0.1 BAG PKIoverheid certificaten. Datum. 4 oktober Versie. 1.0 DefinitiefVROM. KadasterMateriebeleid PPB-LVGeo- en Vastgoedinformatie en Advies

0.1

BAG PKIoverheid certificaten

Datum

4 oktober 2013 Versie

1.0 DefinitiefVROM KadasterMateriebeleid PPB-LVGeo- en Vastgoedinformatie en Advies

BAG PKIoverheid certificaten

Versiehistorie Versie

datum

locatie

1.0

04/10/2013

geheel

omschrijving

Huisstijl Kadaster, Afnemers info toegevoegd en bronhouders

Versie 1.0  4 oktober 2013

aansluitinformatie verwijderd

2 / 15

Inhoudsopgave

Inleiding ............................................................................................................................................................ 4 1

Achtergrond ........................................................................................................................................ 5

1.1

Wat is een PKIoverheid-certificaat?...................................................................................................... 5

1.2

Waarvoor heb ik als bronhouder een certificaat nodig? ....................................................................... 5

1.3

Waarvoor heb ik als afnemer een certificaat nodig? ............................................................................. 6

1.4

Kan ik als gemeente mijn PKIoverheid certificaat ook gebruiken als afnemer? .................................... 6

1.5

Hoe wordt een certificaat gemaakt? ..................................................................................................... 6

2

Praktische stappen............................................................................................................................. 7

2.1

Stappenplan voor aanvraag of verlenging PKIoverheid-certificaat ....................................................... 7

2.2

Welke partijen kunnen certificaten leveren? ......................................................................................... 8

2.3

Wie moet wat doen binnen de organisatie?.......................................................................................... 8

2.4

Wat houdt het registreren in? ............................................................................................................... 8

2.5

Hoe vraag ik een certificaat aan? ......................................................................................................... 9

2.6

Hoe installeer ik een certificaat? ........................................................................................................... 9

2.7

Wat moet er worden opgestuurd waarheen en waarom? ..................................................................... 9

2.8

Welk type certificaat heb ik nodig? ..................................................................................................... 10

2.9

Is het certificaat gekoppeld aan de organisatie, de servernaam, of iets anders? ............................... 10

2.10

Kan ik één certificaat gebruiken voor zowel BAG als Wkpb? ............................................................. 10

2.11

Hoe lang is een certificaat geldig? ...................................................................................................... 11

2.12

Wat zijn de aanschafkosten voor een certificaat? .............................................................................. 11

3

Bijzondere situaties.......................................................................................................................... 12

3.1

Kan ik hetzelfde certificaat hergebruiken bij vervanging van de server? ............................................ 12

3.2

Kan ik hetzelfde certificaat gebruiken bij virtual servers, redundantie, back-up of uitwijk? ................. 12

3.3

Heb ik ook een certificaat nodig voor een testserver of alleen voor de productieserver? ................... 12

3.4

Samenwerkende gemeenten(alleen bronhouders) ............................................................................. 12

3.5

Kan ik als bronhouder gebruik maken van een testomgeving? .......................................................... 13

4

Voor meer informatie ....................................................................................................................... 14

Versie 1.0  4 oktober 2013

3 / 15

BAG PKIoverheid certificaten

Inleiding Als onderdeel van de invoering van de Basisregistraties Adressen en Gebouwen (BAG) hebben alle gemeenten een BAG-registratie opgezet. Per gemeente worden de eigen BAG-gegevens beheerd in een BAG-applicatie en aangeleverd aan de Landelijke Voorziening BAG (LV BAG). De gemeentelijke BAG-applicatie zal regelmatig berichten uitwisselen met de LV BAG om wijzigingen in de BAG-gegevens door te geven. Het is van belang om de berichtuitwisseling tussen de gemeentelijke BAG-applicatie en de LV BAG te beveiligen; daartoe hebben de gemeente een zogenaamd PKIoverheid-certificaat nodig. Een PKIoverheid-certificaat is ook vereist om als afnemer gebruik te kunnen maken van de webservice BAG 1

