Certification Practice Statement Bedrijfstestomgeving UZI-register
Uitgave Versie Datum Bestandsnaam
: : : :
agentschap CIBG 1.2 definitief 5-4-2006 20060405_CPS bedrijfstestomgeving_1.2.doc
Organisatie Document
CIBG UZI-register CPS bedrijfstestomgeving
Pagina 2 van 25 Versie 1.2 d.d. 5-4-2006
Revisiehistorie
Versie
Datum
Status
Opmerking
1.0 1.1
15-06-2005 30-08-2005
definitief definitief
1.2
05-04-2006
definitief
Eerste versie voor externe verspreiding Levensduur van gebruikerscertificaten is gewijzigd van zes maanden naar drie jaren Wijziging aangebracht in de maximale geldigheidsduur van de CRL (was 4 uur, wordt 48 uur)
Tabel 1: Versiehistorie CP Bedrijfstestomgeving
© 2005 CIBG, Den Haag Alle rechten voorbehouden. Niets uit deze uitgave mag worden verveelvoudigd, opgeslagen in een geautomatiseerd gegevensbestand, of openbaar gemaakt, in enige vorm of op enige wijze, hetzij elektronisch, mechanisch, door fotokopieën, opnamen of enig andere manier, zonder voorafgaande schriftelijke toestemming van de uitgever: CIBG, telefoon 070-3406020
CIBG
Organisatie Document
CIBG UZI-register CPS bedrijfstestomgeving
Pagina 3 van 25 Versie 1.2 d.d. 5-4-2006
Inhoudsopgave 1
Introductie .............................................................................................................5 1.1 Introductie UZI-register....................................................................................... 5 1.2 Doel en verwijzingen CPS bedrijfstestomgeving ..................................................... 5 1.2.1 1.2.2 1.2.3
Doel CPS bedrijfstestomgeving....................................................................................... 5 Verhouding CP en CPS bedrijfstestomgeving.................................................................... 5 Verwijzingen................................................................................................................ 6
1.3.1 1.3.2 1.3.3 1.3.4
Betrokken partijen ........................................................................................................ 6 Toepassingsgebied ....................................................................................................... 7 Soorten certificaten ...................................................................................................... 7 CA-model .................................................................................................................... 8
2.1.1 2.1.2
Verplichtingen van de CSP........................................................................................... 10 Verplichtingen van de gebruikers .................................................................................. 10
2.5.1 2.5.2 2.5.3
Publicatie van CSP informatie ...................................................................................... 11 Publicatie van certificaat ............................................................................................. 11 Frequentie van publicatie............................................................................................. 11
4.4.1 4.4.2 4.4.3
Beschikbaarheid on line controle van intrekkingstatus...................................................... 14 Vereisten on line controle intrekkingstatus..................................................................... 14 Andere vormen publiceren intrekkingstatus .................................................................... 14
1.3
2
Betrokken partijen en toepassingsgebied ............................................................... 6
1.4 Contactgegevens............................................................................................... 9 Algemene Bepalingen ............................................................................................ 10 2.1 Verplichtingen..................................................................................................10 2.2 2.3 2.4 2.5
Aansprakelijkheid .............................................................................................10 Interpretatie en handhaving................................................................................10 Tarieven..........................................................................................................11 Publicatie en elektronische opslagplaats...............................................................11
2.6 Conformiteitsbeoordeling / audit .........................................................................11 2.7 Vertrouwelijkheid .............................................................................................12 2.8 Intellectuele eigendomsrechten...........................................................................12 3 Identificatie en authenticatie ................................................................................... 13 3.1 Initiële registratie..............................................................................................13 3.2 Routinematige vernieuwing van het certificaat......................................................13 3.3 Vernieuwing van sleutels na intrekking van het certificaat ......................................13 3.4 Verzoeken tot intrekking....................................................................................13 4 Operationele eisen ................................................................................................ 14 4.1 Aanvraag van certificaten ..................................................................................14 4.2 Uitgifte van certificaten .....................................................................................14 4.3 Acceptatie van certificaten ................................................................................14 4.4 Intrekking van certificaten .................................................................................14
4.5 Procedures ten behoeve van beveiligingsaudits .....................................................14 4.6 Archivering van documenten..............................................................................15 4.7 Vernieuwen van sleutels....................................................................................15 4.8 Aantasting en continuïteit..................................................................................15 4.9 CSP beëindiging ...............................................................................................15 5 Fysieke, procedurele en personele beveiliging ............................................................ 16 5.1 Fysieke beveiliging............................................................................................16 5.2 Procedurele beveiliging ......................................................................................16 5.3 Personele beveiliging.........................................................................................16 6 Technische beveiliging ........................................................................................... 17 6.1 Genereren en installeren van sleutelparen.............................................................17 6.2 Private sleutel bescherming................................................................................17 6.3 Andere aspecten van sleutelpaar management......................................................17 6.4 Activeringsgegevens .........................................................................................17
CIBG
Organisatie Document
CIBG UZI-register CPS bedrijfstestomgeving
Pagina 4 van 25 Versie 1.2 d.d. 5-4-2006
6.5 Toegangsbeveiliging van CSP-systemen...............................................................17 6.6 Beheersingsmaatregelen technische levenscyclus..................................................17 6.7 Cryptografische module.....................................................................................17 7 Certificaat en CRL profielen .................................................................................... 18 7.1 Certificaatprofielen ...........................................................................................18 7.1.1 7.1.2 7.1.3 7.1.4
Basis attributen .......................................................................................................... 18 Extensies .................................................................................................................. 19 Emailadressen ............................................................................................................ 20 SubjectAltName.otherName ......................................................................................... 20
