Gebruikershandleiding t.b.v. Installatie tussenliggend certificaat Aanpassen BAPI ivm Servercertificaat uitgegeven onder QuoVadis Global SSL ICA Versie document: 1.5
1
Belastingdienst / Datum Versie
: 27-06-2013 : 1.5
Inhoudsopgave 1. Inleiding ................................................................................................................. 3 2. Referenties ............................................................................................................ 3 3. Validatie door het Windows operating system ..................................................... 4 3.1
Stap 1: Openen van het certificaat .............................................................................................. 4
3.2
Stap 2: Starten van de certifcaat import wizzard ......................................................................... 5
3.3
Stap 3: Selecteren certificaatarchief ........................................................................................... 5
3.4
Stap 4: Selecteren Tussenliggende certificeringsinstanties .......................................................... 6
3.5
Stap 5: Afsluiten certifcaat import wizzard.................................................................................. 7
4. Validatie met behulp van BAPI-functies ............................................................... 8 4.1
Stap 1 - Opslaan: Selecteren bron ............................................................................................... 8
4.2
Stap 2 - Opslaan: Inlezen en verwerken certificaat ..................................................................... 8
4.3
Stap 3 - Validatie: Opvragen servercertificaat ........................................................................... 8
4.4
Stap 4 - Validatie: Opvragen servercertificaat ........................................................................... 8
Gebruikershandleiding Installatie tussenliggend certificaat
2 van 8
Belastingdienst / Datum Versie
: 27-06-2013 : 1.5
1. Inleiding Aanleiding: Het is mogelijk om elektronisch berichtenverkeer conform het BAPI koppelvlak te laten plaatsvinden met toevoeging van TLS/SSL functionaliteit. TLS (Transport Layer Security) en SSL (Secure Socket Layer) maken gebruik van certificaten welke zijn uitgegeven door VeriSign Inc. Deze certificaten gaan binnenkort verlopen en kunnen niet meer worden verlengd onder hetzelfde Root certificaat. De nieuwe certificaten worden uitgegeven door QuoVadis waardoor er een nieuw tussenliggend (“intermediate”) certificaat moet worden opgevoerd. Dit tussenliggend certificaat wordt gebruikt bij de validatie en authenticatie van het mailservercertificaat voor de TLS/SSL-sessie. Deze validatie kan plaatsvinden door gebruik te maken van door de softwareleverancier ontwikkelde validatieprogrammatuur met behulp van BAPI-functies of door binnen het Windows operating system beschikbare standaard functionaliteit voor certificaatopslag en -validatie. Zie voor nadere toelichting “Getting Started BAPI DLL” [1]. Het certificaat kan gedownload worden op de website van QuoVadis ( www.quovadisglobal.nl ): https://www.quovadisglobal.nl/Repository/DownloadRootsAndCRL.aspx Het gehele certificeringspad voor de nieuwe certificaten ziet er als volgt uit: QuoVadis Root CA 2 QuoVadis Global SSL ICA Deze gebruikershandleiding beschrijft de stappen voor installatie van een tussenliggend certificaat voor beide bovenstaand beschreven varianten voor certificaatopslag en -validatie. Deze handleiding heeft niet tot doel de operationele werking rondom TLS/SSL certificaten uit te leggen, nog uitputtend te zijn in de mogelijkheden en onmogelijkheden voor certificaatopslag en –validatie.
Disclaimer: Het staat een softwareleverancier vrij om op andere wijze om te gaan met certificaatopslag en – validatie, zolang deze hiermee voldoet aan de BAPI Koppelvlakspecificaties. Deze handleiding is bedoeld als implementatieadvies. De Belastingdienst is niet verantwoordelijk voor het tussenliggend (“intermediate”) certificaat uitgegeven door QuoVadis, nog de correcte installatie hiervan op PC’s van eindgebruikers / klanten van softwareleveranciers.