Bevragen en de Afgifteservice Kadaster voor het automatisch dowloaden van BAG Extract en BAG Compact. Dit document bevat achtergrondinformatie over de PKIoverheid-certificaten voor BAG en legt in praktische stappen uit hoe te werk te gaan om een dergelijk certificaat aan te schaffen en te implementeren. Diepgaande technische aspecten van de implementatie zoals installatie en technisch beheer van certificaten komen niet aan de orde in dit document; voor meer informatie daarover verwijzen wij u naar uw certificaatdienstverlener of de leverancier van uw BAG applicatie. Dit document gaat ook niet in op andersoortige PKIoverheid-certificaten dan die voor de BAG (bijv. persoonsgebonden certificaten). Hoofdstuk 1 beschrijft de achtergrond, het wat en waarom van PKIoverheid-certificaten in relatie tot BAG. Wie alleen wil weten hoe hij een certificaat aanvraagt kan terecht in hoofdstuk 2. Hoofdstuk 3 behandelt een aantal bijzondere situaties die niet voor alle organisaties van toepassing zijn. Hoofdstuk 4 bevat een aantal verwijzingen naar meer informatie en een lijst van gebruikte termen en afkortingen met de verklaringen. Bij het samenstellen van de inhoud van dit document is onder andere overleg gevoerd met GBO overheid (de voorganger van Logius) en enkele Certificate Service Providers (CSP’s).

1

De Afgifteservice Kadaster voor BAG Extract en BAG Compact is beschikbaar vanaf release 2013/1

Versie 1.0  4 oktober 2013

4 / 15

BAG PKIoverheid certificaten

1

Achtergrond

1.1

Wat is een PKIoverheid-certificaat?

Een PKIoverheid-certificaat is een klein digitaal bestand waarmee een organisatie aan de LV BAG kan aantonen dat de BAG-applicatie inderdaad aan haar toebehoort. Dit geldt zowel voor gemeenten die als bronhouder mutaties opsturen naar de LV BAG, als voor afnemers die de BAG raadplegen via BAG Bevragen of producten downloaden. Net zoals een paspoort fungeert als identiteitsbewijs voor personen, wordt een certificaat gebruikt om langs elektronische weg de identiteit van een organisatie aan te tonen. Certificaten worden op internet al op grote schaal gebruikt om de echtheid van websites aan te tonen (van belang bij bijv. telebankieren). De LV BAG kan aan de hand van het certificaat zien welke organisatie zich meldt om informatie uit te wisselen. De meeste certificaten die op internet worden gebruikt zijn uitgegeven door commerciële CSP’s. PKIoverheidcertificaten zijn technisch gezien hetzelfde als die certificaten, met als bijzonderheid dat ze worden uitgegeven door CSP’s die voldoen aan de eisen die de Nederlandse overheid stelt. De LV BAG accepteert alleen PKIoverheid-certificaten, aangezien de kwaliteit hiervan eenduidig is en op een hoog niveau ligt. Daarnaast worden PKIoverheid-certificaten steeds meer gebruikt voor e-overheidsprojecten, bijv. voor BSN, DigiD, mGBA, LVWOZ en Wkpb. Bij elk certificaat hoort een geheime sleutel – eveneens een klein digitaal bestand, zonder welke het certificaat onbruikbaar is. Deze geheime sleutel moet zorgvuldig worden bewaard en mag niet worden gekopieerd of aan derden verstrekt: Als de geheime sleutel in handen valt van een kwaadwillende partij dan kan die namelijk de identiteit van de organisatie op internet overnemen. Het certificaat zelf is openbaar en kan zonder problemen worden gekopieerd of opgestuurd. Meer algemene informatie over PKIoverheid certificaten vind u op de website van Logius: http://www.logius.nl/producten/toegang/pkioverheid/

1.2

Waarvoor heb ik als bronhouder een certificaat nodig?

