OSO:2017/beveiliging/client certificaten: verschil tussen versies
(Nieuwe pagina aangemaakt met 'Vanaf OSO'16 wordt overgegaan van certificaten per school naar certificaten per software leverancier, populair gezegd het "SaaS certificaat". Dit betekent dat voor ...') |
|||
Regel 1: | Regel 1: | ||
− | Vanaf OSO'16 |
+ | Vanaf OSO'16 is overgegaan van certificaten per school naar certificaten per software leverancier, populair gezegd het "SaaS certificaat". Dit betekent dat voor elke koppeling naar een interface binnen OSO client authenticatie door het softwarepakket nodig is in plaats van authenticatie door de school. OSO geeft deze certificaten niet langer zelf uit maar heeft dit uitbesteed aan PKI Overheid. Een leverancier die actief is binnen OSO moet zichzelf voorzien van zo'n certificaat. <br/> |
Validatie binnen OSO vindt plaats door te checken of: |
Validatie binnen OSO vindt plaats door te checken of: |
||
* Het certificaat is uitgegeven door de correcte CA |
* Het certificaat is uitgegeven door de correcte CA |
Versie van 15 feb 2017 16:31
Vanaf OSO'16 is overgegaan van certificaten per school naar certificaten per software leverancier, populair gezegd het "SaaS certificaat". Dit betekent dat voor elke koppeling naar een interface binnen OSO client authenticatie door het softwarepakket nodig is in plaats van authenticatie door de school. OSO geeft deze certificaten niet langer zelf uit maar heeft dit uitbesteed aan PKI Overheid. Een leverancier die actief is binnen OSO moet zichzelf voorzien van zo'n certificaat.
Validatie binnen OSO vindt plaats door te checken of:
- Het certificaat is uitgegeven door de correcte CA
- Het certificaat een OIN/HRN bevat dat gewhitelist is voor communicatie binnen de keten
De whitelist bevat alle OIN/HRNs van Leveranciers die gekwalificeerd zijn. In het Register wordt de lijst van aangesloten Leveranciers bijgehouden en hun relatie met Scholen (via de Aanleverpunten).
Het voorstel om te komen tot de wijzigingen in het gebruik van certificaten is terug te lezen in dit memo: Bestand:Memo Voorstel wijzigen PKI infrastructuur.pdf.
Een lijst met vragen over de wijziging in de PKI infrastructuur met antwoorden wordt hier bijgehouden.
Leverancier van certificaten
Eisen
- Het client certificaat moet uitgegeven worden door een geaccrediteerd uitgever van "Staat der Nederlanden" certificaten.
- Het client certificaat moet ondertekend zijn door:
- "Staat der Nederlanden Organisatie CA - G2" of
- "Staat der Nederlanden Organisatie Services CA - G3"
- De service die de client certificaat validatie afdwingt moet exact alle 2 bovenstaande certificaat uitgevers accepteren
- De service die de client certificaat validatie afdwingt moet valideren dat de intermediate CA het client certificaat daadwerkelijk ondertekend heeft
- Het client certificaat moet een OIN/HRN bevatten, in het veld subject.serialNumber
Verklaring
Er zijn een aantal CSP's die namens de Staat der Nederlanden certificaten mogen uitgeven. Dit zijn commerciële partijen met elk hun eigen aanvraagprocedures en kosten. Het root CA blijft echter altijd "Staat der Nederlanden Root CA - G2" OF "Staat der Nederlanden Root CA - G3". Op moment van schrijven worden alleen nog certificaten uitgegeven vanuit de G2 root, het ligt echter in de lijn der verwachting dat dit op een gegeven moment overgaat naar de G3 root. OSO accepteert beide.
Binnen OSO wordt gebruik gemaakt van certificaten uit "Domein Organisatie Services" (G3) of "Domein Organisatie" (G2). Informatie over deze certificaten is na te lezen op de site van Logius.
