Certificaten: Aanmaak en beheer 11 juni 2013 Bart Callewaert
Wat is een certificaat?
• Een bewijsstuk: – dat de echtheid van een voorwerp garandeert – dat de betrouwbaarheid van een partij garandeert
• Gebaseerd op vertrouwensrelaties – We vertrouwen eigenlijk de partij die het certificaat heeft uitgegeven
18-6-2013
Bisdomplein 3
Certificatenbeheer
9000 GENT
Tel.: 09 264 07 01
Fax: 09 264 07 02
E-mail:
[email protected]
Wat is een digitaal certificaat?
• Is het digitaal equivalent van een papieren •
certificaat Kan gebruikt worden om:
– de authenticiteit van een digitaal document te garanderen (niet-weerlegbare ondertekening) – een partij “sterk” te authentificeren (authenticatieondertekening) – een digitaal document te versleutelen
18-6-2013
Certificatenbeheer
Delen van een certificaat (1)
• Het certificaat – Bevat: * Informatie over de eigenaar van het certificaat - Naam/Locatie/Rijksregisternummer/….
* Geldigheidsduur van het certificaat * Bijhorende publieke sleutel * Informatie over de uitgever van het certificaat - Handtekening van het certificaat door de CA
– Beoogde doeleinden betreffende het gebruik van het certificaat: * Documentsigning/Codesigning/ServerAuthentication /ClientAuthentication
18-6-2013
Bisdomplein 3
Certificatenbeheer
9000 GENT
Tel.: 09 264 07 01
Fax: 09 264 07 02
E-mail:
[email protected]
Delen van een certificaat (2).
• De private sleutel – Wordt aangemaakt door de aanvrager/eigenaar van het certificaat – Mag *nooit* gedeeld worden met derden – Wordt gebruikt om: * Documenten te ondertekenen * berichten (documenten) ondertekend met de bijhorende publieke sleutel te controleren/decoderen
– Heeft een sleutelbreedte: Hoe groter, hoe moeilijker te kraken. (Momenteel gangbaar = 2048bit)
18-6-2013
Certificatenbeheer
Delen van een certificaat (3).
• De publieke sleutel – Mag vrij verdeeld worden – Wordt gebruikt om: * documenten te versleutelen * documenten ondertekend met de private sleutel te controleren - Er is zekerheid betreffende de afzender. - Het document is ongewijzigd.
18-6-2013
Bisdomplein 3
Certificatenbeheer
9000 GENT
Tel.: 09 264 07 01
Fax: 09 264 07 02
E-mail:
[email protected]
Geldigheid van een certificaat. • Beperkte geldigheidsduur – Ondertekenen/versleutelen mag enkel binnen deze periode – Controle kan altijd. Tijdstip van handtekening moet afgetoetst worden
• Intrekking van een certificaat – Gebeurt door uitgever: * Meestal op vraag van de eigenaar
– Na diefstal/verlies private sleutel – Bij ongebruik.
• Controle – Via gepubliceerde revocatielijsten (crl) – Via online services (ocsp)
18-6-2013
Certificatenbeheer
CA-issued versus Self-signed certificaten
• CA-issued (Certificate Authority) – – – – – –
Grote betrouwbaarheid Kortere levensduur Duurt lang om te leveren Verschillende administratieve procedures Kost veel Vb CA :Verisign, GlobalSign
• Self-signed – – – – –
Certificaat door zichzelf ondertekend i.p.v. door een CA Enkel vertrouwen binnen eigen gecontroleerd domein Kan langere levensduur hebben indien gewenst Direct beschikbaar Gratis aanmaak
18-6-2013
Bisdomplein 3
Onderwerp presentatie
9000 GENT
Tel.: 09 264 07 01
Fax: 09 264 07 02
E-mail:
[email protected]
Certificaten Registratie- en Beheer tool
Waarom certificaten gebruiken?
• Evolutie naar gedistribueerde architectuur over • • •
het internet Noodzaak aan identificatie en authenticatie van afnemers Noodzaak om de gevoelige gegevens tijdens de transfer te versleutelen Bij gebruik centrale Cevi-applicaties – Selfsigned voor machine->machine applicaties – Eid of selfsigned voor persoon->machine applicaties
18-6-2013
Bisdomplein 3
Onderwerp presentatie
9000 GENT
Tel.: 09 264 07 01
Fax: 09 264 07 02
E-mail:
[email protected]
Waarom de noodzaak aan een tool? • Moeilijke materie voor leken
• Registratie van certificaten bij de communicerende partijen nodig. – Verschillende variaties mogelijk: * In Windows-stores of Keystores (Java/Apache/Oracle Weblogic/…)
• Toegankelijk maken van private sleutels • Er is onderhoud: beperkte levensduur cert’s • Duidelijke monitoring nodig om vervallen certificaten te detecteren
18-6-2013
Onderwerp presentatie
Waar is configuratie nodig?
• Bij de klant: – Op servers: * Client-certificaten of CSR aanmaken * Server-certificaten of CSR aanmaken * Certificaten registreren bij Cevi voor verbindingen naar Cevi
– Op PC’s: * Client-certificaten of CSR aanmaken * Certificaten registreren bij Cevi. - Alle certificaten. Selfsigned als aternatief voor eID
– In Cevi : * Zie slide 18-6-2013
Bisdomplein 3
Onderwerp presentatie
9000 GENT
Tel.: 09 264 07 01
Fax: 09 264 07 02
E-mail:
[email protected]
Certificaten Registratie en beheertool
18-6-2013
Bisdomplein 3
Onderwerp presentatie
9000 GENT
Tel.: 09 264 07 01
Fax: 09 264 07 02
E-mail:
[email protected]