Elke gemeente moet beschikken over een geldig PKIoverheid-certificaat om gegevens te kunnen uitwisselen met de LV BAG. Hieronder wordt uitgelegd waarom. Wanneer de BAG-applicatie wijzigingen in de gegevens wil doorgeven aan de LV BAG, dan maakt ze contact met de LV BAG om een communicatiesessie op te zetten en berichten uit te wisselen. Voordat de LV BAG deze berichten accepteert en verwerkt, moet ze er zeker van zijn dat de BAG-applicatie aan de andere kant authentiek is en inderdaad toebehoort aan de gemeente die het zegt te vertegenwoordigen. Dit doet ze door het certificaat van de BAG-applicatie te controleren aan het begin van de sessie; zonder een geldig certificaat zal de LV BAG weigeren een sessie op te zetten met de gemeentelijke BAG-applicatie of afhankelijk van de situatie een foutmelding generen. Met andere woorden, het certificaat is het digitale identiteitsbewijs waarmee de gemeente aantoont dat haar BAG-applicatie authentiek is en haar toebehoort. Het certificaat bevat alleen gegevens om vast te stellen welke gemeente de eigenaar is van de BAG-applicatie, maar niet wát die gemeente mag doen met gegevens in de LV BAG. Dit laatste is opgeslagen in de LV BAG.

Versie 1.0  4 oktober 2013

5 / 15

BAG PKIoverheid certificaten

Bijzondere gevallen, zoals samenwerkingen tussen gemeenten bij het beheer van BAG, worden in een latere paragraaf behandeld.

1.3

Waarvoor heb ik als afnemer een certificaat nodig?

Voor BAG Bevragen en de Afgifteservice Kadaster dient het certificaat voorzien te worden van een Overheids Identificatie Nummer(OIN). Bedrijven kunnen hier ook gebruik van maken, zij gebruiken ook een PKIoverheidcertificaat, maar met een uniek identificerend nummer uit het Handelsregister, dit nummer heet NHR. In beide gevallen is er sprake van een uniek identificatie nummer, identificatie vindt plaats op basis van dit nummer in plaats van het complete certificaat, dit volgens de standaarden van Digikopelling.

1.4

Kan ik als gemeente mijn PKIoverheid certificaat ook gebruiken als afnemer?

Alle nieuwe certificaten worden voorzien van een OIN, als dit in uw certificaat het geval is kunt u met dit certificaat ook gebruik maken van BAG Bevragen en de Afgifteservice Kadaster. 1.5

Hoe wordt een certificaat gemaakt?

Certificaten worden uitgegeven door CSP’s en bevatten een aantal gegevens over de organiasatie, waaronder de naam. De gegevens op het certificaat worden vóór uitgifte door de CSP geverifieerd, en als bewijs daarvan wordt het certificaat door de CSP digitaal ondertekend. Simpel gesteld bestaat het maken van een geldig certificaat uit de volgende twee stappen. 

2

Stap 1: Aanmaken van een zogenaamde Certificate Signing Request (CSR) . Dit is een soort ‘blanco certificaat’ met alleen de identificerende gegevens erop, maar nog niet ondertekend. Het aanmaken van de CSR levert tegelijk, in een separaat bestand, ook de bijbehorende geheime sleutel.



Stap 2: Ondertekenen van de CSR. De CSP controleert de aanvraag en de gegevens op de CSR. Als alles klopt dan wordt de CSR digitaal ondertekend door de CSP en wordt daarmee een geldig certificaat.

Aangezien de geheime sleutel goed beveiligd moet worden en niet in handen van derden mag komen, is het gebruikelijk dat de gemeente zelf de CSR aanmaakt en deze naar de CSP opstuurt bij de aanvraag. Het is echter ook mogelijk om het aanmaken van de CSR uit te besteden bij de CSP, mits deze kan garanderen dat zijn uitgifteproces ingericht is met zodanige veiligheidswaarborgen dat de geheime sleutel uitsluitend en vertrouwelijk wordt overhandigd aan de bevoegde persoon van de gemeente, en er ook geen kopie wordt bewaard bij de CSP.

2

Hiervoor is specifieke technische kennis en tools vereist. Raadpleeg hiervoor de afdeling die binnen uw organisatie belast is met dergelijke aanvragen, of vraag ondersteuning van de CSP.

