Aanmaken van een NBB-certificaat Hoe een certificaat van de Nationale Bank van België (NBB) genereren, hernieuwen (renewal) of opnieuw genereren (recovery)?
1
Inhoudstafel 1.
DOEL VAN DEZE HANDLEIDING .................................................................................................................. 3
2.
VEILIGHEIDSINSTRUCTIES ........................................................................................................................... 3
3.
VOORWAARDEN WAARAAN DE EXTERNE CORRESPONDENT MOET VOLDOEN ........................................ 4
4.
WERKWIJZE OM EEN NBB CERTIFICAAT TE GENEREREN EN TE INSTALLEREN ........................................... 5
5.
WERKWIJZE OM EEN NBB CERTIFICAAT TE HERNIEUWEN (RENEWAL) ..................................................... 7
6.
WERKWIJZE OM EEN NBB CERTIFICAAT OPNIEUW TE GENEREREN (RECOVERY) ...................................... 9
7. WERKWIJZE OM EEN NBB CERTIFICAAT TE EXPORTEREN, TE SAVEN, TERUG TE ZETTEN EN OM SLEUTELS EN CERTIFICATEN TE VERWIJDEREN UIT UW PC .............................................................................. 11 8.
WERKWIJZE OM HET FACULTATIEVE PROGRAMMA “OFFLINE SIGNING TOOL” (OST) TE INSTALLEREN. 12
9.
BIJZONDERE PROCEDURES ....................................................................................................................... 13
Versiebeheer
Datum
Beschrijving
Auteur
2007-09-24
Basisversie
Luc CERTYN
2015-01-20
Aanpassing URL
Rogier VANHERPE
2
1. DOEL VAN DEZE HANDLEIDING Deze handleiding beschrijft de acties die een externe NBB correspondent moet uitvoeren om een certificaat van de Nationale Bank van België (NBB) te genereren, te hernieuwen (“renewal”), opnieuw te genereren (“recovery”) of op te slaan. Ook worden instructies gegeven voor het downloaden en gebruiken van het facultatieve programma “Offline Signing Tool” (OST).
2. VEILIGHEIDSINSTRUCTIES Het initiële Password en de Activation code - ontvangen van de NBB onder gesloten omslag moeten op een VEILIGE plaats BEWAARD worden. In de procedure “Werkwijze om een certificaat te genereren en te installeren” dient u het initiële Password te wijzigen. Gelieve dit NIEUWE Password eveneens op een VEILIGE plaats te BEWAREN.
3
3. VOORWAARDEN WAARAAN DE EXTERNE CORRESPONDENT MOET VOLDOEN
De externe correspondent heeft een certificaataanvraag bij de verantwoordelijke dienst van de NBB ingediend om deze te gebruiken in een NBB toepassing.
De externe correspondent verklaart zich akkoord met de documenten: “Nationale Bank van België - Certificate Policy” en “Nationale Bank van België - Certificate Practice Statement For External Counterparties”.
De externe correspondent heeft zich persoonlijk aangeboden bij een NBB Registratie Autoriteit.
De externe correspondent is in het bezit van een Username (ook wel NUIN genoemd, wat staat voor NBB Unique Identification Number), een Password om aan te loggen en een Activation Code voor de generatie van het certificaat. Deze gegevens worden door de NBB Registratie Autoriteit PERSOONLIJK aan de externe correspondent overhandigd.
Opmerking: De private sleutel en het bijbehorende certificaat, die door de Internet Explorer browser aangemaakt werden, zijn slechts beveiligd door middel van de Windows-identificatie (er is geen alarmsignaal en er is geen password in te brengen op het ogenblik van het gebruik van de private sleutel, maar een activering van een van deze veiligheidsmechanismen kan wel gebeuren via de optie "Enable strong private key protection" zoals vermeld in de opmerking van hoofdstuk 3 "Hoe een gekopieerde private sleutel en het ermee verbonden certificaat terugzetten" van het document "Internet Explorer certificaat management"). De verantwoordelijke externe correspondent moet ervoor zorgen dat de Windows gebruikersaccounts waarvoor toegang verleend wordt tot deze informatie op een correcte wijze beveiligd zijn (bijvoorbeeld: complexe passworden, blokkering van het account tijdens de afwezigheid van de gebruiker, ...) en enkel bruikbaar zijn door personen die het nodig hebben.
