Veelgestelde vragen met betrekking tot het vervangen van SSL certificaten
Versie 1.0
Datum Status
6 september 2011 Definitief
Definitief | Veelgestelde vragen met betrekking tot het vervangen van SSL certificaten |
Colofon
Versienummer Contactpersoon Organisatie
1.0 Servicecentrum Logius Logius Postbus 96810 2509 JE Den Haag
[email protected]
Bijlage(n)
-
Pagina 2 van 6
Definitief | Veelgestelde vragen met betrekking tot het vervangen van SSL certificaten |
Inhoud
Colofon .......................................................................................... 2 Inhoud ........................................................................................... 3 Inleiding ........................................................................................ 4 1 Ik heb een SSL server en ongeauthenticeerde cliënten, wat staat mij te wachten? .................................................................... 5 1.1
Wijzigen van de trust-store van de server: .............................. 5
1.2
Vervangen SSL servercertificaat: ............................................ 5
1.3
Vragen van uw cliënten: ....................................................... 5
2 Ik heb een SSL server en geauthenticeerde cliënten, wat staat mij te wachten? ............................................................................. 6 2.1
Wijzigen van de authorized-client-store van de server: .............. 6
2.2
(Additionele) vragen van uw cliënten: ..................................... 6
Pagina 3 van 6
Definitief | Veelgestelde vragen met betrekking tot het vervangen van SSL certificaten |
Inleiding
Dit document is opgesteld voor technisch beheerders die verantwoordelijk zijn voor het vervangen van huidige certificaten met die van een nieuwe CSP. Uitgangspunten zijn: 1. De teksten in dit document gelden voor SSL/TLS in het algemeen. 2. Uw oude CSP, DigiNotar, wordt niet meer vertrouwd. 3. De oude CSP, DigiNotar heeft de door haar uitgegeven certificaten nog niet ingetrokken. 4. De PKIoverheid CSP waar u nu uw certificaat van af gaat nemen, is vertrouwd. 5. Om een nieuw certificaat aan te kunnen schaffen, is het nodig om uw oude Diginotar certificaat af te melden. De afmeldcode heeft u ontvangen bij de aanschaf. Afmelden doet u bij Diginotar. 6. Voor wat betreft de certificaattechnologie geldt: a. Een huidig G1 certificaat MAG vervangen worden door: i. ofwel een G2 certificaat, ii. ofwel een G1+ certificaat; b. Een huidig G2 certificaat MOET vervangen worden door een G2 certificaat NB: G1: G1+: G2:
gebaseerd op SHA-1 met RSA-1024 gebaseerd op SHA-1 met RSA-2048 en een maximale einde geldigheid t/m 31-12-2011 gebaseerd op SHA-256 met RSA-2048
Pagina 4 van 6
Definitief | Veelgestelde vragen met betrekking tot het vervangen van SSL certificaten |
1
Ik heb een SSL server en ongeauthenticeerde cliënten, wat staat mij te wachten?
1.1
Wijzigen van de trust-store van de server: • Indien er van de trust-store van het besturingssysteem of softwarepakket gebruik wordt gemaakt, dan volstaat het meestal om de laatste security-patches van de fabrikant toe te passen. o Indien de server (of het betreffende service account) over een eigen trust-store beschikt, dan moet deze handmatig worden bijgewerkt: verwijderen van CA certificaten van de oude CSP DigiNotar. o Toevoegen van CA certificaten van de nieuwe CSP (zie https://www.logius.nl/producten/toegang/pkioverheid/docume ntatie/certificaten-pkioverheid/csp-certificaten/).
1.2
Vervangen SSL servercertificaat: • Op de server moet een nieuwe sleutel met bijbehorende CSR worden gegenereerd, hanteer hierbij de procedure van de CSP; • De CSR wordt gebruikt in het aanvraagproces bij de nieuwe CSP; • Na ontvangst van het nieuwe servercertificaat, dient dit te worden geladen in de configuratie van de server;
1.3
Vragen van uw cliënten: • Voorafgaand aan de vervanging van uw SSL servercertificaat: o Cliënten die hun browser / besturingssysteem niet hebben bijgewerkt, zullen uw server nog steeds als vertrouwd zien. o Cliënten die hun browser / besturingssysteem wel hebben bijgewerkt, zullen uw server niet meer als vertrouwd zien. • Na afloop van de vervanging van uw SSL servercertificaat: o Cliënten die hun browser / besturingssysteem niet hebben bijgewerkt, zullen uw server nog steeds als vertrouwd zien. o Cliënten die hun browser / besturingssysteem wel hebben bijgewerkt, zullen uw server ook weer als vertrouwd zien.
Pagina 5 van 6
Definitief | Veelgestelde vragen met betrekking tot het vervangen van SSL certificaten |
2
Ik heb een SSL server en geauthenticeerde cliënten, wat staat mij te wachten?
Minimaal zult u te maken krijgen met hetzelfde als partijen die beschikken over een SSL server voor ongeauthenticeerde cliënten. Daarnaast geldt: 2.1
Wijzigen van de authorized-client-store van de server: • Voor elke cliënt wiens certificaat is uitgegeven door de oude CSP DigiNotar: o de cliënt er op wijzen dat hij zijn certificaat moet gaan vervangen bij een nieuwe CSP. (Zie http://www.logius.nl/producten/toegang/pkioverheid/vervang en-certificaten/) o de cliënt er op wijzen dat hij een kopie van het nieuwe certificaat aan u dient te leveren • Bijwerken van de authorized-client-store van de server (of het betreffende service account): o verwijderen van CA certificaten van de oude CSP DigiNotar o toevoegen van CA certificaten van de nieuwe CSP • Indien uw store expliciet de eindgebruikercertificaten van uw cliënten bevat, voor elk van hen wiens certificaat is uitgegeven door de oude CSP DigiNotar: o uit de authorized-client-store verwijderen van het door de oude CSP DigiNotar uitgegeven cliëntcertificaat o in de authorized-client-store opnemen van het door de nieuwe CSP uitgegeven cliëntcertificaat • Indien uw server cliënten autoriseert op basis van de attributen van hun certificaten, dan dient de serverconfiguratie te worden aangepast voor elk vervangen cliëntcertificaat.
2.2
(Additionele) vragen van uw cliënten: • Na afloop van de vervanging van uw SSL servercertificaat: o Wanneer uw cliënt ook uw servercertificaat in de configuratie van zijn software heeft staan, zult u hem van een kopie van uw nieuwe certificaat moeten voorzien.
Pagina 6 van 6