BSNk ondersteunt voortaan ook non-PKIo mTLS-certificaten

Vanaf 1 september 2022 ondersteunt BSNk ook non-PKIo certificaten voor MutualTLS (mTLS) verkeer. U kunt zelf kiezen of u voortaan non-PKIo certificaten wilt gebruiken of dat u PKIo-certificaten blijft gebruiken. Wilt u overstappen, dan kunt u dat doen als uw huidige certificaten gaan verlopen, u kunt het ook nu direct doen.

Wat moet u doen?

U kunt de non-PKIo certificaten aanvragen via de certificaatautoriteit waar u mee bekend bent. Als afnemer bent u zelf verantwoordelijk voor het aanvragen en aanleveren van de non-PKIo (mTLS) certificaten. In het stappenplan hieronder vindt u wat u moet doen. Ook ziet u wat Logius doet.

Stap 1: aanvragen certificaat

• Vraag het certificaat aan bij een bekende Certificate Authority (CA).

Stap 2: aanleveren certificaat

• U moet voor de non-PKIo certificaten, de volledige certificaathiërarchie aanleveren bij Logius. Hieronder een voorbeeld van een non-PKIo certificaat dat meerdere uitgevers heeft, voordat de hoofd CA bekend is.

Voorbeeld geldige hiërarchie:

Verleend aan: Sectigo

Verleend door: USERtrust

Verleend aan: USERtrust

Verleend door: AAA

Verleend aan: AAA

Verleend door: AAA

• Het certificaat en bijbehorende certificaathiërarchie moet u in een .TXT-bestand zetten.
• Het certificaat en bijbehorende certificaathiërarchie mailt u vervolgens naar: BSNKoppelRegister@logius.nl. Gebruik hierbij een onderwerpsregel met deze vorm: [NON-PKI] [PREPROD/PROD] organisatienaam.

Stap 3: Testen

• Ketenbeheer BSNk zal controleren of de volledige hiërarchie van het certificaat is aangeleverd.
• Ketenbeheer BSNk stuurt u een terugkoppeling, daarin leest u of het certificaat compleet of incompleet is aangeleverd en wat u vervolgens kunt doen.
• Ketenbeheer BSNk zal het certificaat toevoegen aan de truststore en de koppeling testen.

Meer informatie

Heeft u technische vragen over BSNk dan kunt een mail sturen naar Logius via BSNKoppelRegister@logius.nl.

Over BSNk

Met DigiD, eHerkenning of eIDAS identificeert u uw gebruikers. Uw software gebruikt BSNk om daarbij versleutelde gegevens uit te pakken. Bijvoorbeeld als u per inloggende gebruiker een Burgerservicenummer (BSN) of PseudoID (pseudoniem) gegeven ontvangt.