OSO:2016/Wijzigingen in PKI Infrastructuur OSO'16: verschil tussen versies
Naar navigatie springen
Naar zoeken springen
k |
|||
Regel 1: | Regel 1: | ||
+ | Binnen OSO zijn er twee typen certificaten: client en server certificaten: |
||
− | (Onderstaande tekst loopt vooruit op het definitieve besluit om binnen OSO'16 een nieuwe PKI infrastructuur in te richten) |
||
+ | * De [[OSO:2016/beveiliging/certificaten_webservice|server-certificaten]] zijn ‘eigen’ certificaten van leveranciers die niet door OSO worden uitgegeven. Een server-certificaat bevat metadata waarmee de betreffende server uniek geïdentificeerd kan worden, bijvoorbeeld de domeinnaam of organisatie van de eigenaar. Een server-certificaat is ondertekend door een publiek erkende Certificate Authority. Hiermee is de identiteit van de entiteit onweerlegbaar vastgesteld. Met een server-certificaat identificeert de server waarop het LAS draait zich in de OSO keten. Deze certificaten worden ook gebruikt bij de versleuteling van de OSO lijnen. De servercertificaten zijn belangrijk voor de beveiliging en het gebruik hiervan in OSO zal niet worden aangepast. Daarom zal dit type certificaat hieronder niet verder besproken worden. |
||
+ | * De [[OSO:2016/beveiliging/client_certificaten|client-certificaten]] worden in OSO gebruikt voor het authentiseren van aangesloten Leveranciers (van systemen). Deze certificaten worden daarom vaak aangeduid met ‘SAAS certificaat’. Op basis van deze controle worden alle Aanleverpunten die een Leverancier namens scholen heeft, toegelaten op OSO. |
||
+ | De SAAS certificaten worden uitgegeven door een betrouwbare partij namens PKI Overheid. Deze moeten door de leveranciers worden aangeschaft en geïnstalleerd door de LAS leverancier. Scholen staan geheel buiten deze procedure. |
||
− | In OSO'16 worden de OSO Aanleverpunt certificaten vervangen door PKI overheidscertificaten, waarbij elke Leverancier een eigen certificaat toe past<sup>*</sup>. Hieronder wordt in een stappenplan aangegeven welke zaken hiervoor aangepast moeten worden: |
||
− | |||
− | * Aanvragen PKI Certificaat |
||
− | Leveranciers die nog geen PKI-Overheidscertificaat hebben, moeten dit aanvragen. Informatie hierover is [http://www.pki-overheid-certificaat.nl/|hier] te vinden. |
||
− | * Registereren certificaten en/of OIN's |
||
− | In het Register moet opgenomen worden welke waarde het OIN in het PKI-Overheidscertificaat van een Leverancier heeft. Op basis van deze waarde kan het Traffic Center controleren of een Leverancier-Aanleverpunt combinatie valide is. De aanpak hoe deze informatie veilig in het Register kan worden geregistreerd, moet nog gekozen worden. Er zijn twee alternatieven: |
||
− | ** publiek certificaat |
||
− | Een leverancier stuurt op een veilige manier het publieke deel van het PKI-Overheidscertificaat naar Kennisnet. Op basis van |
||
− | ** OIN melden (plus KvK uittreksel) |
||
− | ** Kennisnet registratie tool/proces --> in Register/TC |
||
− | ** Deadline: Zomer (ruim), start april? |
||
− | *** keuze: Sandbox/Qualification op PKI of op eigen |
||
− | *** hoe certificaten te genereren voor test/ontwikkel ==> op de wiki |
||
− | |||
− | * Prod op PKI Overheid |
||
− | ** huidige pki's AP eruit |
||
− | ** nieuw certificaat installeren |
||
− | ** codebase: ipv selecteer op basis van school/ap nu: altijd deze |
||
− | *** verwijderen logica |
||
− | *** upload functionaliteit bij ap aanmaken verwijderen |
||
− | ***bronsystemen: controle client certificaat aanpassen (oin eruit vissen (serialnumber)) |
||
− | ***kennisnet: code uit proefopstelling, testschool koppelen als test, scholen infomeren! handleiding, helpdeksen en andere support! |
||
− | |||
− | |||
− | |||
− | Hoe verandert de PKI infra |
||
− | certificaat: AP vs SAAS |
||
− | aanleverpunt: blijft ,maar altijd zelfde certificaat |
||
− | bronsysteem: controle op OIN ipv BRIN/APindex |
Versie van 10 feb 2016 14:10
Binnen OSO zijn er twee typen certificaten: client en server certificaten:
- De server-certificaten zijn ‘eigen’ certificaten van leveranciers die niet door OSO worden uitgegeven. Een server-certificaat bevat metadata waarmee de betreffende server uniek geïdentificeerd kan worden, bijvoorbeeld de domeinnaam of organisatie van de eigenaar. Een server-certificaat is ondertekend door een publiek erkende Certificate Authority. Hiermee is de identiteit van de entiteit onweerlegbaar vastgesteld. Met een server-certificaat identificeert de server waarop het LAS draait zich in de OSO keten. Deze certificaten worden ook gebruikt bij de versleuteling van de OSO lijnen. De servercertificaten zijn belangrijk voor de beveiliging en het gebruik hiervan in OSO zal niet worden aangepast. Daarom zal dit type certificaat hieronder niet verder besproken worden.
- De client-certificaten worden in OSO gebruikt voor het authentiseren van aangesloten Leveranciers (van systemen). Deze certificaten worden daarom vaak aangeduid met ‘SAAS certificaat’. Op basis van deze controle worden alle Aanleverpunten die een Leverancier namens scholen heeft, toegelaten op OSO.
De SAAS certificaten worden uitgegeven door een betrouwbare partij namens PKI Overheid. Deze moeten door de leveranciers worden aangeschaft en geïnstalleerd door de LAS leverancier. Scholen staan geheel buiten deze procedure.