Logius

U bevindt zich op: Home Producten Toegang PKIoverheid  Certificaten aanschaffen

PKIoverheid

Certificaten aanschaffen

Wilt u certificaten aanschaffen? U kunt dan contact opnemen met een van de certificaatverleners (CSP's) van PKIoverheid.

De handelwijze bij het aanschaffen van certificaten kan per certificaatverlener enigszins verschillen. Het aanvraagproces van een certificaat valt uiteen in verschillende onderdelen:

  • Abonneeregistratie: uw organisatie moet bij de CSP zijn geregistreerd voordat u certificaten kunt aanschaffen. Dit registreren vraagt de nodige voorbereiding van uw kant.
  • Bij het registreren moet u een certificaatbeheerder aanwijzen die namens uw organisatie het aanvragen van certificaten kan afhandelen.
  • U kunt persoonsgeboden certificaten voor uw medewerkers aanschaffen.
  • U kunt certificaten voor uw services aanschaffen.
  • Doorlooptijden bij het registreren en het aanschaffen.

Abonneeregistratie

Bij de eerste aanvraag moet een verklaring worden aangeleverd die is getekend door een wettelijk vertegenwoordiger van uw organisatie. Aantonen dat iemand wettelijk vertegenwoordiger is kan met een recent uittreksel van de Kamer van Koophandel of in het geval van een overheidsorganisaties door de mandaatregeling te overleggen.

Het overleggen van zo'n verklaring door de wettelijk vertegenwoordiger is nodig om het hoge niveau van betrouwbaarheid van een PKIoverheid-certificaat te kunnen garanderen. Het is zo niet mogelijk dat onbevoegden op naam van uw organisatie PKIoverheid-certificaten aanvragen.

U doet er goed aan de wettelijke vertegenwoordiger direct een machtiging te laten tekenen waarin een certificaatbeheerder wordt gemachtigd om voortaan uw organisatie te vertegenwoordigen inzake het aanvragen en beheren van certificaten. Bij voorkeur dient deze machtiging overdraagbaar te zijn (zodat deze niet steeds opnieuw hoeft te worden afgegeven).

De CSP zal ook vragen de juiste schrijfwijze van de organisatienaam aan te tonen. Het bewijs kan worden geleverd door een recent document te overleggen, zoals een uittreksel van de Kamer van Koophandel, een oprichtingsakte, een uitdraai van de contactgegevens van de website of origineel briefpapier met naam en adresgegevens. Die organisatienaam zal in alle certificaten van uw organisatie zijn opgenomen.

Wanneer er onduidelijkheid ontstaat over wie een bevoegd vertegenwoordiger is van de organisatie of welk bewijs moet worden geleverd voor machtiging, dan is het aan te bevelen de bedrijfsjurist van uw organisatie contact te laten opnemen met een jurist bij de CSP. Deze zullen over het algemeen onderling snel tot overeenstemming kunnen komen over de benodigde documentatie.

Certificaatbeheerder

De certificaatbeheerder is het eerste aanspreekpunt voor de CSP binnen een organisatie. Deze beheerder zal een face-to-face controle moeten ondergaan (met check van een wettelijk identiteitsbewijs) voordat het eerste certificaat kan worden geleverd.

De certificaatbeheerder vraagt de certificaten aan voor uw organisatie en meldt eventuele intrekkingen van certificaten. De CSP informeert de certificaatbeheerder over het verlopen van uitgegeven certificaten.

Als uw organisatie verwacht in de loop der tijd meerdere servicescertificaten aan te gaan vragen, dan kan worden overwogen eenmalig te investeren in een persoonsgebonden PKIoverheid-certificaat (op smartcard) inclusief een paslezer. Dit PKIoverheid-certificaat staat op naam van de beheerder. Hiermee kan de beheerder vervolgens online certificaataanvragen ondertekenen. Bij uitgifte is geen face-to-face controle meer nodig om de identiteit van de beheerder vast te stellen.

