Implementatieplan 'Vervangen certificaten voor Digikoppeling ...
Implementatieplan 'Vervangen certificaten voor Digikoppeling ...
Implementatieplan 'Vervangen certificaten voor Digikoppeling ...
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
Definitief | <strong>Implementatieplan</strong> ‘Vervangen <strong>certificaten</strong> <strong>voor</strong> <strong>Digikoppeling</strong>’ | 9 september 2011<br />
d. het eigen certificaat en diens hiërarchie (dus ook het<br />
certificaat van de nieuwe CSP 2 ) ter beschikking stellen aan de<br />
andere partij zodat deze dit, indien nodig, kan toevoegen in de<br />
truststore ter vervanging van het ‘niet meer vertrouwde’<br />
certificaat. N.B. Bij een ideale implementatie van <strong>Digikoppeling</strong><br />
is deze actie niet nodig omdat partijen <strong>certificaten</strong> vertrouwen<br />
op basis van o.a. een geldige root en niet het individuele<br />
certificaat; niet elke partij werkt echter al zo in de praktijk;<br />
e. expliciet controle plaatsvindt dat het Diginotar-certificaat niet<br />
meer vertrouwd wordt.<br />
2. Partij A maakt gebruik van een Diginotar-certificaat, partij B niet.<br />
Partij A vervangt diens certificaat en:<br />
a. neemt het eigen certificaat op in de eigen keystore en past dit<br />
toe in plaats van het Diginotar-certificaat (WUS-TLS);<br />
b. neemt het eigen certificaat op in de <strong>Digikoppeling</strong>-adapter en<br />
past dit toe in plaats van het Diginotar-certificaat (WUSsigning);<br />
c. maakt (gezamenlijk met de andere partij) een nieuwe CPA<br />
waarin het nieuwe certificaat (naast de oude <strong>certificaten</strong> van<br />
de andere partij) is opgenomen. Zowel partij A als partij B<br />
importeren de nieuwe CPA in hun <strong>Digikoppeling</strong>-adapter<br />
(ebMS) 3 .<br />
d. stelt het eigen certificaat en diens hiërarchie ter beschikking<br />
aan de andere partij zodat deze dit, indien nodig, kan<br />
toevoegen in de truststore ter vervanging van het ‘niet meer<br />
vertrouwde’ certificaat. N.B. Bij een ideale implementatie van<br />
<strong>Digikoppeling</strong> is deze actie niet nodig omdat partijen<br />
<strong>certificaten</strong> vertrouwen op basis van o.a. een geldige<br />
PKIoverheid-root en niet het individuele certificaat; niet elke<br />
partij werkt echter al zo in de praktijk;<br />
e. zorgt er<strong>voor</strong> dat er expliciet controle plaatsvindt dat het<br />
Diginotar-certificaat niet meer vertrouwd wordt.<br />
3. Noch partij A, noch partij B maakt gebruik van een Diginotarcertificaat:<br />
geen impact.<br />
2<br />
3<br />
Voor beide partijen moet gelden dat het nieuwe certificaat kan worden geverifieerd tegen de<br />
bijbehorende ‘trust chain’: Staat der Nederlanden Root CA – Staat der Nederlanden Overheid CA -<br />
CSP domeincertificaat – domeincertificaat<br />
Niet elke leverancier van <strong>Digikoppeling</strong>-adapters ondersteunt het importeren van CPA’s. In dat<br />
geval zal configuratie van de <strong>Digikoppeling</strong>-adapter en eventuele keystore en truststore moeten<br />
plaatsvinden. Overleg hierover met uw leverancier.<br />
Pagina 6 van 12