #12) wordt gebruikt voor uitwisseling van<br />
cer<br />
(BER of DER)<br />
cer<br />
(base64)<br />
certificat<strong>en</strong> <strong>en</strong> de bijbehor<strong>en</strong>de privésleutel. Als de privésleutel ook in het bestand is opg<strong>en</strong>om<strong>en</strong>,<br />
is het gebruikelijk (<strong>en</strong> hoogst noodzakelijk) om dit bestand met e<strong>en</strong> wachtwoord te beveilig<strong>en</strong>.<br />
Bestand<strong>en</strong> in dit formaat hebb<strong>en</strong> vaak de ext<strong>en</strong>tie .p12 of .pfx.<br />
De Basic Encoding Rules (BER) <strong>en</strong> de Distinguished Encoding Rules (DER) zijn beide e<strong>en</strong> platform-<br />
onafhankelijke manier om certificat<strong>en</strong> weer te gev<strong>en</strong> (<strong>en</strong>coding) t<strong>en</strong> behoeve van uitwisseling.<br />
DER-<strong>en</strong>coding heeft de voorkeur. Bestand<strong>en</strong> in dit formaat hebb<strong>en</strong> vaak de ext<strong>en</strong>tie .cer. .der-<br />
<strong>en</strong>coded bestand<strong>en</strong> hebb<strong>en</strong> soms ook de ext<strong>en</strong>tie .der. Bestand<strong>en</strong> bevatt<strong>en</strong> soms meer dan één<br />
certificaat.<br />
Base64 is e<strong>en</strong> e<strong>en</strong> platform-onafhankelijke manier om certificat<strong>en</strong> weer te gev<strong>en</strong> (<strong>en</strong>coding);<br />
base64 is ontwikkeld t<strong>en</strong> behoeve van uitwisseling over internet middels Secure/Multipurpose<br />
Internet Mail Ext<strong>en</strong>sions (S/MIME). Bestand<strong>en</strong> in dit formaat hebb<strong>en</strong> vaak de ext<strong>en</strong>tie .cer of<br />
.pem. E<strong>en</strong> .pem bestand kan soms ook e<strong>en</strong> privésleutel bevatt<strong>en</strong> (dit wordt afgerad<strong>en</strong>).<br />
Bij gebruik in het kader van <strong>Digikoppeling</strong> zull<strong>en</strong> deze format<strong>en</strong> vaak<br />
(maar niet uitsluit<strong>en</strong>d) als volgt toegepast word<strong>en</strong>:<br />
• aanvraag van e<strong>en</strong> certificaat: .p10;<br />
• ontvangst van het ondertek<strong>en</strong>de certificaat: .p7b of .cer of .ber;<br />
• export van de privésleutel <strong>en</strong> certificaat voor backup; .p12.<br />
Pagina 18 van 24
Definitief | <strong>Gebruik</strong> <strong>en</strong> <strong>Achtergrond</strong> <strong>Digikoppeling</strong> Certificat<strong>en</strong> | 20 juni 2013<br />
Richtlijn<strong>en</strong> voor e<strong>en</strong> veilig password<br />
Overg<strong>en</strong>om<strong>en</strong> uit “LRD-beleid t<strong>en</strong> aanzi<strong>en</strong> van wachtwoord<strong>en</strong>”<br />
INSTELLING EN WIJZIGING VAN HET WACHTWOORD<br />
1. Het wachtwoord bestaat uit minimaal zes tek<strong>en</strong>s <strong>en</strong> maximaal<br />
acht tek<strong>en</strong>s;<br />
2. Indi<strong>en</strong> het wachtwoord bestaan uit zes tek<strong>en</strong>s dan word<strong>en</strong> de<br />
rester<strong>en</strong>de posities automatisch aangevuld met twee spaties, bij<br />
e<strong>en</strong> wachtwoord met zev<strong>en</strong> tek<strong>en</strong>s wordt de laatste positie<br />
automatisch aangevuld met één spatie;<br />
3. E<strong>en</strong> tek<strong>en</strong> mag maximaal twee keer in het wachtwoord<br />
voorkom<strong>en</strong>;<br />