OSO valideert de client certificaten alleen tegen bovengenoemde intermediate certificaten. Onder root CA Staat der Nederlanden worden nog meer typen certificaten uitgegeven dan de door OSO gebruikte service certificaten, bijvoorbeeld persoonscertificaten. Deze typen worden binnen OSO niet geaccepteerd, dus dat is dan ook de reden om niet tegen het root CA certificaat te valideren, maar tegen een sub certificaat onder Staat der Nederlanden.
Op eerder genoemde site van Logius zijn de kenmerken van de certificaten in te zien en zijn de certificaten zelf ook te downloaden.
De gebruikte certificaten vallen onder de Digikoppeling standaard en zijn daarmee universeel inzetbaar voor communicatie met steeds meer overheidsdiensten. Meer informatie over de standaardisatie van deze certificaten is hier te lezen. Voor OSO is het OIN/HRN van belang. Lees met name vanaf pagina 23 door om te begrijpen hoe het OIN/HRN werkt.
Aanvullende informatie betreffende CSPs
Let op dat er een servercertificaat van PKIoverheid wordt gekozen. Hierbij moet je ervoor zorgen dat het OIN/HRN ingevuld is. Standaard wordt dit nummer op basis van het KvK-nummer gegenereerd, maar controleer dit goed. Zonder dit nummer is het certificaat voor OSO niet bruikbaar!!
Het standaard nummer is gebaseerd op het KVK nummer (00000003KvKnummer0000) en heet een HRN. Deze is alleen van toepassing voor bedrijven. Let op dat in geval van bedrijfsfusies, holdingen, etc, het juiste KvK-nummer wordt gebruikt!
Mocht de organisatie geen bedrijf zijn maar een overheidsgerelateerde organisatie, dan dient een OIN aangevraagd te worden. Alle OINs zijn in te zien in het register. Het spreekt voor zich dat het OIN bekend moet zijn alvorens het certificaat aangevraagd kan worden.
Lees voor aanvragen bij KPN ook de handleiding door.
Geldigheidsduur
Zie hiervoor de eisen bij de certificaten voor de webservice.
Sterkte sleutel
Zie hiervoor de eisen bij de certificaten voor de webservice.
Wisselen sleutel
Zie hiervoor de eisen bij de certificaten voor de webservice.
Ondertekeningsalgoritme
Zie hiervoor de eisen bij de certificaten voor de webservice.
Certificaat keten
Zie hiervoor de eisen bij de certificaten voor de webservice.
Gebruik van het certificaat
Het door PKI Overheid uitgegeven certificaat wordt alleen gebruikt op de Qualificatie- en Productie omgeving. Op de Sandbox omgeving worden certificaten gebruikt die nog wel door Kennisnet worden gegenereerd, maar verder geen enkele geldigheid op andere omgevingen of andere ketens vertegenwoordigen. Deze kunnen dan ook alleen ter test ingezet worden op Sandbox. Deze test certificaten kunnen worden aangevraagd via OSO support
Aanmelden van het certificaat
Het gekochte PKI Overheid certificaat moet bij Kennisnet worden aangemeld om zodoende het OIN/HRN te whitelisten op het Traffic-center. Dit kan door het certificaat aan te melden bij OSO Support. Let op: lever ALLEEN het certificaat, niet een pfx, p12, private key of wat anders op. Alleen het publieke deel in de vorm van een crt of pem bestand.
Implementatie Client Certificate Authentication
De OSO developers wiki beschrijft op een abstract niveau aan welke eisen systemen binnen de OSO keten moeten voldoen. In enkele gevallen is het echter toch gewenst een voorbeeld implementatie uit te werken. Dit geldt sterk voor de client certificate authenticatie op Windows systemen. Hierop is besloten voor IIS 8.5 een concrete uitwerking te maken. Deze is te lezen in de handreiking voor beheerders van Windows gebaseerde systemen: handleiding client authentication voor Windows.