Implementatieplan 'Vervangen certificaten voor Digikoppeling ...

More documents

Recommendations

Info

Definitief | Implementatieplan ‘Vervangen certificaten voor Digikoppeling’ | 9 september 2011 2 Stappenplan: vervangen van certificaten (en CPA) Binnen Digikoppeling worden certificaten gebruikt om elektronisch berichtenverkeer tussen overheidspartijen te beveiligen. Deze berichten worden uitgewisseld met behulp van ‘webservices’ die conform Koppelvlakstandaard WUS of ebMS zijn ingericht. Een partij die zo’n service aanbiedt wordt service provider genoemd. Een partij die van deze service gebruik maakt, noemen we service requester of service consumer. Voor provider en consumer zijn de stappen voor het vervangen van een certificaat goeddeels identiek. In de regel zal echter de provider hierbij het initiatief nemen; dit ontslaat de consumer uiteraard niet van de plicht om diens eigen beveiliging actief te beheren. 2.1 Stappenplan voor service providers Voor partijen die elektronische services aanbieden: 1. Neem contact op met alle bekende afnemers (consumers) en breng hen op de hoogte van de aanstaande certificaatwijziging. Vraag bij de afnemer na of deze zelf al dan niet gebruik maakt van gecompromitteerde certificaten binnen diens Digikoppelingimplementatie. Opmerking: certificaten worden gebruikt voor transportbeveiliging (2-zijdige authenticatie) maar mogelijk ook voor berichtbeveiliging (digitale ondertekening en/of versleuteling). Controleer bij de inventarisatie van certificaten of dat voor uw implementatie het geval is. Is dat het geval, neem dan ook de voor berichtbeveiliging gebruikte certificaten mee in het vervangingsproces; 2. Indien u geen overeenkomst met een andere certificaatleverancier (Certificate Service Provider, CSP) heeft, kies dan een van de leveranciers voor services-certificaten zoals te vinden op http://www.logius.nl/producten/toegang/pkioverheid/vervangencertificaten/ en meldt u dan aan bij deze leverancier: Lever bewijs dat uw organisatie een (overheids)organisatie is, zoals een wet, oprichtingsakte of een uittreksel uit het Handelsregister. Lever als overheidsorganisatie, indien van toepassing, uw OIN; Lever bewijs van bevoegdheid (benoemings- of aanstellingsbesluit) van de vertegenwoordiger (bijvoorbeeld een minister, burgemeester of directeur); Lever een kopie van een geldig identificatiebewijs van uw bevoegd vertegenwoordiger; 3. Vraag voor elk van uw huidige Diginotar-certificaten een nieuwe certificaat aan bij uw nieuwe CSP. Voor elk nieuw certificaat: moet een nieuwe RSA-sleutel van 2048 bits worden gegenereerd moet, in overleg met Logius, een keuze worden gemaakt uit: i. SHA-1 met RSA-2048 en een einde geldigheid van 31-12-2011, of Pagina 8 van 12
Definitief | Implementatieplan ‘Vervangen certificaten voor Digikoppeling’ | 9 september 2011 ii. SHA-256 met RSA-2048 en een maximale geldigheid van 3 jaar; moet een CSR gegenereerd worden met het gekozen algoritme (SHA1WithRSAencryption of SHA256WithRSAencryption); moet de CSR bij de CSP worden ingediend. Opmerking: aan de CSP kan worden gevraagd het nieuwe certificaat op te leveren als .p7b-bestand in plaats van .cer-bestand. Het .p7b-formaat bevat tevens de bij de nieuwe CSP behorende certificaathiërarchie;; 4. Sluit een nieuwe overeenkomst met de afzonderlijke service consumers en zorg ervoor dat binnen deze overeenkomst de public keys (.cer-bestanden) worden uitgewisseld. Opmerking: het initiatief voor deze overeenkomst ligt normaliter bij de service consumer. Logius adviseert om voor deze overeenkomst gebruik te maken van een consumption request via het Digikoppeling Service Register. Overeenkomstgegevens en bijbehorende (publieke) certificaatgegevens worden daarmee geborgd in het Register; u heeft daardoor in de toekomst een overzicht van alle partijen waarmee koppelingen bestaan; 5. In geval van een koppeling op basis van ebMS: genereer een nieuwe CPA (in de regel wordt deze gemaakt door de consumer) en valideer deze CPA (let er met name op dat hierin de juiste certificaatinfo is opgenomen). Opmerking: de CPA hoeft niet te worden aangepast indien de infrastructuur (bij beide partijen) is ingericht op basis van TLS (of SSL)-offloading (of andere gevallen waarbij TLS / SSL-afhandeling niet in de Digikoppeling-adapter is ondergebracht). Logius adviseert om de nieuwe CPA door de consumer te laten opnemen in het consumption request dat deze aan de provider richt; u heeft daardoor in de toekomst een overzicht van alle partijen waarmee koppelingen bestaan; 6. Stel in overleg met de consumer(s) een plan op voor het vervangen van de certificaten en (mogelijk) CPA. Let hierbij vooral op: Afstemming met alle betrokken afnemende partijen (consumers) en prioritering per partij (vervanging zal per individuele consumer moeten worden afgestemd) 5 ; Een geschikte datum/ tijdstip voor beide partijen; Een geschikte testprocedure; 7. Pas aan beide zijden certificaten (keystores, truststore) en, indien relevant, CPA aan (upgrade adapter). 5 Aanpassen van het certificaat (en CPA) moet in het geval van ebMS voor alle aangesloten partijen tegelijk plaatsvinden. Zodra certificaat en/of CPA door de ene partner is aangepast, werkt de ebMSverbinding namelijk niet meer voor de aangesloten partijen. Zij zullen aan hun kant certificatestores en CPA zo snel mogelijk up-to-date moeten brengen. Partijen die een TLS/SSLoffloader gebruiken, hoeven in de regel niets te ondernemen, mits: 1. het CPA-ID gelijk blijft; 2. zij certificaten niet individueel in de truststore van de offloader hebben opgenomen; 3. er behalve het certificaat niets wijzigt. Pagina 9 van 12
Page 1 and 2: Implementatieplan ‘Vervangen cert
Page 3 and 4: Definitief | Implementatieplan ‘V
Page 7: Definitief | Implementatieplan ‘V

Implementatieplan 'Vervangen certificaten voor Digikoppeling ...

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?