4. Het wachtwoord mag niet gelijk zijn aan e<strong>en</strong> van de ti<strong>en</strong><br />
voorafgaande wachtwoord<strong>en</strong>;<br />
5. Er kan word<strong>en</strong> gebruik gemaakt van alle tek<strong>en</strong>s (NB: alle tek<strong>en</strong>s<br />
in e<strong>en</strong> computer hebb<strong>en</strong> e<strong>en</strong> waarde tuss<strong>en</strong> 000 <strong>en</strong> de 255);<br />
6. Er word<strong>en</strong> vier soort<strong>en</strong> tek<strong>en</strong>s onderscheid<strong>en</strong>:<br />
o letters A... Z (de tek<strong>en</strong>s met de waard<strong>en</strong> 065 t/m 090) <strong>en</strong><br />
a..z (de tek<strong>en</strong>s met de waard<strong>en</strong> 097 t/m 122)<br />
o cijfers 0... 9 (de tek<strong>en</strong>s met de waard<strong>en</strong> 048 t/m 057)<br />
o de spatie (het tek<strong>en</strong> met waarde 032)<br />
o overige tek<strong>en</strong>s<br />
7. Indi<strong>en</strong> in het wachtwoord letters word<strong>en</strong> gebruikt dan geldt dat<br />
deze of losstaand (dus in de vorm van één <strong>en</strong>kele letter) of in e<strong>en</strong><br />
reeks van drie letters mog<strong>en</strong> voorkom<strong>en</strong>. Reeks<strong>en</strong> van twee, vier<br />
of meer letters mog<strong>en</strong> dus niet word<strong>en</strong> gebruikt;<br />
8. Indi<strong>en</strong> in het wachtwoord cijfers word<strong>en</strong> gebruikt dan geldt dat<br />
deze of losstaand (dus in de vorm van één <strong>en</strong>kel cijfer) of in e<strong>en</strong><br />
reeks van drie cijfers mog<strong>en</strong> voorkom<strong>en</strong>. Reeks<strong>en</strong> van twee, vier<br />
of meer cijfers mog<strong>en</strong> dus niet word<strong>en</strong> gebruikt;<br />
9. Indi<strong>en</strong> in het wachtwoord reeks<strong>en</strong> van drie tek<strong>en</strong>s voorkom<strong>en</strong> dan<br />
geldt dat de waard<strong>en</strong> van deze tek<strong>en</strong>s niet met e<strong>en</strong>mog<strong>en</strong><br />
oplop<strong>en</strong>, bv. de waard<strong>en</strong> 065,066,067 (=ABC) of met 1 mog<strong>en</strong><br />
aflop<strong>en</strong>, bv. de nummers 057,056,055 (=987);<br />
10. Spaties mog<strong>en</strong> alle<strong>en</strong> voorkom<strong>en</strong> in de 7e of 8e positie; De<br />
volg<strong>en</strong>de wachtwoord<strong>en</strong> zijn dus niet goed:<br />
o 2ABC154Z (oplop<strong>en</strong>de reeks van drie letters)<br />
o AD1BOB33 (reeks van twee letters <strong>en</strong> reeks van<br />
tweecijfers)<br />
o A A571A2 (spatie op de tweede positie <strong>en</strong> drie maal<br />
dezelfde letter)<br />
o Ri<strong>en</strong>127 (reeks van vier letters)<br />
11. Indi<strong>en</strong> u in uw wachtwoord gebruik maakt van drie of meer<br />
overige tek<strong>en</strong>s, dan kom<strong>en</strong> de regels onder punt 7, 8 <strong>en</strong> 10 te<br />
vervall<strong>en</strong>. U kunt dan uw wachtwoord sam<strong>en</strong>stell<strong>en</strong> uit elke<br />
combinatie van waard<strong>en</strong> die u w<strong>en</strong>st (zolang de tek<strong>en</strong>s maar niet<br />
vaker dan twee keer in het wachtwoord voorkom<strong>en</strong>).<br />
12. E<strong>en</strong> wachtwoord heeft slechts e<strong>en</strong> beperkte geldigheidsduur van<br />
neg<strong>en</strong>tig dag<strong>en</strong>. U di<strong>en</strong>t dus voor het verstrijk<strong>en</strong> van deze termijn<br />