7.2.1 7.2.2 7.2.3
Attributen ................................................................................................................. 22 Extensies .................................................................................................................. 23 CRL Distribution Points ............................................................................................... 23
7.2
8
CRL profielen ...................................................................................................22
7.3 CSP en CA certificaten......................................................................................23 Administratieve bepalingen ..................................................................................... 25 8.1 CPS veranderingsbeheer ....................................................................................25 8.2 Publicatie ........................................................................................................25
Lijst met figuren Figuur 1: Passenmodel en certificaten bedrijfstestomgeving.................................................. 8 Figuur 2: CA-model bedrijfstestomgeving ........................................................................... 9
Lijst met tabellen Tabel 1: Versiehistorie CP Bedrijfstestomgeving.................................................................. 2 Tabel 2: OID van de CP’s van de bedrijfstestomgeving UZI-register ....................................... 6 Tabel 3: Verwijzingen naar CPS bedrijfstestomgeving .......................................................... 6 Tabel 4: Toepassingsgebied certificaten............................................................................. 7 Tabel 5: Overzicht testcertificaten met CA en toepasselijke CP ............................................. 9 Tabel 6: Basisattributen certificaatprofielen bedrijfstestomgeving .........................................19 Tabel 7: Standaard extensies certificaatprofielen................................................................20 Tabel 8:
bedrijfstestomgeving UZI-register .......................................................21 Tabel 9: Velden <Subject ID> in SubjectAltName.otherName.............................................21 Tabel 10: Attributen CRL bedrijfstestomgeving ..................................................................22 Tabel 11: Extensies CRL bedrijfstestomgeving ...................................................................23 Tabel 12: CRL Distribution points gebruikercertificaten UZI-register bedrijfstestomgeving ........23 Tabel 13: URL’s naar CA certificaten van het UZI-register bedrijfstestomgeving .....................24
CIBG
Organisatie Document
CIBG UZI-register CPS bedrijfstestomgeving
Pagina 5 van 25 Versie 1.2 d.d. 5-4-2006
1 Introductie 1.1
Introductie UZI-register
Om veilige communicatie en raadplegen van vertrouwelijk informatie in het zorgveld mogelijk te maken, zijn drie domeinen onderscheiden: de zorgconsumenten, de zorgverzekeraars en de zorgaanbieders. Het Unieke Zorgverlener Identificatie register (kortweg UZI-register) is de certificatiedienstverlener (CSP) 1 die certificaten uitgeeft voor de unieke identificatie en authenticatie van zorgaanbieders. Het UZI-register heeft als doel zorgaanbieders bij elektronische communicatie en toegang tot gegevens uniek te identificeren. Het UZI-register koppelt hiertoe op unieke wijze de fysieke identiteit aan een elektronische identiteit en legt deze vast in certificaten. De certificaten en de hierbij behorende cryptografische sleutels bevinden zich op een smartcard. Het geheel wordt aangeduid als UZI-pas. Voor een nadere toelichting op het UZI-register en de producten van het UZI-register wordt verwezen naar https://www.uzi-register.nl/ onder het kopje ‘publicaties’ Naast de productie omgeving ten behoeve van de uitgifte van de UZI-passen zoals hiervoor aangeduid, heeft het UZI-register een testomgeving ingericht. Het doel van deze omgeving is tweeledig. Het UZI-register zelf gebruikt de bedrijfstestomgeving voor de test van wijzigingen voordat zij in de productieomgeving worden geïmplementeerd. Daarnaast geeft het UZI-register vanuit de bedrijfstestomgeving testpassen uit die door anderen kunnen worden gebruikt om applicaties of processen geschikt te maken voor de toepassing van producten van het UZIregister. Passen uit de bedrijfstestomgeving kunnen door belanghebbenden in het zorgveld worden gebruikt om testen uit te voeren. Deze testpassen hebben een ander vertrouwensniveau dan de passen uit de operationele omgeving. Zij worden op andere gronden en na uitvoering van veel beperktere controles uitgegeven. 1.2
Doel en verwijzingen CPS bedrijfstestomgeving
1.2.1 Doel CPS bedrijfstestomgeving Het CPS bedrijfstestomgeving van het UZI-register beschrijft op welke wijze invulling wordt gegeven aan de dienstverlening vanuit de bedrijfstestomgeving van het UZI-register. Het CPS beschrijft de processen, procedures en beheersingsmaatregelen voor het aanvragen, produceren, verstrekken, beheren en intrekken van testcertificaten. Het CPS bedrijfstestomgeving geeft geen inzicht in de werking van het operationele UZI-register. Hiervoor wordt verwezen naar het CPS landelijk UZI-register. De algemene indeling van het CPS bedrijfstestomgeving is gelijk aan het CPS landelijk UZIregister en volgt het model zoals gepresenteerd in Request for Comments 2527. De RFC2527 geldt internationaal als een de facto standaard.
1.2.2 Verhouding CP en CPS bedrijfstestomgeving Voorliggend CPS beschrijft de wijze waarop invulling is gegeven aan de eisen zoals beschreven in de Certificate Policy bedrijfstestomgeving UZI-register. Het CPS is derhalve hiërarchisch ondergeschikt aan de CP’s. De CP’s kunnen via de volgende Object Identifiers (OID) worden geïdentificeerd:
1
Voor een verklaring van de gebruikte begrippen en afkortingen wordt verwezen naar bijlage 1 ‘Afkortingen en begrippen’ van het CPS landelijk UZI-register.
CIBG
Organisatie Document
CIBG UZI-register CPS bedrijfstestomgeving
Functie Authenticiteit Onweerlegbaarheid (handtekening) Vertrouwelijkheid Authenticiteit Vertrouwelijkheid Server
Pagina 6 van 25 Versie 1.2 d.d. 5-4-2006
CP CP authenticiteit bedrijfstestomgeving UZI-register CP onweerlegbaarheid bedrijfstestomgeving UZI-register CP vertrouwelijkheid bedrijfstestomgeving UZI-register CP services authenticiteit bedrijfstestomgeving UZI-register CP services vertrouwelijkheid bedrijfstestomgeving UZI-register CP server certificaten bedrijfstestomgeving UZI-register
OID 2.16.528.1.1007.99.1 2.16.528.1.1007.99.2 2.16.528.1.1007.99.3 2.16.528.1.1007.99.4 2.16.528.1.1007.99.5 2.16.528.1.1007.99.6
Tabel 2: OID van de CP’s van de bedrijfstestomgeving UZI-register
1.2.3 Verwijzingen Formeel wordt dit document aangeduid als ‘Certification Practice Statement, bedrijfstestomgeving UZI-register’, kortweg CPS bedrijfstestomgeving. Het CPS kan op papier worden opgevraagd bij het in paragraaf 1.4 ‘Contactgegevens’ opgenomen contactadres. De verwijzingen naar het CPS zijn opgenomen in Tabel 3: Verwijzingen naar CPS CPS Naamgeving Link Object Identifier (OID)
Omschrijving Certification Practice Statement bedrijfstestomgeving UZI-register vX.x https://www.uzi-register-test.nl/cps/cps.html 2.16.528.1.1007.99.11
Tabel 3: Verwijzingen naar CPS bedrijfstestomgeving Het CPS bedrijfstestomgeving is geldig vanaf de datum van uitgifte. Het CPS bedrijfstestomgeving is geldig zolang de dienstverlening van het UZI-register voortduurt of totdat het CPS bedrijfstestomgeving wordt vervangen door een nieuwere versie. Nieuwere versies worden aangeduid met een hoger versienummer (vX.x). Bij ingrijpende wijzigingen wordt het versienummer opgehoogd met 1, bij redactionele aanpassingen wordt het versienummer opgehoogd met 0.1. Voor informatie betreffende de wijzigingsprocedure van het CPS wordt verwezen naar de administratieve bepalingen zoals opgenomen in hoofdstuk 8 van voorliggend CPS bedrijfstestomgeving. 1.3
Betrokken partijen en toepassingsgebied
1.3.1 Betrokken partijen Het UZI-register kent de navolgende betrokken partijen: • uitvoerende organisatie van het UZI-register, inclusief leveranciers van producten en diensten; • gebruikersgemeenschap bestaande uit belanghebbenden bij het uitvoeren van testen met producten van het UZI-register.
