Aanvraag certificaten DUO
Versienummer
:
1.1
Datum Status
: :
24-05-2016 Definitief
Colofon
Contactpersoon
[email protected] Aansluitcoordinator: 06 31781674
Documentbeheer Versie 1.0 1.1
Pagina 1 van 7
Datum 22-03-2016 25-05-2016
Wijziging Definitief ODOC certificaten verwijderd + tekstuele wijzigingen
Auteur DUO DUO
v1.1 Aanvraag certificaten DUO
Inhoud 1
INLEIDING ................................................................................................................................................. 3 1.1 1.2 1.3
2
DOELGROEP ................................................................................................................................................ 3 LEESWIJZER ................................................................................................................................................. 3 SUGGESTIES/VRAGEN ................................................................................................................................... 3
VOORBEREIDING ...................................................................................................................................... 4 2.1 2.2 2.3 2.4
OIN EN FQDN. ........................................................................................................................................... 4 SOORTEN CERTIFICATEN ................................................................................................................................. 5 TEST SERVER CERTIFICAAT AANVRAGEN BIJ DUO. ............................................................................................... 5 PKI OVERHEIDSCERTIFICAAT AANVRAGEN ......................................................................................................... 6
Pagina 2 van 7
v1.1 Aanvraag certificaten DUO
1
Inleiding
Dit document dient als handleiding bij het aanvragen en verkrijgen van de test- en productiecertificaten die nodig zijn voor het werken met voorzieningen die DUO biedt.
1.1
Doelgroep
Dit document beschrijft het aanvragen van de certificaten die nodig zijn voor een correct gebruik van de DUO voorzieningen en is bedoeld voor technisch georiënteerde medewerkers zoals bijvoorbeeld de certificaatbeheerder en de technisch applicatiebeheerder.
1.2
Leeswijzer
Deze handleiding beschrijft het aanvraagproces voor: -
DUO testcertificaten, te gebruiken op de veldtestomgeving
-
PKI-Overheidscertificaten voor het gebruik in de productieomgeving.
1.3
Suggesties/Vragen
DUO vindt het belangrijk dat u snel aan de slag kunt met voorzieningen die DUO biedt. Deze handleiding helpt daarbij. Suggesties om dit proces verder te verbeteren zijn welkom en kunnen gestuurd worden naar de Helpdesk Informatie Onderwijs van DUO (
[email protected]). Ook voor vragen kunt u hier terecht. Helpdesk Informatie Punt Onderwijs (IPO) Postbus 30152 9700 LC Groningen
[email protected]
Pagina 3 van 7
v1.1 Aanvraag certificaten DUO
2
Voorbereiding
Voordat de test- en productiecertificaten aangevraagd kunnen worden is het van belang dat de volgende punten bekend zijn bij uw organisatie. 1. OIN, FQDN en CLR. 2. Soorten certificaten.
2.1
OIN en FQDN.
OIN Om certificaten te kunnen bestellen, moet de organisatie een identificerend nummer hebben: het Overheid Identificatie Nummer (OIN). Het OIN wordt gebruikt als digitale identificatie in het berichtenverkeer, zowel om partijen te herkennen (authenticatie middels PKI-overheidscertificaten) als voor de routering van berichten. Is uw organisatie al in het bezit van een OIN dan kan deze gebruikt worden bij het aanvragen van de certificaten die nodig zijn voor het aansluiten op DUO voorzieningen. Heeft de organisatie nog niet de beschikking over een OIN dan zal deze eerst aangevraagd moeten worden. Voor onderwijs gerelateerde instanties, instellingen, bedrijven en organisaties zal DUO het OIN toewijzen. Het BRIN zal hiervoor worden gebruikt voor het samenstellen van een OIN. De BRIN code bestaat uit 4 karakters en identificeert uw organisatie uniek. Bijvoorbeeld 01AA. De BRIN van uw organisatie wordt verwerkt in het OIN. Een onderwijs gerelateerde instelling zal een OIN verkrijgen met een prefix 00000007. Het OIN dient opgenomen te worden in het PKI certificaat. Zie Edukoppeling Transactiestandaard 1.2 (definitief) voor meer informatie betreffende de PKI-infrastructuur en een totaal overzicht van de OIN prefix. Zie Digikoppeling gebruik en achtergrond certificaten v131 voor meer informatie betreffende het gebruik en achtergrond PKI certificaten.
