Implementatieplan 'Vervangen certificaten voor Digikoppeling ...

More documents

Recommendations

Info

Definitief | Implementatieplan ‘Vervangen certificaten voor Digikoppeling’ | 9 september 2011 Opmerkingen: Niet in alle gevallen is het noodzakelijk om het certificaat van de communicatiepartner lokaal te installeren (maar veelal wordt dit wel vereist door de adapter of het onderliggende platform); Let erop dat ook het CSP-certificaat/certificaten worden vervangen in de gebruikte certificaathiërarchie (in de regel zal het nog gaan om G1-certificaten en bijbehorende hiërarchie; G2-certificaten zijn echter niet uitgesloten!); 8. Test de verbinding op basis van de nieuwe certificaten (en CPA’s). NB: de certificaten die worden vervangen zijn PKIoverheidcertificaten die worden gebruikt in de productieomgeving. Het correcte werken van de verbinding op basis van de nieuwe certificaten kan derhalve alleen in de productieomgeving worden getest. Een en ander dient uiteraard in nauwe samenwerking met de consumer te worden voorbereid en uitgevoerd. Hierbij is het raadzaam om eerst de SSL-verbinding te testen (transportbeveiliging) en in tweede instantie de berichtbeveiliging (indien daar gebruik van wordt gemaakt). 2.2 Stappenplan voor service consumers Voor partijen die elektronische services afnemen (service requesters of service consumers): 1. Neem contact op met de service provider indien deze niet zelf al contact heeft gezocht en maak afspraken over de wijziging van certificaat; 2. Indien u geen overeenkomst met een andere certificaatleverancier (Certificate Service Provider, CSP) heeft, kies dan een van de leveranciers voor services-certificaten zoals te vinden op http://www.logius.nl/producten/toegang/pkioverheid/vervangencertificaten/ en meldt u dan aan bij deze leverancier: Lever bewijs dat uw organisatie een (overheids)organisatie is, zoals een wet, oprichtingsakte of een uittreksel uit het Handelsregister. Lever als overheidsorganisatie, indien van toepassing, uw OIN; Lever bewijs van bevoegdheid (benoemings- of aanstellingsbesluit) van de vertegenwoordiger (bijvoorbeeld een minister, burgemeester of directeur); Lever een kopie van een geldig identificatiebewijs van uw bevoegd vertegenwoordiger; 2. Vraag voor elk van uw huidige Diginotar-certificaten een nieuwe certificaat aan bij uw nieuwe CSP. Voor elk nieuw certificaat: moet een nieuwe RSA-sleutel van 2048 bits worden gegenereerd moet, in overleg met Logius, een keuze worden gemaakt uit: i. SHA-1 met RSA-2048 en een einde geldigheid van 31-12-2011, of Pagina 10 van 12
Definitief | Implementatieplan ‘Vervangen certificaten voor Digikoppeling’ | 9 september 2011 ii. SHA-256 met RSA-2048 en een maximale geldigheid van 3 jaar; moet een CSR gegenereerd worden met het gekozen algoritme (SHA1WithRSAencryption of SHA256WithRSAencryption); moet bij de CSR bij de CSP worden ingediend. Opmerking: aan de CSP kan worden gevraagd het nieuwe certificaat op te leveren als .p7b-bestand in plaats van .cer-bestand. Het .p7b-formaat bevat tevens de bij de nieuwe CSP behorende certificaathiërarchie; 3. Sluit een nieuwe overeenkomst met de service provider en zorg ervoor dat binnen deze overeenkomst de public keys (.cerbestanden) worden uitgewisseld. Opmerking: het initiatief voor deze overeenkomst ligt normaliter bij de service consumer. Logius adviseert om voor deze overeenkomst gebruik te maken van een consumption request via het Digikoppeling Service Register. Overeenkomstgegevens en bijbehorende (publieke) certificaatgegevens worden daarmee geborgd in het Register; 4. In geval van een koppeling op basis van ebMS: genereer een nieuwe CPA (in de regel wordt deze gemaakt door de consumer) en valideer deze CPA (let er met name op dat hierin de juiste certificaatinfo is opgenomen). Opmerking: de CPA hoeft niet te worden aangepast indien de infrastructuur is ingericht op basis van TLS / SSL-offloading (of andere gevallen waarbij TLS / SSL-afhandeling niet in de Digikoppeling-adapter is ondergebracht). Logius adviseert om de nieuwe CPA door de consumer te laten opnemen in het consumption request dat deze aan de provider richt; 5. Stel in overleg met de provider een plan op voor het vervangen van de certificaten en (mogelijk) CPA. Let hierbij vooral op: Een geschikte datum/ tijdstip voor beide partijen 6 ; Een geschikte testprocedure; 6. Pas aan beide zijden certificaten (keystores, truststore) en, indien relevant, CPA aan (upgrade adapter). Opmerkingen: Niet in alle gevallen is het noodzakelijk om het certificaat van de communicatiepartner lokaal te installeren (maar veelal wordt dit wel vereist door de adapter of het onderliggende platform); 6 Aanpassen van het certificaat (en CPA) moet in het geval van ebMS voor beide aangesloten partijen tegelijk plaatsvinden. Zodra certificaat en/of CPA door de ene partner is aangepast, werkt de ebMSverbinding namelijk niet meer voor de aangesloten partijen. Zij zullen aan hun kant certificatestores en CPA zo snel mogelijk up-to-date moeten brengen. Partijen die een TLS/SSLoffloader gebruiken, hoeven in de regel niets te ondernemen, mits: 1. het CPA-ID gelijk blijft; 2. zij certificaten niet individueel in de truststore van de offloader hebben opgenomen; 3. er behalve het certificaat niets wijzigt. Pagina 11 van 12
Page 1 and 2: Implementatieplan ‘Vervangen cert
Page 3 and 4: Definitief | Implementatieplan ‘V
Page 9: Definitief | Implementatieplan ‘V

Implementatieplan 'Vervangen certificaten voor Digikoppeling ...

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?