CIBG
Organisatie Document
CIBG UZI-register CPS bedrijfstestomgeving
Pagina 7 van 25 Versie 1.2 d.d. 5-4-2006
Uitvoerende organisatie Het agentschap Centraal Informatiepunt Beroepen Gezondheidszorg (CIBG) vervult de rol van CSP en heeft de eindverantwoordelijkheid voor het leveren van de certificatiediensten uit de bedrijfstestomgeving. Het CIBG is een agentschap van het ministerie van Volksgezondheid, Welzijn en Sport. Het CIBG in de rol van CSP wordt in voorliggend CPS bedrijfstestomgeving verder aangeduid als ‘het UZI-register’. De registratie autoriteit (RA) zorgt voor de verwerking van certificaataanvragen en alle daarbij behorende taken. De RA controleert of de aanvrager van de testpassen behoort tot de gebruikersgemeenschap. De RA legt de gegevens van de testpassen vast en geeft opdracht aan de Certificatie Autoriteit (CA) voor het produceren van de UZI-passen en het publiceren van certificaten in de infrastructuur van de bedrijfstestomgeving. Het CIBG vervult de rol van RA. De CA produceert en publiceert certificaten en certificaat revocatie lijsten (CRL’s). De CA verzorgt de productie en publicatie van aangevraagde certificaten op basis van een geauthenticeerd verzoek van de RA. Certificaten worden gepubliceerd direct nadat zij door de CA zijn aangemaakt. De CA publiceert certificaten na intrekking op de Certificaat Revocatie Lijsten (CRLs). Certificaten worden op een CRL gepubliceerd nadat de CA een bericht van intrekking van het certificaat heeft ontvangen van een hiertoe bevoegde persoon. PinkRoccade vervult de rol van CA. Gebruikersgemeenschap De gebruikersgemeenschap bestaat uit belanghebbenden bij het uitvoeren van testen met producten van het UZI-register. Voorbeelden van belanghebbenden uit de gebruikersgemeenschap van de bedrijfstestomgeving van het UZI-register zijn leveranciers van systemen voor zorgaanbieders en (ICT medewerkers van) zorginstellingen die de UZI-pas willen gaan gebruiken.
1.3.2 Toepassingsgebied Het toepassingsgebied van uit de UZI-register bedrijfstestomgeving uitgegeven certificaten is beperkt tot testsituaties. De uitgegeven certificaten zijn bedoeld voor belanghebbenden bij de test. Nadrukkelijk is vereist dat de belanghebbenden zijn gerelateerd aan het domein van de zorgaanbieders (zorgverleners en zorginstellingen). De producten van het UZI-register zijn bedoeld voor zorgaanbieders bij elektronische communicatie en toegang tot gegevens. De toepasbaarheid van de certificaten wordt in Tabel 4: Toepassingsgebied certificaten nader toegelicht. Type certificaat Authenticiteitcertificaat Handtekeningcertificaat (onweerlegbaarheidcertificaat) Vertrouwelijkheidcertificaat
Doel Dit certificaat wordt gebruikt om de certificaathouder of zorginstelling te identificeren en authenticeren. Dit certificaat wordt gebruikt om een elektronische handtekening te verifiëren die door de certificaathouder is gezet. Dit certificaat wordt gebruikt voor het versleutelen van de communicatie met de certificaathouder of de zorginstelling.
Tabel 4: Toepassingsgebied certificaten
1.3.3 Soorten certificaten De verschillende passen die door het UZI-register worden uitgegeven en de certificaten per pastype, zijn weergegeven in Figuur 1: Passenmodel en certificaten. De verschillende pastypen worden hierna kort toegelicht.
CIBG
Organisatie Document
CIBG UZI-register CPS bedrijfstestomgeving
Pagina 8 van 25 Versie 1.2 d.d. 5-4-2006
Abonnee A Zorgverlener test
A Medewerker test op naam
V H
Medewerker test niet op naam
V H
A
Services test
V
A V
A=authenticiteit; V= Vertrouwelijkheid, H=Handtekening (onweerlegbaarheid)
Figuur 1: Passenmodel en certificaten bedrijfstestomgeving Zorgverlener test In deze pas is naast fictieve persoons- en abonneegegevens ook informatie betreffende de status zorgverlener opgenomen in de vorm van de beroepstitel en een eventueel specialisme. De zorgverlener test pas bevat drie certificaten en sleutelparen (authenticatie, vertrouwelijkheid en onweerlegbaarheid). Medewerker test op naam In deze pas zijn fictieve persoons- en abonneegegevens opgenomen. De pas medewerker test op naam bevat drie certificaten en sleutelparen (authenticatie, vertrouwelijkheid en onweerlegbaarheid). Medewerker test niet op naam In deze pas zijn fictieve functie- en abonneegegevens opgenomen. De pas medewerker test niet op naam bevat twee certificaten en sleutelparen (authenticatie en vertrouwelijkheid). Services test Voor services (applicaties, websites, servers etc.) kunnen servicescertificaten verkregen worden. Deze certificaten bevatten fictieve abonneegegevens en een door de aanvrager aan te leveren URL en publieke sleutel. Voor services zijn het authenticiteit- en vertrouwelijkheidcertificaat gecombineerd in één certificaat.
1.3.4 CA-model Het CA-model dat is ingericht voor de uitgifte van de hiervoor beschreven typen UZI-passen wordt geschetst in Figuur 2: CA-model. De hiërarchie van de bedrijfstestomgeving van het UZIregister is door het UZI-register zelf ondertekend. De hiërarchie van de productie omgeving en de bedrijfstestomgeving van het UZI-register zijn identiek gelaagd.
CIBG
Organisatie Document
CIBG UZI-register CPS bedrijfstestomgeving
Pagina 9 van 25 Versie 1.2 d.d. 5-4-2006
TEST UZI-register Root CA TEST UZI-register level 2 CA
TEST UZI-register level 3 CA
TEST UZI-register Zorgverlener CA
TEST UZI-register Medewerker op naam CA
TEST UZI-register Medewerker niet op naam CA TEST UZI-register Services CA
Figuur 2: CA-model bedrijfstestomgeving Het UZI-register geeft de in Tabel 5: Overzicht testcertificaten met CA en toepasselijke CP aangegeven typen certificaten uit. Per type certificaat is in de tabel het toepasselijke CP weergegeven Type certificaat
CA
Toepasselijke CP
Pas
Certificaat
Zorgverlener
authenticiteit
TEST UZI-register Zorgverlener CA
CP UZI-register testomgeving
test
handtekening
TEST UZI-register Zorgverlener CA
CP UZI-register testomgeving
vertrouwelijkheid
TEST UZI-register Zorgverlener CA
CP UZI-register testomgeving
Medewerker
authenticiteit
TEST UZI-register Medewerker op naam CA
CP UZI-register testomgeving
test op naam
handtekening
TEST UZI-register Medewerker op naam CA
CP UZI-register testomgeving
vertrouwelijkheid
TEST UZI-register Medewerker op naam CA
CP UZI-register testomgeving
Medewerker
authenticiteit
TEST UZI-register Medewerker niet op naam CA
CP UZI-register testomgeving
test niet op
vertrouwelijkheid
TEST UZI-register Medewerker niet op naam CA
CP UZI-register testomgeving
authenticiteit en
TEST UZI-register Services CA
CP UZI-register testomgeving
naam Services test
vertrouwelijkheid
Tabel 5: Overzicht testcertificaten met CA en toepasselijke CP 1.4
Contactgegevens
Informatie over dit CPS of de dienstverlening van het UZI-register kan worden verkregen via onderstaande contactgegevens. UZI-register Wijnhaven 16 Postbus 16114 2500 BC Den Haag Tel: 070 – 340 60 20 Fax: 070 – 340 52 52 [email protected] www.uzi-register.nl
CIBG
Organisatie Document
CIBG UZI-register CPS bedrijfstestomgeving
Pagina 10 van 25 Versie 1.2 d.d. 5-4-2006
2 Algemene Bepalingen 2.1
Verplichtingen
In deze paragraaf worden de verplichtingen van de diverse partijen gespecificeerd.