Versie 1.0  4 oktober 2013

6 / 15

BAG PKIoverheid certificaten

2

Praktische stappen

2.1

Stappenplan voor aanvraag of verlenging PKIoverheid-certificaat

Onderstaande figuur geeft schematisch weer welke stappen de gemeente moet doorlopen om een werkend PKIoverheid-certificaat te krijgen. Elke stap bestaat uit een keuze en/of een actie voor de organisatie die de keuze moet maken of de actie moet uitvoeren is per stap aangegeven. In de rest van dit hoofdstuk worden enkele stappen nader toegelicht.

Versie 1.0  4 oktober 2013

7 / 15

BAG PKIoverheid certificaten

2.2

Welke partijen kunnen certificaten leveren?

PKIoverheid-certificaten worden geleverd door CSP’s die zijn toegetreden tot PKIoverheid. Deze certificaatdienstverleners kunt u vinden op de website van Logius: http://www.logius.nl/producten/toegang/pkioverheid/aansluiten/toegetreden-csps/ Als uw organisatie nog niet eerder een PKIoverheid-certificaat heeft aangeschaft, is het van belang dat u een CSP kiest. 2.3

Wie moet wat doen binnen de organisatie?

Naast de BAG beheerder bij de bronhouder of de afnemer is een aantal rollen van belang bij de aanvraag en implementatie van een PKIoverheid-certificaat: Bevoegd vertegenwoordiger, certificaatbeheerder, technisch 3

beheerder. Deze rollen moeten dan ook duidelijk worden belegd . De bevoegd vertegenwoordiger is de functionaris die bevoegd is om de organisatie te vertegenwoordigen inzake PKIoverheid-certificaten; dit kan bijvoorbeeld de burgemeester of directeur zijn. In de praktijk zal de bevoegd vertegenwoordiger een certificaatbeheerder mandateren om namens de gemeente op te treden bij de aanvraag en het beheer van certificaten. Certificaatbeheerders zijn de enigen die namens de organisatie certificaten kunnen aanvragen; die rol moet 4

worden belegd bij een of meer medewerkers van de organisatie . Wij adviseren u de rol van certificaatbeheerder te beleggen bij de beveiligingscoördinator (indien aanwezig). In de praktijk komt het ook voor dat het hoofd P&O of het hoofd I&A die rol op zich neemt. Tot de verantwoordelijkheid van de certificaatbeheerder behoort onder meer het aanvragen en ontvangen van certificaten, het veilig bewaren van de geheime sleutel, zicht houden en reageren op relevante beveiligingsissues, en het bewaken van de geldigheidstermijnen en tijdig aanvragen van nieuwe certificaten. De technisch beheerder zorgt voor de installatie en het technisch beheer van de verkregen certificaten en, indien van toepassing, het aanmaken van een CSR ten behoeve van de aanvraag (zie paragraaf 1.5). De technisch beheerder kan dezelfde zijn als de certificaatbeheerder, maar in de praktijk gaat het vaak om een andere functionaris die de genoemde taken uitvoert in opdracht van de certificaatbeheerder.

2.4

Wat houdt het registreren in?

Voordat u als organisatie een PKIoverheid-certificaat kunt aanvragen, dient u zich eerst als abonnee te laten registreren bij de CSP van uw keuze. Dit kan normaliter tegelijkertijd met de eerste certificaataanvraag worden geregeld. Indien u eerder een certificaat bij die CSP heeft aangeschaft (voor andere doeleinden zoals DigiD, BSN, elektronische handtekening, LVWOZ etc.) dan is uw organisatie al geregistreerd als abonnee en kunt u deze stap overslaan. In dat geval is er ook al een certificaatbeheerder binnen uw organisatie bekend.

