Implementatieplan 'Vervangen certificaten voor Digikoppeling ...
Implementatieplan 'Vervangen certificaten voor Digikoppeling ...
Implementatieplan 'Vervangen certificaten voor Digikoppeling ...
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
Definitief | <strong>Implementatieplan</strong> ‘Vervangen <strong>certificaten</strong> <strong>voor</strong> <strong>Digikoppeling</strong>’ | 9 september 2011<br />
Denkbare scenario’s <strong>voor</strong> situaties waarbij partij A communiceert met<br />
partij B via een intermediair (waarbij ervan wordt uitgegaan dat zowel A<br />
als B berichten uitwisselen met de intermediair op basis van<br />
<strong>Digikoppeling</strong>):<br />
4. Indien de intermediair gebruik maakt van Diginotar-<strong>certificaten</strong>:<br />
De situatie waarbij een intermediair berichten inclusief headers<br />
ongewijzigd laat (en dus alleen de TLS-tunnel termineert) komt in<br />
de huidige praktijk niet <strong>voor</strong>. Deze situatie is daarom niet<br />
uitgewerkt.<br />
In de regel geldt dat de inrichting tussen partij A en intermediair<br />
onafhankelijk kan plaatsvinden van de inrichting tussen partij B en<br />
intermediair. Zie hier<strong>voor</strong> de scenario’s 1 t/m 3.<br />
1.3 Certificaten en CPA’s<br />
Koppelvlakstandaard ebMS wordt gebruikt <strong>voor</strong> asynchroon<br />
berichtenverkeer, ook wel ‘Meldingen’ genoemd. In het geval van ebMS<br />
moeten mogelijk niet alleen <strong>certificaten</strong> worden vervangen maar (indien<br />
<strong>certificaten</strong> worden vervangen) ook de CPA-bestanden op basis waarvan<br />
het ebMS-berichtenverkeer is ingericht. In de meeste gevallen zal de<br />
certificaatinformatie (public keys) namelijk zijn opgenomen in de CPA 4 . De<br />
CPA is een bestand dat door beide communicatiepartners moet worden<br />
geïmporteerd in de ebMS-adapter (de softwarecomponent die zorgt <strong>voor</strong><br />
de ebMS-verbinding). In veel gevallen moeten publieke delen van<br />
<strong>certificaten</strong> (en hiërarchie) overigens ook expliciet in de adapter (of op het<br />
platform waarop de adapter draait) worden geïmporteerd.<br />
Een CPA kan pas worden vervangen nadat de gegevens van het nieuwe<br />
certificaat/de nieuwe <strong>certificaten</strong> in het vervangende CPA-bestand zijn<br />
opgenomen.<br />
4 Een uitzondering geldt <strong>voor</strong> situaties waarin niet de ebMS-adapter verantwoordelijk is <strong>voor</strong> initiëren<br />
en termineren van SSL/TLS-sessies. In dit geval spreken we van TLS-offloading.<br />
Certificaatinformatie wordt door de partij met TLS/SSL-offloading weer verwijderd uit de CPA. Meer<br />
informatie hierover is te vinden op<br />
https://wiki.noiv.nl/xwiki/bin/view/Stelselhandboek/<strong>Digikoppeling</strong>_Certificaten<br />
Pagina 7 van 12