2.1.1 Verplichtingen van de CSP De verplichtingen van het UZI-register in haar hoedanigheid van CSP zijn: • Het dragen van de eindverantwoordelijkheid voor alle aspecten van het leveren van certificatiediensten, ook voor de functies die zijn uitbesteed aan onderaannemers. • Het naleven van de Certificate Policy test omgeving UZI-register (CP). • Het naleven van de procedures die zijn vastgelegd in het onderhavige Certification Practice Statement bedrijfstestomgeving UZI-register(CPS). • Het voldoen aan alle bijkomende verplichtingen die zijn aangegeven in de uitgegeven certificaten. • Het beschikbaar stellen van certificatiediensten voor belanghebbenden bij het uitvoeren van testen met producten van het UZI-register. Het unithoofd van het UZI-register bepaalt of een partij wordt aangemerkt als belanghebbende bij het uitvoeren van testen met producten van het UZI-register.
2.1.2 Verplichtingen van de gebruikers De gebruiker van (certificaten uit) de bedrijfstestomgeving van het UZI-register is gehouden aan de volgende verplichtingen, inhoudende: • Dat de gebruiker zich dient te houden aan hetgeen in voorliggend CPS bedrijfstestomgeving is gesteld. • Dat de gebruiker zich dient te houden aan aanwijzingen die hem/haar door het UZIregister zijn of worden meegedeeld. • Dat de gebruiker de (certificaten uit de) bedrijfstestomgeving alleen zal gebruiken voor testdoeleinden. 2.2
Aansprakelijkheid
De bedrijfstestomgeving van het UZI-register en de certificaten uit de bedrijfstestomgeving zijn uitsluitend te gebruiken voor testdoeleinden. Het UZI-register aanvaardt geen enkele aansprakelijkheid voor schade ontstaan bij natuurlijke personen of rechtspersonen, die voortvloeit uit gebruik van (certificaten uit) de testomgeving, behoudens hetgeen wettelijk is bepaald. 2.3
Interpretatie en handhaving
Op de diensten van het UZI-register, voorliggend CPS bedrijfstestomgeving en door het UZIregister gesloten overeenkomsten is het Nederlands recht van toepassing. Indien er een conflict ontstaat over de interpretatie van de bepalingen van voorliggend CPS, geeft het CPS de interpretatie van de bepalingen van het UZI-register aan. Deze interpretatie dient de algemene doelstelling van het UZI-register en met name de doelstelling van de bedrijfstestomgeving in acht te nemen. Wanneer deze uitleg niet tot een voor betrokkene(n) bevredigd resultaat leidt, dan zal, alvorens andere al dan niet juridische stappen genomen worden, het conflict worden voorgelegd aan een voor alle betrokkenen acceptabele conflictbemiddelaar. Over de bekostiging van deze conflictbemiddeling worden alsdan afspraken gemaakt. Indien voorgaande het geschil alsnog niet beslecht, wordt ze bij uitsluiting voorgelegd aan de bevoegde rechter te ’s-Gravenhage.
CIBG
Organisatie Document
CIBG UZI-register CPS bedrijfstestomgeving
Pagina 11 van 25 Versie 1.2 d.d. 5-4-2006
In geval van klachten betreffende diensten geleverd door het UZI-register, moet de klacht schriftelijk ingediend worden bij het UZI-register, ter attentie van het Unithoofd UZI-register onder vermelding van ‘Klacht’. Het UZI-register zal de klacht vervolgens afhandelen conform de klachtenprocedure, welke voortvloeit uit hoofdstuk 9 van de Algemene wet bestuursrecht. 2.4
Tarieven
Uitgangspunt is dat de dienstverlening van het UZI-register op termijn kostendekkend dient te zijn. Vooralsnog worden testpassen in beperkte aantallen om niet verstrekt. 2.5
Publicatie en elektronische opslagplaats
2.5.1 Publicatie van CSP informatie Het UZI-register publiceert CSP informatie op https://www.uzi-register-test.nl. Deze locatie biedt onder meer toegang tot de volgende documenten en diensten: • Certificate Policies bedrijfstestomgeving UZI-register. • Certification Practice Statement bedrijfstestomgeving UZI-register. • Certificate Revocation Lists. • CSP en CA certificaten. • Directory dienst.
2.5.2 Publicatie van certificaat Het UZI-register publiceert alle certificaten uit de bedrijfstestomgeving via de directory dienst. Het UZI-register streeft er naar om de directory dienst tenminste op werkdagen tussen 07.00 en 19.00 uur beschikbaar te stellen. Gepubliceerde informatie is publiek van aard en vrij toegankelijk.
2.5.3 Frequentie van publicatie Het UZI-register genereert en publiceert iedere 3 uur automatisch een CRL ongeacht het feit of er sinds de voorafgaande publicatie UZI-passen zijn ingetrokken. Er is een vast tijdschema zoals hieronder is weergegeven: 0.00 uur 3.00 uur 6.00 uur 9.00 uur 12.00 uur 15.00 uur 18.00 uur 21.00 uur De genoemde tijden zijn Central European (Summer) Time Zone. Dit is standaard Greenwich Mean Time (GMT) + 1 en gedurende zomertijd GMT + 2. Na een eventuele verstoring (systemen tijdelijk down of reboot) worden de CRL’s altijd weer gegenereerd volgens dit vaste schema.
2.6
Conformiteitsbeoordeling / audit
Er vindt geen conformiteitsbeoordeling plaats.
CIBG
Organisatie Document
2.7
CIBG UZI-register CPS bedrijfstestomgeving
Pagina 12 van 25 Versie 1.2 d.d. 5-4-2006
Vertrouwelijkheid
In de bedrijfstestomgeving wordt gewerkt met fictieve persoons- en abonneegegevens. Eventuele informatie die wordt verkregen over een persoon of organisatie wordt vertrouwelijk behandeld. De eisen gesteld in de Wet bescherming persoonsgegevens (WBP) zijn hierop van toepassing. 2.8
Intellectuele eigendomsrechten
Voorliggend CPS bedrijfstestomgeving is eigendom van het UZI-register. Ongewijzigde kopieën van deze CPS mogen zonder toestemming verspreid en gepubliceerd worden mits dit met bronvermelding geschiedt. Eigendomsrechten met betrekking tot het certificaat en de drager van de private en publieke sleutel blijven ook na uitgifte berusten bij het UZI-register en diens licentiegevers, inclusief rechten van intellectueel eigendom.