uw wachtwoord te wijzig<strong>en</strong>. Indi<strong>en</strong> u deze termijn overschrijdt,<br />
dan kunt u na de fatale datum ge<strong>en</strong> contact meer legg<strong>en</strong> met het<br />
netwerk. Er volgt dan e<strong>en</strong> foutmelding.<br />
Pagina 19 van 24
Definitief | <strong>Gebruik</strong> <strong>en</strong> <strong>Achtergrond</strong> <strong>Digikoppeling</strong> Certificat<strong>en</strong> | 20 juni 2013<br />
Subject attribut<strong>en</strong> in certificaat<br />
Voor de meest actuele versie zie het Programma van Eis<strong>en</strong> van<br />
PKIoverheid deel 3b! 21<br />
Veld /<br />
attribuut<br />
Crit<br />
eria<br />
Beschrijving Norm<br />
Subject V De attribut<strong>en</strong> die word<strong>en</strong><br />
Subject.cou<br />
ntryName<br />
Subject.co<br />
mmonName<br />
Het is niet<br />
toegestaan<br />
in dit<br />
attribuut<br />
wildcards te<br />
gebruik<strong>en</strong>.<br />
Subject.Sur<br />
name<br />
gebruikt om het subject<br />
(service) te beschrijv<strong>en</strong><br />
MOETEN het subject op<br />
unieke wijze b<strong>en</strong>oem<strong>en</strong> <strong>en</strong><br />
gegev<strong>en</strong>s bevatt<strong>en</strong> over<br />
de abonnee-organisatie.<br />
Het veld heeft de<br />
volg<strong>en</strong>de attribut<strong>en</strong>:<br />
V Vaste waarde: C=NL,<br />
conform ISO 3166<br />
V Naam die de service of<br />
server id<strong>en</strong>tificeert.<br />
N Wordt voor<br />
servicescertificat<strong>en</strong> niet<br />
gebruikt.<br />
21 http://www.logius.nl/pkioverheid/<br />
refer<strong>en</strong><br />
tie<br />
RFC<br />
3739,<br />
X520,<br />
ISO<br />
3166,<br />
PKIo<br />
RFC<br />
3739,<br />
ETSI TS<br />
102<br />
280,<br />
PKIo<br />
Type Toelichting<br />
PKIo,<br />
RFC3739<br />
, ETSI<br />
TS 102<br />
280<br />
Printable<br />
String<br />
UTF8Stri<br />
ng<br />
Moet e<strong>en</strong> Distinguished Name (DN)<br />
bevatt<strong>en</strong>. Andere attribut<strong>en</strong> dan<br />
hieronder g<strong>en</strong>oemd MOETEN NIET<br />
word<strong>en</strong> gebruikt.<br />
Met countryname wordt<br />
aangegev<strong>en</strong> dat het certificaat is<br />
uitgege-v<strong>en</strong> binn<strong>en</strong> de context van<br />
de PKI voor de (Nederlandse)<br />
overheid.<br />
De abonnee di<strong>en</strong>t aan te ton<strong>en</strong> dat<br />
de organisatie deze naam mag<br />
voer<strong>en</strong>. Als de service e<strong>en</strong> DNS-<br />
naam heeft, moet deze in de<br />
commonName vermeld word<strong>en</strong> als<br />
“fully-qualified domain name” (zie<br />
de definitie in deel 4). E<strong>en</strong><br />
certificaat dat bijvoorbeeld voor<br />
pkioverheid.nl wordt aangevraagd,<br />
is niet geldig voor<br />
secure.pkioverheid.nl.<br />
Servicescertificat<strong>en</strong> zijn niet<br />
persoonsgebond<strong>en</strong>. <strong>Gebruik</strong> van dit<br />
attribuut wordt daarom niet<br />
toegestaan om verwarring te<br />
voorkom<strong>en</strong>.<br />
Pagina 20 van 24
Definitief | <strong>Gebruik</strong> <strong>en</strong> <strong>Achtergrond</strong> <strong>Digikoppeling</strong> Certificat<strong>en</strong> | 20 juni 2013<br />
Subject.giv<br />
<strong>en</strong>Name<br />
Subject.pse<br />
udonym<br />
Subject.org<br />
anizationNa<br />
me<br />