3

De CSP’s hanteren verschillende namen voor deze rollen, maar de rolverdeling is dezelfde. Het is ook toegestaan om iemand buiten de gemeente te mandateren om als certificaatbeheerder op te treden, maar tenminste één certificaatbeheerder dient medewerker van de gemeente te zijn. 4

Versie 1.0  4 oktober 2013

8 / 15

BAG PKIoverheid certificaten

Bij de registratie als abonnee geeft de organisatie één of meer certificaatbeheerders op; eventueel kan de organisatie op een later moment nog certificaatbeheerders toevoegen. De opgegeven certificaatbeheerders dienen zich eenmalig te identificeren door persoonlijk langs te gaan bij een instantie, met een geldig identiteitsbewijs en een document dat zijn bevoegdheid als certificaatbeheerder aantoont. De CSP kan u meer vertellen over de precieze eisen die hieraan gesteld worden en beschikken over modelverklaringen, de wijze van identificeren verschilt per CSP.

2.5

Hoe vraag ik een certificaat aan?

Na registratie als abonnee kan de certificaatbeheerder namens de organisatie certificaten aanvragen, eventueel per post of e-mail. Op het aanvraagformulier vult de certificaatbeheerder een aantal gegevens in, waaronder de identificerende gegevens van de server waarop het certificaat zal worden geïnstalleerd. Hoe het CSR aangemaakt wordt is per CSP verschillend, voor meer informatie verwijzen wij u naar uw CSP. De websites van de CSP’s vermelden de precieze aanvraagprocedures en de te overleggen documenten. De doorlooptijd van aanvraag tot levering bedraagt één tot drie weken; houd rekening met deze doorlooptijd in uw planning. Na ontvangst van het ondertekende certificaat dient het te worden geïnstalleerd op de server.

2.6

Hoe installeer ik een certificaat?

Zowel het door de CSP ondertekende certificaat als de geheime sleutel dienen te worden geïnstalleerd op de server. Vervolgens dient men de BAG-applicatie zodanig te configureren dat ze gebruik kan maken van het certificaat. De precieze werkwijze voor installatie en gebruik van het certificaat kan per platform en BAG-applicatie erg verschillen, daarom is het niet mogelijk daarvoor concrete aanwijzingen te geven in dit document. Wij adviseren u de informatie van de CSP en de BAG-applicatieleverancier te raadplegen. Er is veel geschreven over de installatie en het beheer van certificaten. In het laatste hoofdstuk van dit document is een verwijzing naar enkele nuttige documenten opgenomen.

2.7

Wat moet er worden opgestuurd waarheen en waarom?

Na succesvolle installatie van het certificaat op de server dient de organisatie het publieke deel van het PKIcertificaat op gestuurd te worden naar het Kadaster voor autorisatie op de LV BAG. Afnemers 5

U kunt zich aanmelden voor BAG Bevragen en het gebruik van de Afgifteservice Kadaster door het BAG aanmeldformulier in te vullen. Het publieke deel van uw certificaat kunt u hierbij als gezipt bestand meesturen(uploaden in het formulier). U hoeft als afnemer een vernieuwing van uw certificaat waarbij het OIN of NHR gelijk blijft, niet aan ons door te geven omdat de identificatie op basis van dit nummer plaats vindt. Bronhouder Als bronhouder kunt u bij vernieuwing van het certificaat het publieke deel van het nieuwe certificaat als gezipt bestand per e-mail sturen naar [email protected]. Het vernieuwde certificaat wordt in de LV BAG opgevoerd bij de

5

Deze is beschikbaar vanaf release 2013/1

Versie 1.0  4 oktober 2013

9 / 15

BAG PKIoverheid certificaten

juiste bronhouder. De bronhouder krijgt hiervan bericht. Vanaf dat moment herkent de LV BAG de berichten afkomstig zijn van die bronhouder met het nieuwe certificaat, omdat alle geldige berichten voorzien zijn van een certificaat. Stuur uiterlijk 2 weken voor het verstrijken van het oude certificaat het publieke deel van het nieuwe certificaat naar het Kadaster, zodat u de verbinding kunt testen voordat het oude certificaat verlopen is. Het is namelijk mogelijk om, voor dit doeleinde 2 certificaten gekoppeld te hebben in de LV BAG.. Let op: Stuur alleen het publieke deel van het certificaat (NB in ZIP-formaat omdat deze anders niet aankomt via de mail) naar [email protected], niet de geheime sleutel! Die laatste dient u te allen tijde goed verborgen te houden. Neem in geval van twijfel contact op met uw leverancier. Het publieke deel kunt u altijd openen zonder een wachtwoord te hoeven gebruiken. Het begint vaak met de woorden "begin certificaat" dan allemaal letters en cijfers en vervolgens "einde certificaat". Een eenvoudige manier om het certificaat te exporteren voor verzending is door vanuit een web-browser als Internet Explorer de volgende stappen te ondernemen: Extra (Tools) > Internetopties (Internet Options) > Inhoud (Content) > Certificaten (Certificates) > Export. Selecteer het bewuste certificaat in het tabblad persoonlijk (personal) en kies voor exporteer. Het certificaat dient geëxporteerd te worden zonder privé-sleutel en in DER X509 formaat(.cer). Voor verzending dient het certificaat om beveiligingsredenen gezipt te worden. 2.8