CIBG
Organisatie Document
CIBG UZI-register CPS bedrijfstestomgeving
Pagina 13 van 25 Versie 1.2 d.d. 5-4-2006
3 Identificatie en authenticatie 3.1
Initiële registratie
De naamformaten die worden gehanteerd in de bedrijfstestomgeving van het UZI-register zijn gelijk aan de naamformaten in het landelijk operationele UZI-register. Voor een nadere toelichting wordt verwezen naar het CPS landelijk operationeel UZI-register. In de bedrijfstestomgeving van het UZI-register wordt gewerkt met fictieve namen om natuurlijke en niet natuurlijke personen aan te duiden. Namen in certificaten uit de bedrijfstestomgeving worden voorafgegaan door het woord ‘test’. Het UZI-register garandeert ook in de bedrijfstestomgeving dat de uniciteit van het ‘subject’-veld wordt gewaarborgd. Hetgeen betekent dat de onderscheidende naam die is gebruikt in een uitgegeven certificaat, nooit kan worden toegewezen aan een ander subject. Dit gebeurt door middel van het UZI-nummer dat is opgenomen in het subject.serialNumber. Intrekking van certificaten uit de bedrijfstestomgeving kan via e-mail worden aangevraagd bij de helpdesk van het UZI-register ([email protected]). 3.2
Routinematige vernieuwing van het certificaat
Er zijn geen maatregelen getroffen voor routinematige vernieuwing van certificaten uit de bedrijfstestomgeving. 3.3
Vernieuwing van sleutels na intrekking van het certificaat
Er zijn geen maatregelen getroffen voor vernieuwing van sleutels na intrekking van certificaten uit de bedrijfstestomgeving. 3.4
Verzoeken tot intrekking
Alle verzoeken tot intrekking worden door de helpdesk van het UZI-register in behandeling genomen.
CIBG
Organisatie Document
CIBG UZI-register CPS bedrijfstestomgeving
Pagina 14 van 25 Versie 1.2 d.d. 5-4-2006
4 Operationele eisen 4.1
Aanvraag van certificaten
Aanvragen van certificaten kunnen door belanghebbenden bij het uitvoeren van testen met producten van het UZI-register worden gedaan. Voorbeelden van belanghebbenden uit de gebruikersgemeenschap van de bedrijfstestomgeving van het UZI-register zijn leveranciers van systemen voor zorgaanbieders en (ICT medewerkers van) zorginstellingen die de UZI-pas willen gaan gebruiken. Het unithoofd van het UZI-register bepaalt of een partij wordt aangemerkt als belanghebbende bij het uitvoeren van testen met producten van het UZI-register. Bij de aanvraag dienen de volgende gegevens te worden vermeld: • Naam en adresgegevens van de aanvrager. • Contactpersoon voor de aanvrager. • Doel van de aanvraag. Bij de aanvraag dient de aanvrager te verklaren dat de certificaten uit de bedrijfstestomgeving van het UZI-register worden gebruikt voor testdoeleinden ter voorbereiding van het gebruik van de UZI-pas uit het landelijk operationele UZI-register. 4.2
Uitgifte van certificaten
Na productie worden de UZI-passen en de bijbehorende PIN-mailers naar de aanvrager gestuurd. 4.3
Acceptatie van certificaten
Er zijn geen voorwaarden voor de acceptatie van certificaten. 4.4
Intrekking van certificaten
Intrekking van certificaten uit de bedrijfstestomgeving kan door de gebruiker via e-mail worden aangevraagd bij de helpdesk van het UZI-register ([email protected]). Het UZI-register behoudt zich het recht voor om certificaten uit de bedrijfstestomgeving in te trekken zonder opgaaf van redenen. De CRL-uitgiftefrequentie is drie uur. Ingetrokken certificaten blijven op de CRL staan zolang hun oorspronkelijke geldigheidsdatum niet is verstreken.
4.4.1 Beschikbaarheid on line controle van intrekkingstatus Niet van toepassing.
4.4.2 Vereisten on line controle intrekkingstatus Niet van toepassing.
4.4.3 Andere vormen publiceren intrekkingstatus Niet van toepassing. 4.5
Procedures ten behoeve van beveiligingsaudits
Niet van toepassing.
CIBG
Organisatie Document
4.6
CIBG UZI-register CPS bedrijfstestomgeving
Pagina 15 van 25 Versie 1.2 d.d. 5-4-2006
Archivering van documenten
Het UZI-register archiveert de bij aanvraag van testcertificaten overlegde gegevens en eventuele correspondentie en verzoeken tot intrekking van certificaten. 4.7
Vernieuwen van sleutels
Sleutels van certificaathouders zullen niet opnieuw worden gebruikt na het verstrijken van de geldigheidsduur of na het intrekken van de bijbehorende certificaten. 4.8
Aantasting en continuïteit
Het UZI-register heeft beveiligingsmaatregelen genomen om de kans op aantasting of calamiteiten te beperken. Het UZI-register geeft geen garanties over het herstel van dienstverlening ingeval van een calamiteit. 4.9
CSP beëindiging
Het UZI-register behoudt zich het recht voor om de dienstverlening met betrekking tot de bedrijfstestomgeving per direct te beëindigen. Het UZI-register zal de aanvragers/contractpersonen van geldige testcertificaten hierover informeren.
CIBG
Organisatie Document
CIBG UZI-register CPS bedrijfstestomgeving
Pagina 16 van 25 Versie 1.2 d.d. 5-4-2006
5 Fysieke, procedurele en personele beveiliging 5.1
Fysieke beveiliging
De fysieke beveiliging in de bedrijfstestomgeving van het UZI-register komt overeen met de fysieke beveiliging in de productie omgeving van het landelijk operationele UZI-register. 5.2
Procedurele beveiliging
De procedurele beveiliging in de bedrijfstestomgeving van het UZI-register komt op hoofdlijnen overeen met de procedurele beveiliging in de productie omgeving van het landelijk operationele UZI-register. Met betrekking tot distributie en vestrekking van de testcertificaten en bijbehorende activeringsgegevens gelden andere procedures, passend bij het benodigde vertrouwensniveau. 5.3
Personele beveiliging
De personele beveiliging in de bedrijfstestomgeving van het UZI-register komt overeen met de personele beveiliging in de productie omgeving van het landelijk operationele UZI-register.