Subject.org<br />
anizationalU<br />
nitName<br />
Subject.stat<br />
eOrProvince<br />
Name<br />
Subject.loc<br />
alityName<br />
Subject.pos<br />
talAddress<br />
N Wordt voor services<br />
certificat<strong>en</strong> niet gebruikt.<br />
N Het gebruik van<br />
pseudoniem<strong>en</strong> is niet<br />
toegestaan.<br />
V Volledige naam van de<br />
organisatie van de<br />
abonnee conform<br />
geaccepteerd docum<strong>en</strong>t of<br />
basisregistratie<br />
O Optionele aanduiding van<br />
e<strong>en</strong> organi-<br />
satieonderdeel. Dit<br />
attribuut mag ge<strong>en</strong><br />
functieaanduiding of<br />
dergelijke bevatt<strong>en</strong>.<br />
A Het gebruik wordt<br />
afgerad<strong>en</strong>. Indi<strong>en</strong><br />
aanwezig di<strong>en</strong>t dit veld de<br />
provincie van vestiging<br />
van de abonnee conform<br />
geaccepteerd docum<strong>en</strong>t of<br />
basisregistratie te<br />
bevatt<strong>en</strong>.<br />
A Het gebruik wordt<br />
afgerad<strong>en</strong>. Indi<strong>en</strong><br />
aanwezig di<strong>en</strong>t dit veld de<br />
vestigingsplaats van de<br />
abonnee conform<br />
geaccepteerd docum<strong>en</strong>t of<br />
basisregistratie te<br />
bevatt<strong>en</strong>.<br />
A Het gebruik wordt<br />
afgerad<strong>en</strong>. Indi<strong>en</strong><br />
aanwezig di<strong>en</strong>t dit veld<br />
het postadres van de<br />
abonnee conform<br />
geaccepteerd docum<strong>en</strong>t of<br />
basisregistratie te<br />
bevatt<strong>en</strong>.<br />
ETSI TS<br />
102<br />
280,<br />
RFC<br />
3739,<br />
PKIo<br />
PKIo UTF8Stri<br />
ng<br />
Services certificat<strong>en</strong> zijn niet<br />
persoonsgebond<strong>en</strong>. <strong>Gebruik</strong> van dit<br />
attribuut wordt daarom niet<br />
toegestaan om verwarring te<br />
voorkom<strong>en</strong>.<br />
De abonnee-organisatie is de<br />
organisatie waarmee de CSP e<strong>en</strong><br />
overe<strong>en</strong>komst heeft geslot<strong>en</strong> <strong>en</strong><br />
nam<strong>en</strong>s welke de certificaathouder<br />
(service / server) communiceert of<br />
handelt<br />
PKIo Dit attribuut mag meerdere mal<strong>en</strong><br />
PKIo,<br />
RFC<br />
3739<br />
PKIo,<br />
RFC<br />
3739<br />
PKIo,<br />
RFC<br />
3739<br />
UTF8Stri<br />
ng<br />
UTF8Stri<br />
ng<br />
UTF8Stri<br />
ng<br />
voorkom<strong>en</strong>. Het veld moet e<strong>en</strong><br />
geldige naam van e<strong>en</strong><br />
organisatieonderdeel van de<br />
abonnee bevatt<strong>en</strong> conform<br />
geaccepteerd docum<strong>en</strong>t of<br />
registratie.<br />
Naam van de provincie moet in<br />
overe<strong>en</strong>stemming zijn met het<br />
adres van de abonnee volg<strong>en</strong>s<br />
geaccepteerd docum<strong>en</strong>t of<br />
registratie.<br />
Naam van de vestigingsplaats<br />
moet in overe<strong>en</strong>stemming zijn met<br />
het adres van de abonnee volg<strong>en</strong>s<br />
geaccepteerd docum<strong>en</strong>t of<br />
registratie.<br />
Adres moet in overe<strong>en</strong>stemming<br />
zijn met het adres van de abonnee<br />
volg<strong>en</strong>s geaccepteerd docum<strong>en</strong>t of<br />
registratie.<br />
Pagina 21 van 24
Definitief | <strong>Gebruik</strong> <strong>en</strong> <strong>Achtergrond</strong> <strong>Digikoppeling</strong> Certificat<strong>en</strong> | 20 juni 2013<br />