Welk type certificaat heb ik nodig?

Er bestaan diverse typen PKIoverheid-certificaten, zoals persoonsgebonden certificaten of organisatie/servicesgebonden certificaten. Voor de aansluiting op de LV BAG wordt het type Services Servercertificaat gebruikt. Dit type certificaat identificeert de server, het kan zijn dat dit anders heet bij uw CSP.

2.9

Is het certificaat gekoppeld aan de organisatie, de servernaam, of iets anders?

Het certificaat bevat altijd de naam van de organisatie plus de identificerende gegevens van de server: Dit kan een domeinnaam zijn (een zogenaamde fully qualified domain name), een servernaam, of – minder gebruikelijk – het IP-adres waarop de server is te bereiken.

2.10

Kan ik één certificaat gebruiken voor zowel BAG als Wkpb?

De basisregel is dat een PKIoverheid-certificaat op maximaal één server tegelijk geïnstalleerd mag zijn. In principe kan hetzelfde certificaat van de organisatie dus worden gebruikt voor zowel de BAG als voor de Wkpb en andere toepassingen, mits deze allemaal op één en dezelfde server zijn geïnstalleerd als het certificaat. NB: Communicatie met de LV BAG moet wél altijd via internet plaatsvinden. Via Gemnet kan ook, mits Gemnet een 'gateway' naar het internet heeft. Indien u de BAG-applicatie en de Wkpb-applicatie op verschillende servers gaat implementeren, dan kunt u toch hetzelfde certificaat gebruiken voor beide doeleinden door gebruik te maken van een zogenaamde proxy-server (zie onderstaande figuur). Of dit een optie is in uw technische infrastructuur kunt u het beste overleggen met de afdeling binnen uw organisatie die hierover gaat.

Versie 1.0  4 oktober 2013

10 / 15

BAG PKIoverheid certificaten

Internet Alle communicatie met de buitenwereld gaat via de proxy-server. Het certificaat is daarop geïnstalleerd.

Proxy-server

Intern netwerk

BAG-server

2.11

Wkpb-server

Hoe lang is een certificaat geldig?

Certificaten zijn drie jaar geldig vanaf de datum van afgifte, daarna dient bij het publieke deel van een nieuw certificaat bij het Kadaster bekend gemaakt te worden. In verband met de levertijd van de PKI certificaten raden wij raden u aan om hier vroegtijdig mee te beginnen. Stuur uiterlijk 2 weken voor het verstrijken van het oude certificaat het publieke deel van het nieuwe certificaat naar het Kadaster, zodat u de verbinding kunt testen voordat het oude certificaat verlopen is. Het is namelijk mogelijk om, voor dit doeleinde 2 certificaten gekoppeld te hebben in de LV BAG. Het nieuwe certificaat kunt u sturen naar: [email protected] U hoeft als afnemer een vernieuwing van uw certificaat waarbij het OIN of NHR gelijk blijft, niet aan ons door te geven omdat de identificatie op basis van dit nummer plaats vindt.

2.12

Wat zijn de aanschafkosten voor een certificaat?

De kosten een 3 jaar geldig certificaat plus registratie bij de CSP verschillen. Voor de actuele prijzen kunt u de websites van de CSP’s raadplegen.