4
4. WERKWIJZE OM EEN NBB CERTIFICAAT TE GENEREREN EN TE INSTALLEREN 1. Verwijs in uw Internet Browser naar URL (ook wel Internetadres genoemd): https://xenroll.nbb.be/ 2. U krijgt een scherm voor het inbrengen van Username en Password. 3. Vul Username en Password (ontvangen van de NBB) in en klik op Log In 4. Bij de eerste verbinding dient u ONMIDDELLIJK het initiële Password dat u van de NBB ontvangen hebt te wijzigen. Het password dat u kiest moet bestaan uit minstens 8 karakters (met een maximum van 16), waarbij er minstens één hoofdletter, minstens één kleine letter en minstens één cijfer moet in voorkomen. Voor de wijziging: o Invullen van het initiële Password na de tekst Old password. o Invullen van het NIEUWE Password na de tekst New password. o Opnieuw invullen van het NIEUWE password na de tekst Confirm password. o Klik op Apply om de passwordwijziging door te voeren. Opmerking: het aanklikken van de Reset knop zal alle velden opnieuw leegmaken. o Nadat u het bericht ontvangen hebt dat de passwordwijziging doorgevoerd werd, klik op Continue 5. Installeer het Root CA Certificate. Hiervoor: o Klik op Downloads o Klik op Root CA certificate o In de dialoogbox, klik op Open o Het certificaat zal te voorschijn komen in een nieuw venster, klik op Install Certificate... in dit venster o In de wizard die het importeren van een certificaat toelaat, klik op Next > o Vergewis er u van dat de optie “Automatically select the certificate store based on the type of Certificate” geselecteerd is en klik dan op Next > o In het volgende scherm, klik op Finish o Indien u het bericht “Security Warning” ontvangt voor de installatie van het certificaat van de “certification authority (CA)”, klik dan op Yes Opmerking: de “Thumbprint (sha1)” van de “National Bank of Belgium – ROOT CA” is 184AA4F8 32D2CC4B 9E0AA534 461054D2 1C4EB5C6. o Nadat u de boodschap “The import was successful” ontvangen hebt, klik op OK o Sluit het “Certificate” scherm (window) door nogmaals op OK te klikken 6. Installeer het CA Certificate. Hiervoor: o Klik op CA certificate o In de dialoogbox, klik op Open o Aanmaken van een NBB certificaat o Het certificaat zal te voorschijn komen in een nieuw venster, klik vervolgens op Install Certificate... in dit venster o In de wizard die het importeren van een certificaat toelaat, klik op Next > o Vergewis er u van dat de optie “Automatically select the certificate store based on the type of Certificate” geselecteerd is en klik dan op Next > o In het volgende scherm, klik op Finish o Nadat u de boodschap “The import was successful” ontvangen hebt, klik op OK o Sluit het “Certificate” scherm (window) door nogmaals op OK te klikken 7. Aanklikken Certificate Request
5
8. Alvorens u een certificaat kan genereren, dient u zich akkoord te verklaren met de bepalingen uit de “NBB Certificate Policy” en de “NBB Certificate Practice Statement”. De recentste versie van deze documenten is te consulteren op deze pagina aan de linkerzijde. 9. Indien u akkoord gaat met de bepalingen uit beide documenten, dient u een vinkje te plaatsen na de tekst I have read and accept the latest Certificate Policy and Certificate Practice Statement. Pas dan zal de knop Request certificate “selecteerbaar” worden. 10. Het veld Email bevat het e-mail adres dat in het certificaat opgenomen wordt. Deze informatie is verplicht te verstrekken en kan door de bank gebruikt worden om u te contacteren. Indien het vermelde adres niet juist is, gelieve het dan te verbeteren. 11. Plaats in het veld Activation code de code die u van de Bank ontvangen hebt. 12. Aanklikken van de Request certificate knop. 13. Indien u een scherm krijgt zoals hieronder weergegeven, klik dan op Yes
14. Uw PC zal een cryptografische sleutel genereren en aan de NBB CA overmaken, teneinde een bijbehorend certificaat te genereren. Na enkele seconden zal u een scherm krijgen dat u vraagt om dit certificaat in uw browser te installeren. 15. Installeer het certificaat in uw browser door op Click here to install your certificate te klikken 16. Indien u een scherm krijgt zoals hieronder weergegeven, klik dan op Yes.
17. Hierna dient u een bericht te ontvangen dat uw certificaat correct geïnstalleerd is in uw browser. Klik vervolgens op de OK knop. 18. Klik op Logout om de toepassing te verlaten. 19. U krijgt een scherm ter bevestiging. Klik op Continue om de beveiligde verbinding met de NBB af te sluiten.