CIBG
Organisatie Document
CIBG UZI-register CPS bedrijfstestomgeving
Pagina 17 van 25 Versie 1.2 d.d. 5-4-2006
6 Technische beveiliging 6.1
Genereren en installeren van sleutelparen
De procedures voor het genereren en installeren van sleutelparen in de bedrijfstestomgeving zijn in beginsel gelijk aan de voor het genereren en installeren van sleutelparen in de productie omgeving van het landelijk operationele UZI-register. Bij het genereren van sleutelparen maakt het UZI-register gebruik van veilige middelen en betrouwbare systemen. 6.2
Private sleutel bescherming
In afwijking van de productie omgeving wordt in de bedrijfstestomgeving geen back-up gemaakt van de private sleutel behorende bij het vertrouwelijkheidscertificaat van de aan gebruikers uitgegeven passen. 6.3
Andere aspecten van sleutelpaar management
Alle aspecten van het sleutelmanagement worden door het UZI-register uitgevoerd door toepassing van zorgvuldige procedures die in overeenstemming zijn met het beoogde doel. Voor de sleutelparen en certificaten van de CA’s van de bedrijfstestomgeving van het UZIregister wordt een geldigheidsduur van maximaal 6 jaar gehanteerd. Voor de certificaten op de UZI-pas uit de bedrijfstestomgeving, inclusief de bijbehorende sleutelparen, wordt een maximale geldigheidsduur van 3 jaren na de uitgiftedatum gehanteerd. 6.4
Activeringsgegevens
De UZI-pas blokkeert na de derde ingave van een foutieve PIN-code. Deblokkering kan gebeuren met behulp van een PUK-code. Indien de PUK-code drie maal onjuist is ingevoerd, is de smartcard definitief geblokkeerd en daarmee onbruikbaar gemaakt. De PIN-code en de PUK-code worden aan de certificaathouder kenbaar gemaakt in een PIN-mailer. Deze wordt samen met de pas aan de gebruiker toegestuurd of overhandigd. 6.5
Toegangsbeveiliging van CSP-systemen
Het UZI-register treft adequate maatregelen om de beschikbaarheid, integriteit en exclusiviteit van de bedrijfstestomgeving te borgen op het niveau dat passend is bij de aard van de dienstverlening. 6.6
Beheersingsmaatregelen technische levenscyclus
Het UZI-register neemt beheersingsmaatregelen op een niveau dat passend is bij de aard van de dienstverlening van de bedrijfstestomgeving. 6.7
Cryptografische module
Bij de ontwikkeling en het gebruik van cryptografische onderdelen zorgt het UZI-register er voor dat deze onderdelen voldoen aan alle eisen die kunnen worden gesteld op het gebied van beveiliging, betrouwbaarheid, toepassingsbereik en beperking van de storingsgevoeligheid. Ter beoordeling van de toepasselijke procedures kan worden uitgegaan van internationaal erkende standaards.
CIBG
Organisatie Document
CIBG UZI-register CPS bedrijfstestomgeving
Pagina 18 van 25 Versie 1.2 d.d. 5-4-2006
7 Certificaat en CRL profielen 7.1
Certificaatprofielen
De certificaten van het landelijk UZI-register voldoen aan de volgende standaarden: • X.509 v3 standaard; • Deel 3 van het Programma van Eisen van de PKI voor de Overheid, conform het profiel van het certificaat voor het domein Overheid (zie www.pkioverheid.nl); De certificaatprofielen uit de bedrijfstestomgeving zijn zo veel mogelijk gelijk aan de certificaten uit het landelijk UZI-register met dien verstande dat het bij de bedrijfstestomgeving niet gaat om gekwalificeerde certificaten. Een X.509 certificaat bestaat uit een verzameling objecten. Ieder object heeft een naam, en ieder object bestaat uit een aantal attributen. Een attribuut kan diverse zaken bevatten: sleutels, algoritmen, namen, types, andere objecten etc. Een certificaatprofiel beschrijft welke objecten worden gebruikt en welke waarden de attributen van deze objecten kunnen bevatten. Voorliggend hoofdstuk geeft op hoofdlijnen een overzicht van de certificaatprofielen van het UZIregister. Met name de velden die voor pashouders relevante gegevens bevatten komen aan de orde. De basis structuur van een certificaat bestaat uit een to-be-signed gedeelte (tbsCertificate) en een handtekening van de uitgever. Het tbsCertificate bestaat uit een aantal verplichte basisattributen gevolgd door extensies. De basis attributen en extensies zijn in de navolgende subparagrafen weergegeven.
7.1.1 Basis attributen De certificaten van het UZI-register kennen de navolgende basis attributen: Veld Version SerialNumber Signature Issuer
Waarde 2 (X.509v3) Bevat het uniek serienummer van het certificaat Het gebruikte algoritme is sha-1 WithRSAEncryption Bevat de naam van de betreffende UZI-register CA behorend bij het type UZI-pas en wordt weergegeven door de attributen OrganizationName, CommonName en CountryName. De OrganizationName is ‘agentschap Centraal Informatiepunt Beroepen Gezondheidszorg’. De CommonName bevat één van de onderstaande waarden afhankelijk van het pastype: - ‘TEST UZI-register Zorgverlener CA’ - ‘TEST UZI-register Medewerker op naam CA’ - ‘TEST UZI-register Medewerker niet op naam CA’ - ‘TEST UZI-register Services CA’
Validity Subject
De CountryName is ingesteld op ‘NL’ volgens ISO 3166. De geldigheidsperiode van het certificaat is gesteld op 3 jaren - 1 dag. De naam van het subject wordt weergegeven als een Distinguished Name
CIBG
Organisatie Document
CIBG UZI-register CPS bedrijfstestomgeving
Veld
Pagina 19 van 25 Versie 1.2 d.d. 5-4-2006
Waarde (DN), en wordt weergegeven door tenminste de volgende attributen: CountryName, CommonName, OrganizationName en SerialNumber. De attributen die worden gebruikt om het subject te beschrijven benoemen het subject op unieke wijze. De CommonName bevat: - voor de Individuele zorgverlenerpas, Zorginstelling-zorgverlenerpas en Medewerkerpas op naam de volledige (fictieve) naam van de pashouder: <spatie>; - voor de Medewerkerpas niet op naam de fictieve functie van de medewerker; - voor de Servicescertificaten de naam van de service zoals opgegeven door de gebruiker van het certificaat. De OrganizationName bevat de fictieve naam van de abonnee. De OrganizationalUnitName komt alleen optioneel voor bij de Medewerkerpas niet op naam en de Servicescertificaten en biedt ruimte voor het opnemen van de afdeling van de medewerker of de service. De CountryName is ingesteld op ‘NL’ volgens ISO 3166. Het SerialNumber bevat het fictieve UZI-nummer. Heeft technisch hetzelfde formaat maar valt in de range ‘000000000 t/m 000009999.
subjectPublicKeyInfo
Het Title attribuut bevat voor de individuele zorgverlenerpas en de zorginstelling-zorgverlenerpas de formele aanspreektitel (rol) van de zorgverlener (bijv. tandarts of cardioloog). Meer informatie over de invulling van dit veld is opgenomen in bijlage 3 van het CPS van het landelijk UZI-register. Bevat de PublicKey van de Subject
Tabel 6: Basisattributen certificaatprofielen bedrijfstestomgeving
7.1.2 Extensies Het certificaat bevat de navolgende standaard en private extensies: Standaard extensies: Veld Essentieel AuthorityKeyIdentifier Nee SubjectKeyIdentifier
Nee
KeyUsage
Ja
Waarde KeyIdentifier is ingesteld op 160 bit SHA-1 hash van de publieke sleutel van de CA die het certificaat heeft uitgegeven. KeyIdentifier is ingesteld op 160 bit SHA-1 hash van de publieke sleutel van het subject Verschilt per certificaattype: - In authenticiteitcertificaten is uitsluitend het digitalSignature bit opgenomen. - In vertrouwelijkheidcertificaten zijn uitsluitend de keyEncipherment, dataEncipherment en de keyAgreement bits opgenomen.
