Implementatieplan 'Vervangen certificaten voor Digikoppeling ...

More documents

Recommendations

Info

Definitief | Implementatieplan ‘Vervangen certificaten voor Digikoppeling’ | 9 september 2011 d. het eigen certificaat en diens hiërarchie (dus ook het certificaat van de nieuwe CSP 2 ) ter beschikking stellen aan de andere partij zodat deze dit, indien nodig, kan toevoegen in de truststore ter vervanging van het ‘niet meer vertrouwde’ certificaat. N.B. Bij een ideale implementatie van Digikoppeling is deze actie niet nodig omdat partijen certificaten vertrouwen op basis van o.a. een geldige root en niet het individuele certificaat; niet elke partij werkt echter al zo in de praktijk; e. expliciet controle plaatsvindt dat het Diginotar-certificaat niet meer vertrouwd wordt. 2. Partij A maakt gebruik van een Diginotar-certificaat, partij B niet. Partij A vervangt diens certificaat en: a. neemt het eigen certificaat op in de eigen keystore en past dit toe in plaats van het Diginotar-certificaat (WUS-TLS); b. neemt het eigen certificaat op in de Digikoppeling-adapter en past dit toe in plaats van het Diginotar-certificaat (WUSsigning); c. maakt (gezamenlijk met de andere partij) een nieuwe CPA waarin het nieuwe certificaat (naast de oude certificaten van de andere partij) is opgenomen. Zowel partij A als partij B importeren de nieuwe CPA in hun Digikoppeling-adapter (ebMS) 3 . d. stelt het eigen certificaat en diens hiërarchie ter beschikking aan de andere partij zodat deze dit, indien nodig, kan toevoegen in de truststore ter vervanging van het ‘niet meer vertrouwde’ certificaat. N.B. Bij een ideale implementatie van Digikoppeling is deze actie niet nodig omdat partijen certificaten vertrouwen op basis van o.a. een geldige PKIoverheid-root en niet het individuele certificaat; niet elke partij werkt echter al zo in de praktijk; e. zorgt ervoor dat er expliciet controle plaatsvindt dat het Diginotar-certificaat niet meer vertrouwd wordt. 3. Noch partij A, noch partij B maakt gebruik van een Diginotarcertificaat: geen impact. 2 3 Voor beide partijen moet gelden dat het nieuwe certificaat kan worden geverifieerd tegen de bijbehorende ‘trust chain’: Staat der Nederlanden Root CA – Staat der Nederlanden Overheid CA - CSP domeincertificaat – domeincertificaat Niet elke leverancier van Digikoppeling-adapters ondersteunt het importeren van CPA’s. In dat geval zal configuratie van de Digikoppeling-adapter en eventuele keystore en truststore moeten plaatsvinden. Overleg hierover met uw leverancier. Pagina 6 van 12
Definitief | Implementatieplan ‘Vervangen certificaten voor Digikoppeling’ | 9 september 2011 Denkbare scenario’s voor situaties waarbij partij A communiceert met partij B via een intermediair (waarbij ervan wordt uitgegaan dat zowel A als B berichten uitwisselen met de intermediair op basis van Digikoppeling): 4. Indien de intermediair gebruik maakt van Diginotar-certificaten: De situatie waarbij een intermediair berichten inclusief headers ongewijzigd laat (en dus alleen de TLS-tunnel termineert) komt in de huidige praktijk niet voor. Deze situatie is daarom niet uitgewerkt. In de regel geldt dat de inrichting tussen partij A en intermediair onafhankelijk kan plaatsvinden van de inrichting tussen partij B en intermediair. Zie hiervoor de scenario’s 1 t/m 3. 1.3 Certificaten en CPA’s Koppelvlakstandaard ebMS wordt gebruikt voor asynchroon berichtenverkeer, ook wel ‘Meldingen’ genoemd. In het geval van ebMS moeten mogelijk niet alleen certificaten worden vervangen maar (indien certificaten worden vervangen) ook de CPA-bestanden op basis waarvan het ebMS-berichtenverkeer is ingericht. In de meeste gevallen zal de certificaatinformatie (public keys) namelijk zijn opgenomen in de CPA 4 . De CPA is een bestand dat door beide communicatiepartners moet worden geïmporteerd in de ebMS-adapter (de softwarecomponent die zorgt voor de ebMS-verbinding). In veel gevallen moeten publieke delen van certificaten (en hiërarchie) overigens ook expliciet in de adapter (of op het platform waarop de adapter draait) worden geïmporteerd. Een CPA kan pas worden vervangen nadat de gegevens van het nieuwe certificaat/de nieuwe certificaten in het vervangende CPA-bestand zijn opgenomen. 4 Een uitzondering geldt voor situaties waarin niet de ebMS-adapter verantwoordelijk is voor initiëren en termineren van SSL/TLS-sessies. In dit geval spreken we van TLS-offloading. Certificaatinformatie wordt door de partij met TLS/SSL-offloading weer verwijderd uit de CPA. Meer informatie hierover is te vinden op https://wiki.noiv.nl/xwiki/bin/view/Stelselhandboek/Digikoppeling_Certificaten Pagina 7 van 12
Page 1 and 2: Implementatieplan ‘Vervangen cert
Page 3 and 4: Definitief | Implementatieplan ‘V
Page 5: Definitief | Implementatieplan ‘V

Implementatieplan 'Vervangen certificaten voor Digikoppeling ...

Create successful ePaper yourself

Delete template?

Save as template?