6
5. WERKWIJZE OM EEN NBB CERTIFICAAT TE HERNIEUWEN (RENEWAL) Opmerkingen: Deze procedure dient gevolgd te worden indien uw certificaat hernieuwd moet worden. De certificaten hebben immers een beperkte geldigheidsduur van 5 jaar; u zal hiervan verwittigd worden binnen de 1 en 3 maanden vóór de vervaldag door de NBB Registratie Autoriteit. Om deze procedure uit te voeren, dient u in het bezit te zijn van de Username (ontvangen van de NBB) en het Password dat u gekozen hebt. Bovendien hebt u ook uw Activation Code nodig die u door de NBB toegekend werd. Na de uitvoering van deze procedure beschikt u over een nieuw certificaat. Het oude certificaat blijft echter bruikbaar tot aan zijn vervaldag.
1. Verwijs in uw Internet Browser naar URL (ook wel Internetadres genoemd): https://xenroll.nbb.be/ 2. U krijgt een scherm voor het inbrengen van Username en Password. 3. Vul Username en Password (door u gekozen) in en klik op Log In 4. Aanklikken Certificate Renewal 5. U dienst zich opnieuw akkoord te verklaren met de bepalingen uit de “NBB Certificate Policy” en de “NBB Certificate Practice Statement”. De recentste versie van deze documenten is te consulteren op deze pagina aan de linkerzijde. 6. Indien u akkoord gaat met de bepalingen uit beide documenten, dient u een vinkje te plaatsen na de tekst I have read and accept the latest Certificate Policy and Certificate Practice Statement. Pas dan zal de knop Request certificate “selecteerbaar” worden. 7. Het veld Email bevat het e-mail adres dat in het certificaat opgenomen wordt. Deze informatie is verplicht te verstrekken en kan door de bank gebruikt worden om u te contacteren. Indien het vermelde adres niet juist is, gelieve het dan te verbeteren. 8. Plaats in het veld Activation code de code die u van de Bank ontvangen hebt. 9. Aanklikken van de Request certificate toets. 10. Uw PC zal een cryptografische sleutel genereren en aan de NBB CA vragen om een bijbehorend certificaat te genereren. Na enkele seconden zal u een scherm krijgen dat u vraagt om dit certificaat in uw browser te installeren. 11. Installeer het certificaat in uw browser door op Click here to install your certificate te klikken. 12. Indien u een scherm krijgt zoals hieronder weergegeven, klik dan op Yes.
7
13. Hierna dient u een bericht te ontvangen dat uw certificaat correct geïnstalleerd is in uw browser. Klik vervolgens op de OK knop. 8 14. Klik op Logout om de toepassing te verlaten. 15. U krijgt een scherm ter bevestiging. Klik op Continue om de beveiligde verbinding met de NBB af te sluiten.
8
6. WERKWIJZE OM EEN NBB CERTIFICAAT OPNIEUW TE GENEREREN (RECOVERY) Opmerkingen: Deze procedure is te gebruiken in de twee onderstaande gevallen: 1. indien het certificaat en de bijhorende cryptografische sleutel niet meer bruikbaar zijn (machinefout, harde schijf defect, andere fysische en logische fouten binnen je computer, ...). 2. indien het vermoeden bestaat dat het certificaat en de bijhorende cryptografische sleutel misbruikt kunnen worden (indien bijvoorbeeld een gebruiker die toegang heeft tot het certificaat en de cryptografische sleutel van functie verandert of de onderneming verlaat, ...). Om deze procedure uit te voeren, dient u in het bezit te zijn van de Username (ontvangen van de NBB) en het Password dat u gekozen hebt. Bovendien hebt u ook uw Activation Code nodig die u door de NBB toegekend werd. Na de uitvoering van deze procedure beschikt u over een nieuw certificaat. Het oude wordt ongeldig verklaard (gerevoceerd) en zal dus normaal niet meer bruikbaar zijn in de NBB toepassingen.
