Stappenplan aansluiten

U stelt, samen met uw ICT-dienstverlener(s), een ketenoverzicht op met alle schakels in de netwerkverbinding tussen de afnemende applicatie en het Centraal Aansluitpunt. Dit ketenoverzicht moet ook inzicht geven in de niet-functionele eisen van de keten en van de aansluiting op het Centraal Aansluitpunt.

Belangrijke randvoorwaarden voor een succesvol vervolg van het aansluitproces zijn:

Aansluitnetwerkkeuze: Standaard sluiten overheidsorganisaties aan via Diginetwerk. Aansluiten via Rijksweb of Internet is alleen mogelijk als de bronhouder het toelaat.

• Doorlooptijd (Time-out): Een verbinding mag maximaal 300 seconden openstaan. Daarna geeft het Centraal Aansluitpunt een time-out.
• Verwacht berichtenvolume:
  • Pass-through koppelingen: Tot 300 transacties per seconde mogelijk.
  • ebMS koppelingen: Tot 3 transacties per seconde mogelijk.
• Berichtgrootte (Payload):
  • Standaard ondersteund: tot 20 Mb.
  • Grotere berichten (tot 100 Mb) zijn mogelijk, maar maximaal 10 per dag.
  • Let op: Voor ebMS-koppelingen geldt een strikt maximum van 20 Mb.
  • Advies: Verwacht u grotere hoeveelheden data? Knip de verwerking op in kleinere berichten of vraag een alternatieve oplossing aan.
• Doel van de verwerking: Geef inzicht in het doel, zodat Logius u kan adviseren. Het Centraal Aansluitpunt is niet bedoeld voor grootschalige, gelijktijdige (synchrone) verwerking van berichtenstromen.

In deze stap wordt de netwerkconnectiviteit van de applicatie of het systeem, met het netwerk waarmee aan het Centraal Aansluitpunt gekoppeld ingericht. Bijvoorbeeld van de betreffende applicatie naar Diginetwerk.

U organisatie regelt dit met de eigen ICT-dienstverlener(s) en netwerkbeheerders. Controleer of uw interne firewalls verkeer van en aar het Centraal Aansluitpunt toestaan. 

• Firewall-instellingen: Controleer of uw interne firewalls verkeer van en naar het Centraal Aansluitpunt toestaan.
• Centraal Aansluitpunt Firewall: Het Centraal Aansluitpunt hanteert een vaste configuratie: HTTPS op poort 443 is altijd open op alle aansluitingen (Diginetwerk, Rijksweb en Internet). Het is dus niet nodig om bij Logius firewall-wijzigingen aan te vragen.

Nadat de verbinding met het aansluitnetwerk in stap 2 gereed is, dan kunt u de specifieke netwerkverbinding met de preproductie omgeving van het Centraal Aansluitpunt inrichten.

In de door het Centraal Aansluitpunt verstrekte koppelvlakspecificaties vindt u details over hoe u de verbinding met onze omgevingen moet inrichten. Uw organisatie regelt dit met uw ICT-dienstverlener(s) en de beheerder van het netwerk. Neem hierbij de beveiligingsrichtlijnen van het NCSC betreffende Transport Layer Security (TLS) in acht. Indien nodig kan het Centraal Aansluitpunt u hierbij ondersteunen.

Zowel op transportniveau als op berichtniveau willen we kunnen vaststellen welke afnemer een koppeling op het Centraal Aansluitpunt probeert de gebruiken om misbruik en oneigenlijk gebruik te voorkomen.

Authenticatie op transportniveau (HTTPS/TLS):

• De verbinding wordt beveiligd via tweezijdige SSL (HTTPS en TLS).
• U dient het publieke deel van het PKIo-certificaat van het Centraal Aansluitpunt te importeren in uw eigen trust store.
• Het CA controleert bij elke verbinding of uw PKIo-certificaat geldig is.

Authenticatie op berichtniveau:

• De details hiervoor staan toegelicht in de koppelvlakspecificaties.
• Voor ebMS- of betrouwbaar koppelvlak: U dient het Centraal Aansluitpunt te machtigen (mandateren) om namens u een CPA (Collaboration Protocol Agreement) aan te maken. Na het uitwisselen van de CPA voert het Centraal Aansluitpunt een ebMS 'ping-pong' test uit.

U test de verbinding op verschillende niveaus.

1. Netwerkniveau testen:

• Gebruik een telnet-test. Een succesvolle test mag geen 'time-out' opleveren.
• Cruciaal: Voer de test uit vanaf de server die straks ook de daadwerkelijke berichten verstuurt (uw applicatieserver of service bus) om realistische resultaten te garanderen.

2. SSL Handshake testen:

• Controleer of het PKIO-certificaat en het bijbehorende keypair correct worden herkend.

3. Berichtenuitwisseling testen:

• Test de uitwisseling met de speciale testkoppeling van het CA door een lege SOAP-envelope te sturen.
• CA stelt hiervoor ook voorbeeld SoapUI-testprojecten beschikbaar.
• Gedetailleerde testinstructies vindt u in de koppelvlakspecificaties.

Belangrijk: Niet toegestane testen

Zonder voorafgaande toestemming van het Centraal Aansluitpunt is het niet toegestaan om de volgende activiteiten uit te voeren, omdat deze de dienstverlening van het Centraal Aansluitpunt of zijn partners kunnen beïnvloeden:

• Performancetesten
• Securitytesten
• Health checks of andere scans

Als alle testen in de preproductieomgeving succesvol zijn, bent u klaar voor de overstap naar de productieomgeving.

• U regelt de realisatie van deze verbinding met uw ICT-dienstverleners en netwerkbeheerders.

Voer na de realisatie van de productieaansluiting alle testen uit stap 5 opnieuw uit voor deze definitieve omgeving.