2. Referenties Omschrijving:
Auteur:
[1]
Getting Started BAPI DLL
Belastingdienst
[2]
Koppelvlakspecificaties voor de netwerk-, transport- en berichtbeveiligingslagen
Belastingdienst
Gebruikershandleiding Installatie tussenliggend certificaat
3 van 8
Belastingdienst / Datum Versie
: 27-06-2013 : 1.5
3. Validatie door het Windows operating system Indien de softwareleverancier gebruikt maakt van certificaatvalidatie en -opslag via standaard functionaliteit beschikbaar binnen het MS Windows operating system, dienen de navolgende stappen plaats te vinden voor alle client implementaties. Deze stappen zijn beschreven op basis van Windows 2000 Nederlands. Voor andere talen en versies van MS Windows dienen dezelfde stappen uitgevoerd te worden.
3.1 Stap 1: Openen van het certificaat Open het certificaat (quovadis_globalssl_der.cer). Het onderstaande scherm verschijnt. Selecteer de button “Certificaat installeren”.
Gebruikershandleiding Installatie tussenliggend certificaat
4 van 8
Belastingdienst / Datum Versie
: 27-06-2013 : 1.5
3.2 Stap 2: Starten van de certifcaat import wizzard Selecteer de button “Volgende”.
3.3 Stap 3: Selecteren certificaatarchief Selecteer de optie “Alle certificaten opslaan in het volgende archief” en vervolgens de button “Bladeren”.
Gebruikershandleiding Installatie tussenliggend certificaat
5 van 8
Belastingdienst / Datum Versie
: 27-06-2013 : 1.5
3.4 Stap 4: Selecteren Tussenliggende certificeringsinstanties Selecteer het certificaatarchief “Tussenliggende certificeringsinstanties” en vervolgens de button “OK”.
Selecteer de button “Volgende”.
Gebruikershandleiding Installatie tussenliggend certificaat
6 van 8
Belastingdienst / Datum Versie
: 27-06-2013 : 1.5
3.5 Stap 5: Afsluiten certifcaat import wizzard Sluit de Wizard af door de button “Voltooien” te selecteren.
Hierna wordt het navolgende dialoogvenster getoond:
Geïnstalleerde certificaten zijn in te zien met behulp van MS Windows Internet Explorer, menu “Internet-opties”, tabblad “Inhoud”, button “Certificaten”. Het intermediate certificaat is terug te vinden in tabblad “Vertrouwde basiscertificeringsinstanties”. Hier kun je ook terecht als je wil weten of het intermediate certificaat al aanwezig is. Als dit het geval is en het certificaat voor een tweede keer geïnstalleerd wordt, zal dit geen conflict opleveren. Het al aanwezige certificaat zal overschreven worden zonder dat er melding van wordt gemaakt.
Gebruikershandleiding Installatie tussenliggend certificaat
7 van 8
Belastingdienst / Datum Versie
: 27-06-2013 : 1.5
4. Validatie met behulp van BAPI-functies Indien de softwareleverancier zelfstandig certificaatvalidatie en –opslag functionaliteit heeft geïmplementeerd via beschikbare BAPI-functies, dienen de navolgende stappen plaats te vinden voor client implementaties. Dit zijn implementatieadviezen ! Voor nadere toelichting zie Getting Started BAPI DLL [1].
4.1 Stap 1 - Opslaan:
Selecteren bron
Middels de functie bapiConnectLDAP wordt gesimuleerd dat er een connectie met een LDAP server wordt opgezet en geef je de locatie op waar het CA certificaat vandaan gehaald dient te worden. Dit is de plek die zojuist is gekozen om het intermediate certificaat te downloaden.
4.2 Stap 2 - Opslaan:
Inlezen en verwerken certificaat
Vervolgens wordt via de functie bapiGetCAcertificate het CA certificaat ingelezen, geencrypt met het 3DES algoritme en gekoppeld aan een wachtwoord. Het resultaat wordt weggeschreven naar een locatie welke aan de functie opgegeven wordt.
4.3 Stap 3 - Validatie:
Opvragen servercertificaat
Hierop wordt met de functie bapiGetConnectionCertificate het server certificaat welke geassocieerd is met de TLS/SSL connectie binnengehaald en opgeslagen op een locatie welke aan de functie opgegeven wordt.
4.4 Stap 4 - Validatie:
Opvragen servercertificaat
Met de functie bapiCheckUserCertificate worden tenslotte het 3DES encrypte CA certificaat en het opgehaalde server certificaat met elkaar vergeleken.
Gebruikershandleiding Installatie tussenliggend certificaat
8 van 8