Versie 1.0  4 oktober 2013

11 / 15

BAG PKIoverheid certificaten

3

Bijzondere situaties

3.1

Kan ik hetzelfde certificaat hergebruiken bij vervanging van de server?

Bij vervanging van de server kan hetzelfde certificaat worden hergebruikt op de nieuwe server. Indien van het certificaat en de geheime sleutel geen kopieën zijn bewaard dan dienen deze eerst van de oude server te worden geëxporteerd. Vervolgens moeten het certificaat inclusief geheime sleutel van de oude server worden verwijderd en op de nieuwe server worden geïnstalleerd. De identificerende gegevens van de nieuwe server moeten identiek zijn aan de gegevens op het certificaat. 3.2

Kan ik hetzelfde certificaat gebruiken bij virtual servers, redundantie, back-up of uitwijk?

Virtual servers hebben geen invloed op het gebruik van certificaten. Het certificaat kan worden geïnstalleerd en gebruikt op een virtual server alsof het om een fysieke server gaat. Indien de BAG-applicatie tegelijk draait op meerdere servers ten behoeve van redundantie of load balancing, dan zal op elke server een ander certificaat moeten worden geïnstalleerd; in dat geval moeten al deze certificaten naar de beheerder van de LV BAG worden opgestuurd (zie paragraaf 2.7). Een alternatief is om gebruik te maken van een proxy-server (zie paragraaf 2.10). De organisatie kan een back-up server inrichten met de BAG-applicatie erop geïnstalleerd, die normaal niet actief is maar uitsluitend ten behoeve van uitwijk klaarstaat. In dat geval moet op de back-up server een ander certificaat van de organisatie worden geïnstalleerd dan dat van de ‘hoofdserver’, omdat het certificaat slechts op één server tegelijk mag staan.

3.3

Heb ik ook een certificaat nodig voor een testserver of alleen voor de productieserver?

Als de testserver berichten uitwisselt met de LV BAG, bijv. voor testdoeleinden, dan is ook daarvoor een certificaat benodigd.

3.4

Samenwerkende gemeenten(alleen bronhouders)

In het geval dat twee (of meer) samenwerkende gemeenten gezamenlijk één server inrichten voor BAG, waarop de BAG-gegevens van de deelnemende gemeenten worden beheerd (al dan niet in gescheiden databases), dan wordt op die gezamenlijke server één certificaat geïnstalleerd. Dit certificaat dient te worden aangevraagd door – en op naam van – één van de gemeenten in het samenwerkingsverband; deze gemeente is daarmee ook verantwoordelijk voor het certificaat. De verantwoordelijke gemeente zorgt voor de juiste mandatering van haar medewerker(s) als certificaatbeheerders. Via het ene certificaat is het dan toegestaan om wijzigingen op de objecten van de samenwerkende gemeenten door te geven aan de LV BAG. Om dit te bereiken moet de samenwerking wel worden gemeld aan de beheerder van de LV BAG bij het opsturen van de kopie van het publieke deel van het certificaat aan [email protected] (NB: stuur niet de geheime sleutel, maar het publieke deel van het certificaat in ZIP-formaat omdat het anders niet aankomt via de mail). Het publieke deel kunt u altijd openen zonder een wachtwoord te hoeven gebruiken. Het begint vaak met de woorden "begin certificaat" dan allemaal letters en cijfers en vervolgens "einde certificaat". Voorbeeld: Gemeenten A, B, C en D maken gebruik van één gezamenlijk ingerichte BAG-applicatie. Het certificaat wordt door – en op naam van – gemeente B aangeschaft. Aan de beheerder van de LV BAG (via [email protected]) dienen de volgende gegevens te worden opgestuurd:

Versie 1.0  4 oktober 2013

12 / 15

BAG PKIoverheid certificaten

Certificaat

Deelnemende gemeenten

Gemeente B

Gemeente A Gemeente B Gemeente C Gemeente D

3.5

Kan ik als bronhouder gebruik maken van een testomgeving?