Subject.em<br />
ailAddress<br />
Subject.seri<br />
alNumber<br />
N <strong>Gebruik</strong> is niet<br />
toegestaan.<br />
O Het is de<br />
verantwoordelijkheid van<br />
e<strong>en</strong> CSP om de uniciteit<br />
van het subject (service)<br />
te waarborg<strong>en</strong>. Het<br />
Subject.serialNumber<br />
moet gebruikt word<strong>en</strong> om<br />
het subject uniek te<br />
id<strong>en</strong>tificer<strong>en</strong>.<br />
Subject.title A Voor services certifcat<strong>en</strong><br />
subjectPubli<br />
cKeyInfo<br />
IssuerUniqu<br />
eId<strong>en</strong>tifier<br />
subjectUnq<br />
ueId<strong>en</strong>tifier<br />
is gebruik van het title-<br />
attribuut niet toegestaan<br />
V Bevat o.a. de publieke<br />
sleutel.<br />
RFC<br />
3280<br />
RFC<br />
3739, X<br />
520,<br />
PKIo<br />
ETSI TS<br />
102<br />
280,<br />
RFC<br />
3279<br />
N Wordt niet gebruikt. RFC<br />
3280<br />
N Wordt niet gebruikt. RFC<br />
3280<br />
IA5Strin<br />
g<br />
Printable<br />
String<br />
ETSI TS<br />
102 280,<br />
RFC<br />
3739,<br />
RFC<br />
3280<br />
Dit veld mag niet word<strong>en</strong> gebruikt<br />
in nieuwe certificat<strong>en</strong>.<br />
Het nummer wordt door de CSP<br />
<strong>en</strong>/of de overheid bepaald. Het<br />
nummer kan per domein<br />
verschill<strong>en</strong> <strong>en</strong> voor meerdere<br />
toepassing<strong>en</strong> gebruikt word<strong>en</strong>.<br />
Dit attribuut wordt alle<strong>en</strong> gebruikt<br />
in persoonsgebond<strong>en</strong> certificat<strong>en</strong><br />
<strong>en</strong> dus niet in services certificat<strong>en</strong>.<br />
Bevat de publieke sleutel <strong>en</strong><br />
id<strong>en</strong>tificeert het algoritme<br />
waarmee de sleutel kan word<strong>en</strong><br />
gebruikt.<br />
<strong>Gebruik</strong> hiervan is niet toegestaan<br />
(RFC 3280)<br />
<strong>Gebruik</strong> hiervan is niet toegestaan<br />
(RFC 3280)<br />
Pagina 22 van 24
Definitief | <strong>Gebruik</strong> <strong>en</strong> <strong>Achtergrond</strong> <strong>Digikoppeling</strong> Certificat<strong>en</strong> | 20 juni 2013<br />
Nummersystematiek OIN <strong>en</strong> HRN<br />
OIN formaat, als thans in gebruik voor<br />
Overheidsorganisaties<br />
Het basisformaat van het OIN (Overheidsorganisatie Id<strong>en</strong>tificatie<br />
Nummer) is:<br />
<br />
<strong>Logius</strong> maakt voor overheidsorganisaties primair gebruik van<br />
het fiscale nummer van de Belastingdi<strong>en</strong>st dat ook is/wordt<br />
opg<strong>en</strong>om<strong>en</strong> in het NHR. In die gevall<strong>en</strong> waar e<strong>en</strong><br />
overheidsorganisatie nog ge<strong>en</strong> fiscaal nummer heeft, kan<br />
word<strong>en</strong> uitgewek<strong>en</strong> naar alternatiev<strong>en</strong>.<br />
Om rek<strong>en</strong>ing te houd<strong>en</strong> met e<strong>en</strong> andere systematiek in de<br />
toekomst is de l<strong>en</strong>gte van het prefixveld bepaald op 8 posities.<br />
De prefix definieert welk soort nummer volgt.<br />
De waarde van het OIN in het <strong>Digikoppeling</strong> Service Register<br />
<strong>en</strong> in het veld subject.serialNumber is inclusief de prefix <strong>en</strong><br />
suffix <strong>en</strong> daarbij behor<strong>en</strong>de voorloopnull<strong>en</strong>. Door het gehele<br />