CIBG
Organisatie Document
CIBG UZI-register CPS bedrijfstestomgeving
Veld
Essentieel
BasicConstraints
Ja
CertificatePolicies
Nee
SubjectAltName
Nee
CrlDistributionPoints
Nee
Pagina 20 van 25 Versie 1.2 d.d. 5-4-2006
Waarde - In handtekeningcertificaten is uitsluitend het nonRepudiation bit op unieke wijze zijn opgenomen. - In de servercertificaten (services) zijn uitsluitend de DigitalSignature, keyAgreement en KeyEncipherment bits opgenomen. Het CA bit is ingesteld op ‘False’ en pathLenConstraint op ‘none’ Bevat: - de Object Identifier (OID) voor de van toepassing zijnde Certificate Policy (zie Tabel 2); - Een link naar de CPS van de bedrijfstestomgeving (zie Tabel 3); - een gebruikerstekst (UserNotice): ‘Certificaat uitsluitend gebruiken ten behoeve van de TEST van het UZI-register. Het UZI-register is in geen geval aansprakelijk voor eventuele schade’. In dit attribuut zijn in de subjectAltName.otherName diverse nummers opgenomen die binnen de zorgsector betekenis kunnen hebben en het subject als zorgverlener binnen een bepaalde zorginstelling uniek identificeren. Bevat het URI waarde de betreffende CRL, die behoort bij het type Certificaat, kan worden opgehaald. Zin loopt niet.
Tabel 7: Standaard extensies certificaatprofielen Private extensies: Er wordt GEEN ETSI QC statement opgenomen in de handtekeningcertificaten die door de bedrijfstestomgeving worden uitgegeven. Het QC statement geeft aan dat een certificaat gekwalificeerd is zoals beschreven in ETSI TS 101 456 en voldoet aan Bijlage I en II of the EU directive 1999/93/EC. Dit is voor de testcertificaten niet gegarandeerd het geval. In ieder geval is het proces niet gecertificeerd.
7.1.3 Emailadressen In de certificaatprofielen voor het UZI-register is het emailadres niet opgenomen (alleen de servicescertificaten hebben nog ruimte voor de RFC822 Name in de subjectAltname). Om de UZI-pas in een Microsoft Windows/Outlook omgeving te gebruiken moeten de configuratie van een PC aangepast worden conform Microsoft Knowledge Base Article – 276597 (How to Turn Off E-mail Matching for Certificates).
7.1.4 SubjectAltName.otherName Deze paragraaf beschrijft hoe de subjectAltName.othername in de certificaten van de bedrijfstestomgeving van het UZI-register wordt opgenomen. Conform de productie omgeving is een een subjectAltName.othername gespecificeerd met een OID-achtige structuur: -<Subject ID>. De en het <Subject ID> zijn gescheiden door een ‘-‘.
CIBG
Organisatie Document
CIBG UZI-register CPS bedrijfstestomgeving
Pagina 21 van 25 Versie 1.2 d.d. 5-4-2006
De onderstaande tabel geeft de waarden van de in de bedrijfstestomgeving. CA TEST TEST TEST TEST
UZI UZI UZI UZI
register register register register
Zorgverlener CA Medewerker op naam CA Medewerker niet op naam CA Services CA
OID 2.16.528.1.1007.99.7 2.16.528.1.1007.99.8 2.16.528.1.1007.99.9 2.16.528.1.1007.99.10
Tabel 8: bedrijfstestomgeving UZI-register Het <Subject ID> is een samengesteld veld, bestaande uit door een ‘-‘ gescheiden velden: <Subject ID> = --<pastype>--- De onderstaande tabel geeft een toelichting bij de velden: Veld versie-nr
Type 1NUM
UZI-nr
9NUM
pastype
1CHAR
Abonneenr rol
8NUM 6CHAR
Waarde 1
De volgende codering wordt toegepast: ‘I’ : Individuele zorgverlenertestpas ‘Z’ : Zorginstelling-zorgverlenertestpas ‘N’ : Medewerkertestpas op naam ‘M’ : Medewerkertestpas niet op naam ‘S’ : Servicestestcertificaten
Afhankelijk van pastypen Voor zorgverlenertestpassen . De =2NUM De =3NUM OF ’00.000’
AGBcode
8NUM
Voor Medewerkertestpas op naam, Medewerkertestpas niet op naam en Servicestestcertificaten Zorginstelling-zorgverlenertestpas en Individuele zorgverlenertestpas: AGB-code zorgverlener OF Medewerkertestpas op naam, Medewerkertestpas niet op naam en Servicestestcertificaten: AGB-code zorginstelling.
Tabel 9: Velden <Subject ID> in SubjectAltName.otherName
CIBG
Toelichting Versienummer van de <Subject ID> t.b.v. mogelijke toekomstige ontwikkelingen. Een uniek nummer voor certificaathouders. UZI-pastype
Een uniek nummer voor de abonnee Bij de Zorginstelling zorgverlenerpas en Individuele zorgverlenerpas heeft de altijd een waarde ongelijk aan nul. De kan wel nul zijn omdat veel beroepstitels geen specialisme kennen en het niet verplicht is om het specialisme op te nemen.
De AGB-code zoals uitgegeven door Vektis.
Organisatie Document
7.2
CIBG UZI-register CPS bedrijfstestomgeving
Pagina 22 van 25 Versie 1.2 d.d. 5-4-2006
CRL profielen
De CRL profielen zijn opgemaakt conform deel 3 van het Programma van Eisen van de PKI voor de overheid (zie www.pkioverheid.nl). Het profiel van de CRL voor de certificaten bevat een aantal attributen en extensies. Deze zijn in de navolgende subparagrafen weergegeven.
