OSO:2018/beveiliging/client certificaten
Overstapservice Onderwijs: 2018/beveiliging/client certificaten
OSO maakt gebruik van het "SaaS certificaat". Dit betekent dat voor elke koppeling naar een interface binnen OSO TLS client authenticatie door het softwarepakket nodig is. De school hoeft hiervoor dus niets te doen. De instantie die verantwoordelijk is voor deze certificaten is Overheid. Een software leverancier die actief is binnen de OSO keten moet zichzelf voorzien van zo'n certificaat.
Validatie binnen OSO vindt plaats door te checken of:
- Het certificaat is uitgegeven door de correcte CA
- Het certificaat een OIN/HRN bevat dat gewhitelist is voor communicatie binnen de keten
De whitelist bevat alle OIN/HRNs van Leveranciers die gekwalificeerd zijn. In het Register wordt de lijst van aangesloten Leveranciers bijgehouden en hun relatie met Scholen (via de Aanleverpunten).
Leverancier van certificaten
Eisen
- Het client certificaat moet uitgegeven worden door een geaccrediteerd uitgever van "Staat der Nederlanden" certificaten.
- Het client certificaat moet ondertekend zijn door:
- "Staat der Nederlanden Organisatie CA - G2" of
- "Staat der Nederlanden Organisatie Services CA - G3"
- De service die de client certificaat validatie afdwingt moet exact alle 2 bovenstaande certificaat uitgevers accepteren
- De service die de client certificaat validatie afdwingt moet valideren dat de intermediate CA het client certificaat daadwerkelijk ondertekend heeft
- Het client certificaat moet een OIN/HRN bevatten, in het veld subject.serialNumber
Verklaring
Er zijn een aantal CSP's die namens de Staat der Nederlanden certificaten mogen uitgeven. Dit zijn commerciële partijen met elk hun eigen aanvraagprocedures en kosten. Het root CA blijft echter altijd "Staat der Nederlanden Root CA - G2" OF "Staat der Nederlanden Root CA - G3". Binnen OSO accepteren we beide en beide moeten worden ondersteund door het Traffic-center en de LAS systemen.
Binnen OSO wordt gebruik gemaakt van certificaten uit "Domein Organisatie Services" (G3) of "Domein Organisatie" (G2). Informatie over deze certificaten is na te lezen op de site van Logius.
OSO valideert de client certificaten alleen tegen bovengenoemde intermediate certificaten. Onder root CA Staat der Nederlanden worden nog meer typen certificaten uitgegeven dan de door OSO gebruikte service certificaten, bijvoorbeeld persoonscertificaten. Deze typen worden binnen OSO niet geaccepteerd, dus dat is dan ook de reden om niet tegen het root CA certificaat te valideren, maar tegen een sub certificaat onder Staat der Nederlanden.
Op eerder genoemde site van Logius zijn de kenmerken van de certificaten in te zien en zijn de certificaten zelf ook te downloaden.
De gebruikte certificaten vallen onder de Digikoppeling standaard en zijn daarmee universeel inzetbaar voor communicatie met steeds meer overheidsdiensten. Meer informatie over de standaardisatie van deze certificaten is hier te lezen. Voor OSO is het OIN/HRN van belang. Lees met name vanaf pagina 23 door om te begrijpen hoe het OIN/HRN werkt.
Aanvullende informatie betreffende CSPs
Let op dat er een servercertificaat van PKIoverheid wordt gekozen. Hierbij moet je ervoor zorgen dat het OIN/HRN ingevuld is. Standaard wordt dit nummer op basis van het KvK-nummer gegenereerd, maar controleer dit goed. Zonder dit nummer is het certificaat voor OSO niet bruikbaar!!
Het standaard nummer is gebaseerd op het KVK nummer (00000003KvKnummer0000) en heet een HRN. Deze is alleen van toepassing voor bedrijven. Let op dat in geval van bedrijfsfusies, holdingen, etc, het juiste KvK-nummer wordt gebruikt!
Mocht de organisatie geen bedrijf zijn maar een overheidsgerelateerde organisatie, dan dient een OIN aangevraagd te worden. Alle OINs zijn in te zien in het register. Het spreekt voor zich dat het OIN bekend moet zijn alvorens het certificaat aangevraagd kan worden.
Lees voor aanvragen bij KPN ook de handleiding door.
Verklaring ten aanzien van DUO ODOC certificaten
Op het OSO technisch overleg van januari 2018 is besloten om de voor Edukoppeling 1.2 geldende DUO ODOC certificaten niet in te voeren voor OSO. Het is hierom alleen toegestaan om PKIoverheid certificaten te gebruiken voor client authenticatie.
Geldigheidsduur
Zie hiervoor de eisen bij de certificaten voor de webservice.
Sterkte sleutel
Zie hiervoor de eisen bij de certificaten voor de webservice.
Wisselen sleutel
Zie hiervoor de eisen bij de certificaten voor de webservice.
Ondertekeningsalgoritme
Zie hiervoor de eisen bij de certificaten voor de webservice.
Certificaat keten
Zie hiervoor de eisen bij de certificaten voor de webservice.
Gebruik van het certificaat
Het door PKI Overheid uitgegeven certificaat wordt alleen gebruikt op de Qualificatie- en Productie omgeving. Op de Sandbox omgeving worden certificaten gebruikt die nog wel door Kennisnet worden gegenereerd, maar verder geen enkele geldigheid op andere omgevingen of andere ketens vertegenwoordigen. Deze kunnen dan ook alleen ter test ingezet worden op Sandbox. Deze test certificaten kunnen worden aangevraagd via OSO support
Aanmelden van het certificaat
Het gekochte PKI Overheid certificaat moet bij Kennisnet worden aangemeld om zodoende het OIN/HRN te whitelisten op het Traffic-center. Dit kan door het certificaat aan te melden bij OSO Support. Let op: lever ALLEEN het certificaat, niet een pfx, p12, private key of wat anders op. Alleen het publieke deel in de vorm van een crt of pem bestand.
Implementatie Client Certificate Authentication
De OSO developers wiki beschrijft op een abstract niveau aan welke eisen systemen binnen de OSO keten moeten voldoen. In enkele gevallen is het echter toch gewenst een voorbeeld implementatie uit te werken. Dit geldt sterk voor de client certificate authenticatie op Windows systemen. Hierop is besloten voor IIS 8.5 een concrete uitwerking te maken. Deze is te lezen in de handreiking voor beheerders van Windows gebaseerde systemen: handleiding client authentication voor Windows.