nummer te gebruik<strong>en</strong> wordt zeker gesteld dat het nummer<br />
uniek is.<br />
Prefix Nummer Suffix<br />
00000001 Fi-nummer van Belastingdi<strong>en</strong>st (9<br />
posities). Dit wordt het RSIN uit het<br />
NHR.<br />
“000”<br />
00000002 RSIN of FI-nummer (9 posities) Volgnummer (3 posities)<br />
00000003 KvK nummer (8 posities) Volgnummer “0000” (4 posities)<br />
00000004 Nummer van <strong>Logius</strong>-beheerder (9<br />
posities)<br />
00000005<br />
t/m<br />
00000098<br />
<strong>en</strong> vanaf<br />
00000100<br />
nog niet toegewez<strong>en</strong><br />
Volgnummer of “000”<br />
(3 posities)<br />
00000099 Reservering (9 posities) Volgnummer (3 posities)<br />
• Het Fi-nummer (RSIN) wordt opgegev<strong>en</strong> door de aanvrager<br />
<strong>en</strong> bij Belastingdi<strong>en</strong>st (dan wel in het NHR) gecontroleerd<br />
door <strong>Logius</strong>.<br />
Pagina 23 van 24
Definitief | <strong>Gebruik</strong> <strong>en</strong> <strong>Achtergrond</strong> <strong>Digikoppeling</strong> Certificat<strong>en</strong> | 20 juni 2013<br />
• De suffix met volgnummer voor het RSIN / Fi-nummer<br />
wordt door <strong>Logius</strong> sequ<strong>en</strong>tieel (beginn<strong>en</strong> bij 1) uitgedeeld<br />
op volgorde van aanmelding.<br />
• Het KvK-nummer kan uit het Handelsregister van de KvK<br />
na opgave door de aanvrager gecontroleerd word<strong>en</strong> door<br />
<strong>Logius</strong>.<br />
• Het door <strong>Logius</strong> toegek<strong>en</strong>de nummer van <strong>Logius</strong> beheerder<br />
wordt sequ<strong>en</strong>tieel toegek<strong>en</strong>d (te beginn<strong>en</strong> bij 1) op<br />
volgorde van aanmelding.<br />
• De suffix met volgnummer voor het <strong>Logius</strong> toegek<strong>en</strong>de<br />
nummer wordt sequ<strong>en</strong>tieel (beginn<strong>en</strong> bij 1) uitgedeeld op<br />
volgorde van aanmelding. De suffix “000” geeft aan dat dit<br />
de totale organisatie betreft <strong>en</strong> niet e<strong>en</strong> onderdeel.<br />
Voorbeeld<strong>en</strong>:<br />
OIN o.b.v. FI-nr: 00000001123456789000<br />
OIN o.b.v. <strong>Logius</strong>-beheerder: 00000004123456789012<br />
Het gehele nummer wordt opg<strong>en</strong>om<strong>en</strong> in het certificaat<br />
(subject.serialNumber). Dat gehele nummer geldt dus als OIN.<br />
HRN formaat, als te gebruik<strong>en</strong> voor Bedrijv<strong>en</strong><br />
De opbouw van het HRN (Handels Register Nummer) is<br />
id<strong>en</strong>tiek aan het OIN:<br />
<br />
Voor het HRN word<strong>en</strong> tot nog toe alle<strong>en</strong> onderstaande<br />
mogelijkhed<strong>en</strong> onderk<strong>en</strong>d.<br />
Prefix Nummer Suffix<br />
00000001 RSIN uit NHR (9 posities) “000”<br />
00000003 KvK nummer uit NHR (8 posities) Volgnummer “0000” (4 posities)<br />
00000002<br />
<strong>en</strong><br />
00000004<br />
00000005<br />
t/m<br />
00000098<br />
<strong>en</strong> vanaf<br />
00000100<br />
Niet gebruikt.<br />
nog niet toegewez<strong>en</strong><br />
00000099 Reservering (9 posities) Volgnummer (3 posities)<br />
In de HRN-variant word<strong>en</strong> de nummers vastgesteld door de CSP, op basis<br />
van het door de aanvrager opgegev<strong>en</strong> KvK-nummer, dat door de CSP<br />
wordt gecontroleerd.<br />
Pagina 24 van 24