7.2.1 Attributen De CRL’s voor certificaten van de bedrijfstestomgeving van het UZI-register kennen de navolgende attributen: Veld Version signatureAlgorithm Issuer
Waarde 1 (X.509 versie 2) sha-1 WithRSAEncryption Bevat de naam van de betreffende UZI-register CA behorend bij het type certificaat en wordt weergegeven door de volgende attributen: OrganizationName, CommonName en CountryName. De OrganizationName is ingesteld op ‘agentschap Centraal Informatiepunt Beroepen Gezondheidszorg’. De CommonName bevat afhankelijk van de CA die de CRL ondertekent de volgende waarde: - ‘TEST UZI-register Root CA’ - ‘TEST UZI-register Level 2 CA’ - ‘TEST UZI-register Level 3 CA’ - ‘TEST UZI-register Zorgverlener CA’ - ‘TEST UZI-register Medewerker op naam CA’ - ‘TEST UZI-register Medewerker niet op naam CA’ - ‘TEST UZI-register Services CA’
thisUpdate nextUpdate
revokedCertificates
De CountryName is ingesteld op ‘NL’ volgens ISO 3166. Datum/tijdstip van uitgifte. Dit is de datum/tijdstip waarop een update van de CRL wordt gepubliceerd. De waarde is ‘thisUpdate’ plus achtenveertig uur. Het UZI-register publiceert elke drie uur een update van de CRL.. De ingetrokken Certificaten met certificaatserienummer en datum van intrekking.
Tabel 10: Attributen CRL bedrijfstestomgeving In het ‘nextUpdate’ attribuut van de CRL staat dat een CRL 48 uur geldig is. Het ‘nextUpdate’ tijdstip uur is de uiterste grens waarop een CRL nog vertrouwd kan worden. In de praktijk zal al na 3 uur een nieuwe CRL gepubliceerd worden. Daarmee realiseert het UZI-register een zogenaamde 'CRL overlap'. CRL overlap periode is de tijd tussen de publicatie van een nieuwe CRL en het verlopen van de voorafgaande CRL. Dus in het geval van het UZI-register is er een ‘CRL overlap’ van 45 uur. Alleen de laatst gegenereerde CRL staat op de website. De CRL overlap periode is noodzakelijk om voldoende tijd te hebben als de bedrijfstest omgeving door omstandigheden (updates of testen door UZI-register) niet beschikbaar is
CIBG
Organisatie Document
CIBG UZI-register CPS bedrijfstestomgeving
Pagina 23 van 25 Versie 1.2 d.d. 5-4-2006
7.2.2 Extensies De CRL’s voor certificaten van het UZI-register in de bedrijfstestomgeving kennen de navolgende extensies: Veld Essentieel AuthorityKeyIdentifier Nee CRLNumber
Waarde Bevat 160 bit SHA-1 hash van de publieke sleutel van de CA die de CRL heeft ondertekend. Volgnummer
Nee
Tabel 11: Extensies CRL bedrijfstestomgeving
7.2.3 CRL Distribution Points Bij de gebruikercertificaten verschilt het CRL Distribution Points per certificaattype afhankelijk van de CA die het certificaat uitgeeft. Onderstaande tabel geeft het overzicht van de CRL Distribution Points per pastype in de bedrijfstestomgeving: Naam UZI-pastype
CRL Distribution Point
TEST UZI-register Root CA
Geen attribuut CRL distribution point
TEST UZI-register Level 2 CA TEST UZI-register Level 3 CA TEST UZI-register Zorgverlener CA TEST UZI-register Medewerker op naam CA TEST UZI-register Medewerker niet op naam CA TEST UZI-register Services CA Individuele zorgverlenertestpas
http://www.uzi-register-test-nl/cdp/test_uzi-register_root_ca.crl http://www.uzi-register-test-nl/cdp/test_uzi-register_level_2_ca.crl http://www.uzi-register-test-nl/cdp/test_uzi-register_level_3_ca.crl
Zorginstelling-zorgverlenertestpas Medewerkertestpas op naam Medewerkertestpas niet op naam Servicestestcertificaten
http://www.uzi-register-test.nl/cdp/test_uziregister_zorgverlener_ca.crl http://www.uzi-register-test.nl/cdp/test_uziregister_zorgverlener_ca.crl http://www.uzi-register-test.nl/cdp/test_uziregister_medewerker_op_naam_ca.crl http://www.uzi-register-test.nl/cdp/test_uziregister_medewerker_niet_op_naam_ca.crl http://www.uzi-register-test.nl/cdp/test_uzi-register_services_ca.crl
Tabel 12: CRL Distribution points gebruikercertificaten UZI-register bedrijfstestomgeving 7.3
CSP en CA certificaten
Een UZI-pas (smartcard) wordt geleverd met de volledige certificaat hiërarchie voor het betreffende gebruikerscertificaat. De CA certificaten van de bedrijfstestomgeving zijn beschikbaar op de volgende locatie: Naam CA TEST TEST TEST TEST TEST CA TEST
UZI-register UZI-register UZI-register UZI-register UZI-register
URL van CA certificaat Root CA Level 2 CA Level 3 CA Zorgverlener CA Medewerker op naam
UZI-register Medewerker niet op
http://www.uzi-register-test.nl/cacerts/test_uzi-register_root_ca.cer http://www.uzi-register-test.nl/cacerts/test_uzi-register_level_2_ca.cer http://www.uzi-register-test.nl/cacerts/test_uzi-register_level_3_ca.cer http://www.uzi-register-test.nl/cacerts/test_uzi-register_zorgverlener_ca.cer http://www.uzi-register-test.nl/cacerts/test_uziregister_medewerker_op_naam_ca.cer http://www.uzi-register-test.nl/cacerts/test_uzi-
CIBG
Organisatie Document
CIBG UZI-register CPS bedrijfstestomgeving
naam CA TEST UZI-register Services CA
Pagina 24 van 25 Versie 1.2 d.d. 5-4-2006
register_medewerker_niet_op_naam_ca.cer http://www.uzi-register-test.nl/cacerts/test_uzi-register_services_ca.cer
Tabel 13: URL’s naar CA certificaten van het UZI-register bedrijfstestomgeving
CIBG
Organisatie Document
CIBG UZI-register CPS bedrijfstestomgeving
Pagina 25 van 25 Versie 1.2 d.d. 5-4-2006
8 Administratieve bepalingen 8.1
CPS veranderingsbeheer
Het UZI-register heeft het recht het CPS te wijzigen of aan te vullen. Wijzigingen gelden vanaf het moment dat het nieuwe CPS ingaat. Wijzigingen van het CPS van de bedrijfstestomgeving zullen in veel gevallen vooraf gaan aan wijzigingen in de productie omgeving. Voor een overzicht van het veranderingsbeheer in de productie omgeving wordt verwezen naar het CPS landelijk UZI-register. Wijzigingen in het CPS van de bedrijfstestomgeving zullen niet worden geconsulteerd. Wijzigingen in het CPS van de bedrijfstestomgeving worden goedgekeurd door het unithoofd UZIregister. 8.2
Publicatie
Het UZI-register publiceert het CPS van de bedrijfstestomgeving op de website: https://www.uziregister-test.nl. Tevens kan het CPS worden opgevraagd via de in paragraaf 1.4 ‘Contactgegevens’ vermelde contactinformatie. Deze aanvraag kan zowel telefonisch als schriftelijk worden gedaan.
CIBG