1. Verwijs in uw Internet Browser naar URL (ook wel Internetadres genoemd): https://xenroll.nbb.be/ 2. U krijgt een scherm voor het inbrengen van Username en Password. 3. Vul Username en Password (door u gekozen) in en klik op Log In 4. Aanklikken Certificate Recovery 5. U dienst zich opnieuw akkoord te verklaren met de bepalingen uit de “NBB Certificate Policy” en de “NBB Certificate Practice Statement”. De recentste versie van deze documenten is te consulteren op deze pagina aan de linkerzijde. 6. Indien u akkoord gaat met de bepalingen uit beide documenten, dient u een vinkje te plaatsen na de tekst I have read and accept the latest Certificate Policy and Certificate Practice Statement. Pas dan zal de knop Request certificate “selecteerbaar” worden. 7. Het veld Email bevat het e-mail adres dat in het certificaat opgenomen wordt. Deze informatie is verplicht te verstrekken en kan door de bank gebruikt worden om u te contacteren. Indien het vermelde adres niet juist is, gelieve het dan te verbeteren. 8. Plaats in het veld Activation code de code die u van de Bank ontvangen hebt. 9. Aanklikken van de Request certificate toets. 10. Uw PC zal een cryptografische sleutel genereren en aan de NBB CA vragen om een bijbehorend certificaat te genereren. Na enkele seconden zal u een scherm ontvangen dat u vraagt om dit certificaat in uw browser te installeren. 11. Installeer het certificaat in uw browser door op Click here to install your certificate te klikken.
9
12. Indien u een scherm krijgt zoals hieronder weergegeven, klik dan op Yes.
13. Hierna dient u een bericht te ontvangen dat uw certificaat correct geïnstalleerd is in uw browser. Klik vervolgens op de OK knop. 14. Klik op Logout om de toepassing te verlaten. 15. U krijgt een scherm ter bevestiging. Klik op Continue om de beveiligde verbinding met de NBB af te sluiten.
10
7. WERKWIJZE OM EEN NBB CERTIFICAAT TE EXPORTEREN, TE SAVEN, TERUG TE ZETTEN EN OM SLEUTELS EN CERTIFICATEN TE VERWIJDEREN UIT UW PC Om de laatste versie van deze procedures te bekomen, dient u: 1. Verwijs in uw Internet Browser naar URL (ook wel Internetadres genoemd): https://xenroll.nbb.be/ 2. U krijgt een scherm voor het inbrengen van Username en Password. 3. Vul Username en Password (door u gekozen) in en klik op Log In 4. Aanklikken van Downloads 5. Uitvoeren van een rechtermuis-klik op Certificate management documentation om de handleiding te bekomen in de taal van uw keuze. 6. Kies Save Target As... en geef aan waar u het bestand (de veiligheidscopy) wenst op te slaan (bijvoorbeeld : “D:\Temp”) 7. Klik op Logout om de toepassing te verlaten. 8. U krijgt een scherm ter bevestiging. Klik op Continue om de beveiligde verbinding met de NBB af te sluiten. 9. U kan nu de handleiding raadplegen en de instructies uitvoeren.
11
8. WERKWIJZE OM HET FACULTATIEVE PROGRAMMA “OFFLINE SIGNING TOOL” (OST) TE INSTALLEREN 1. Verwijs in uw Internet Browser naar URL (ook wel Internetadres genoemd): https://xenroll.nbb.be/ 2. U krijgt een scherm voor het inbrengen van Username en Password. 3. Vul Username en Password (door u gekozen) in en klik op Log In 4. Aanklikken van Downloads 5. Aanklikken van Offline signing tool om dit programma te bekomen. 6. In het venster “download”, klik op Save 7. Kies waar u het programma wenst op te slaan (bijvoorbeeld: “D:\Temp”) en klik vervolgens op Save 8. Uitvoeren van een rechtermuis-klik op OST User Guide om de handleiding te bekomen. 9. Kies Save Target As... en geef aan waar u de gebruikershandleiding wenst op te slaan (bijvoorbeeld: “D:\Temp”) 10. Klik op Logout om de toepassing te verlaten. 11. U krijgt een scherm ter bevestiging. Klik op Continue om de beveiligde verbinding met de NBB af te sluiten. 12. U kunt nu de handleiding raadplegen en de instructies uitvoeren.
12
9. BIJZONDERE PROCEDURES Indien u het Password vergeten bent dat u in de procedure “Werkwijze om een NBB Certificaat te Genereren en te installeren” gekozen hebt, gelieve uw contactpersoon bij de NBB te verwittigen. Die zal uw Password op de oorspronkelijke waarde terugplaatsen (de waarde die u van de NBB op een document gekregen hebt). Indien U het initiële Password of de Activation code (die u van de NBB ontvangen hebt) vergeten bent dient u contact op te nemen met uw contactpersoon in de NBB en zal u zich weer persoonlijk bij de NBB Registratie Autoriteit moeten aanmelden om nieuwe codes te ontvangen.
13