Certificaten voor medewerkers

De certificaten die u voor uw medewerkers wilt aanschaffen zijn persoonsgebonden certificaten. In de certificaten is de naam vermeld van uw organisatie (met eventueel een organisatieonderdeel) en de naam van de medewerker. Deze naam is overeenkomstig de naam in het wettelijk identiteitsdocument van de medewerker.

Het verstrekken van een persoonsgebonden PKIoverheid-certificaat is alleen mogelijk als de identiteit van de aanvrager / ontvanger met zekerheid is vastgesteld. Uw medewerker zal zich op enig moment moeten legitimeren. Hoe en waar dat gebeurt kan per CSP verschillen. Het is ook mogelijk dat u met de CSP afspreekt om het legitimeren bij uw organisatie te laten plaatsvinden. De medewerker ontvangt een persoonlijke smartcard of usb-stick.

De certificaatbeheerder vraagt bij de CSP de certificaten voor uw medewerkers aan. In het geval dat de smartcard of usb-stick is zoekgeraakt of niet meer in orde is, meldt de medewerker dat bij de certificaatbeheerder of direct bij de CSP.

Certificaten voor services

De certificaten voor services of servers zijn organisatiegebonden certificaten. In zo'n certificaat is de naam van uw organisatie vermeld en de naam van uw webdienst of het internetadres van uw webserver. Een SSL-certificaat is een voorbeeld van een servercertificaat.

Het internetadres van een website of webserver is geregistreerd (www.domain-registry.nl). In die registratie is ook vermeld wie de eigenaar is van de domeinnaam. Als uw organisatie niet de eigenaar van de naam is, moet die eigenaar toestemming geven voor het gebruik van een servercertificaat.

Het aanvragen van een certificaat voor een service of server verloopt eveneens via de certificaatbeheerder.

Doorlooptijden

Het aanschaffen van certificaten vraagt de nodige tijd en voorbereiding. Het meest tijdrovende onderdeel is de eenmalige registratie van uw organisatie als abonnee. U moet zelf de juiste documenten verzamelen en aanleveren aan de CSP. Ervaring leert dat het juist aanleveren van de gegevens op papier soms wel 1 tot 3 weken in beslag kan nemen. Het is daarbij belangrijk dat u goede afspraken met de CSP maakt over het terugmelden. Zo wilt u bijtijds een waarschuwing ontvangen als de documentatie niet compleet is.

Als de abonneeregistratie is afgerond en de certificaatbeheerder is aangewezen, dan volgt de uitgifte van de certificaten. U dient daarbij rekening te houden met een doorlooptijd van ongeveer een week tussen de face-to-face controle en de levering van het certificaat.

Aandachtspunten

Een organisatie die PKIoverheid certificaten wil gaan gebruiken en/of PKI-enabled applicaties wil aanschaffen of (laten) ontwikkelen moet rekening houden met bestaande afspraken en standaarden. De wijze waarop de organisatie hiermee omgaat kan effect hebben op de betrouwbaarheid, de interoperabiliteit en het gebruiksgemak.

De betrouwbaarheid van PKIoverheid is niet alleen gebaseerd op zorgvuldige uitgifte van certificaten door de CSP's, maar ook op de juiste werking van applicaties en het correct gebruik van certificaten. Aan deze aspecten zijn binnen PKIoverheid geen eisen gesteld.

Om het juiste gebruik van certificaten mogelijk te maken zijn diverse aandachtspunten geformuleerd. De aandachtspunten hebben betrekking op enkele specifieke onderdelen, zoals:

  • PKI-hardware (smartcard met kaartlezer, het usb-token), de PKI-middleware en de PKI-enabled applicatie.
  • Een bijzondere functie van een PKI-applicatie is de validatie.
  • Het langdurig bewaren (archiveren) is een apart punt van aandacht.