Ja, dit is mogelijk. Wij kunnen uw autorisatie op de conformiteitsomgeving herstellen voor test of uitwijkdoeleinden. U kunt ons verzoeken dit te doen door een bericht te sturen naar [email protected]. Het is van belang dat u met uw verzoek uw PKI certificaat meestuurt of aangeeft dat hetzelfde certificaat als in de productieomgeving gebruikt kan worden. Houdt u er wel rekening mee dat u zelf verantwoordelijk bent voor het scheiden van mutaties tussen beide omgevingen.

Versie 1.0  4 oktober 2013

13 / 15

BAG PKIoverheid certificaten

4

Voor meer informatie

Over PKIoverheid voor uw organisatie: http://www.logius.nl/producten/toegang/pkioverheid/ Indien u meer informatie wilt over PKIoverheid-certificaten voordat u een CSP kiest, of als u met uw vraag onvoldoende wordt geholpen door een CSP, dan kunt u contact opnemen met Logius de policy authority van PKIoverheid. Servicecenter Logius: Telefoon: 0900-4555 e-mail: [email protected]. De onderstaande tabel bevat een aantal gebruikte termen en afkortingen en begrippen die nader worden verklaard. Term of Afkorting

Verklaring

Afgifteservice Kadaster

Automatisch downloaden van BAG Extract en/of BAG Compact bestellingen. Naast de huidige levermethode, link in een mail, wordt het vanaf 2013/1(okt ‘13) mogelijke de bestellingen geautomatiseerd te downloaden.

BAG Bevragen

Product van het Kadaster waarmee de BAG bevraagd kan worden met een aantal ongedefinieerde webservices. Meer informatie hierover vind u op de productpagina van BAG Bevragen: https://www.kadaster.nl/web/artikel/productartikel/BAG-Bevragen.htm

Beheerder LV BAG

De beheerder van de LV BAG is het Kadaster

CSP

Certificate Service Provider Een natuurlijke of rechtspersoon die certificaten afgeeft of andere diensten in verband met elektronische handtekeningen, identiteit en vertrouwelijkheid verleent. De officiële Nederlandse term is ‘Certificatiedienstverlener’.

CSR

Certificate Signing Request Een ‘blanco certificaat’ met alleen de identificerende gegevens erop maar nog niet ondertekend door de CSP. Een CSR wordt pas bruikbaar nadat hij is ondertekend door een CSP; na ondertekening spreekt men van een certificaat.

Geheime sleutel

Een klein digitaal bestand dat samen met het certificaat moet worden geïnstalleerd op de server. De geheime sleutel vormt samen met het certificaat een onlosmakelijk paar; zonder de geheime sleutel kan het certificaat niet worden gebruikt in de elektronische communicatie met de server. Doordat de organisatie als enige beschikt over haar geheime sleutel, weet de LV BAG zeker dat de berichten verzonden met het betreffende certificaat van de organisatie afkomstig moeten zijn. De officiële Nederlandse term is ‘private sleutel’.

Publieke deel

Het publieke deel kunt u altijd openen zonder een wachtwoord te hoeven gebruiken. Het begint vaak met de woorden "begin certificaat" dan allemaal letters en cijfers en vervolgens "einde certificaat".

LV BAG

De Landelijke Voorziening voor BAG

Policy Authority

Logius is de policy authority van PKIoverheid, deze rol bestaat uit de volgende taken: - het leveren van bijdragen voor de ontwikkeling en het beheer van het

Versie 1.0  4 oktober 2013

14 / 15

BAG PKIoverheid certificaten

normenkader dat aan de PKI voor de overheid ten grondslag ligt, het zogeheten Programma van Eisen (PvE) - het proces van toetreding door Certification Service Providers (CSP's) tot de PKI voor de overheid begeleiden en voorbereiden van de afhandeling - het toezicht houden op en controleren van de werkzaamheden van CSP's die onder de root van de PKI voor de overheid certificaten uitgeven Zijn er vragen waarop u geen antwoord hebt kunnen vinden? Neem dan contact op met de Klantenservice BAG. Onze medewerkers zijn u op werkdagen van 09:00 -17:00 uur graag van dienst. Contactformulier Telefoon: (088) 183 34 00

Versie 1.0  4 oktober 2013

15 / 15