FQDN De domeinnaam, naar het Engels vertaald, full qualified domain name (FQDN) dient ook als gegeven toegevoegd te worden aan het te verstrekken certificaat en wordt gebruikt om eventueel retourberichtverkeer van DUO naar de instelling goed te laten verlopen. Verkrijgen van het FQDN: Ga naar de website www.SIDN.nl om de websitenaam van de instelling/instantie te checken. Voer daartoe de websitenaam van de instelling/instantie in en vink de Akkoordverklaring aan. Als de domeinnaam actief is verschijnt er een scherm met gegevens van de domeinnaam. Voor de FQDN moet er een sub domeinnaam worden samengesteld door aan de domeinnaam van de instelling/instantie de letters DUO toe te voegen. Voorbeeld 1: de websitenaam van de instelling is: www.school.nl. Check deze via de site www.SIDN.nl op geldigheid. Als de domeinnaam geldig is, dan wordt de FQDN: www.duo.school.nl. Deze domeinnaam dient op het aanvraagformulier te worden ingevuld. Voorbeeld 2: de domeinnaam van de instantie is: www.instantie.nl. Check deze via de site www.SIDN.nl op geldigheid. Als de domeinnaam geldig is, dan wordt de FQDN: www.duo.instantie.nl. Deze domeinnaam dient op het aanvraagformulier te worden ingevuld.
Pagina 4 van 7
v1.1 Aanvraag certificaten DUO
2.2
Soorten certificaten
Duo staat de volgende certificaten toe: - DUO Test server certificaat. Deze certificaten kunnen alleen voor de testomgeving worden gebruikt. -
PKI Overheidscertificaat Certificaten die worden uitgegeven door een Certification Solution Provider, Een natuurlijke of rechtspersoon die certificaten afgeeft of andere diensten in verband met elektronische handtekeningen verleent.
In de hoofdstukken zal de aanvraagprocedure voor de bovenstaande certificaten worden toegelicht.
2.3
Test server certificaat aanvragen bij DUO.
Middels onderstaande procedure kan een testserver certificaat van DUO worden verkregen. Test Server Certificaten worden alleen gebruikt in de testomgeving van DUO. De volgende stappen moeten worden doorlopen: 1: CSR: Genereer een CSR op de (test) server van uw organisatie. Uw organisatie dient een (test)server beschikbaar te hebben voor het opzetten van een verbinding met de Test omgeving van DUO. Op deze server dient een Digitaal Certificaat gegenereerd te worden waarna het publieke deel van dat certificaat, het Certificate Signing Request (CSR), opgestuurd dient te worden naar het contactadres binnen DUO. Belangrijk: - Een FQDN, fully qualified domain name is niet verplicht in de testomgeving. - Bitlength van het certificaat tenminste 2048 bits
Voorbeeld genereren van een CSR in IIS 7, Windows server. (op het internet kan voor andere gangbare webservers een beschrijving gevonden worden). 1. Start de IIS Manager via click Start, Administrative Tools, and then Internet Information Services (IIS) Manager. 2. 3. 4. 5. 6. 7. 8. 9. 10.
11. 12. 13. 14.
In the left panel, click the server name where you want to generate the CSR. In the middle panel, double click Server Certificates. In the Actions panel on the right, click Create Certificate Request... . Enter Distinguished Name Properties, and then click Next. Vul een FQDN of URL waarvoor het certificaat gebruikt wordt, mag een willekeurige. Vul de organisatie naam in, noot! Deze zal niet worden gecontroleerd in de testomgeving. Optioneel: Organizational Unit, City/Locality, State/Province. Country = NL In de Cryptographic Service Prover Properties window, selecteer Microsoft RSA SChannel Cryptographic Provider for the Cryptographic service provider. Selecteer een Bit lengte van 2048 of hoger en click Next. Click …, enter the location and file name for your CSR, gevolgd door click Finish. Lokaliseer de .req file die is aangemaakt uit de vorige stap via de verkenner. selecteer Open With, en selecteer Notepad. Selecteer alle tekst tussen ----CERTIFICATE REQUEST----
Pagina 5 van 7
v1.1 Aanvraag certificaten DUO
en ----END CERTIFICATE REQUEST----, en bewaar deze in een notepad file. Voorbeeld van een Certificate Signing Request Onderstaand een voorbeeld van CSR waarvan de inhoud is gekopieerd in een tekstbestand. -----BEGIN NEW CERTIFICATE REQUEST----MIIEYzCCA0sCAQAweTELMAkGA1UEBhMCTkwxEzARBgNVBAgMCkdlbGRlcmxhbmQx DzANBgNVBAcMBkFybmhlbTEUMBIGA1UECgwLUmlqbiBJSnNzZWwxFTATBgNVBAsM DElDVCBTZXJ2aWNlczEXMBUGA1UEAwwOaXBwby5vdHByaWoubmwwggEiMA0GCSqG SIb3DQEBAQUAA4IBDwAwggEKAoIBAQCh798EwEO2kfs/9B2PN2xkVqkF3DO6xdwk …… om het voorbeeld te verkleinen weggelaten …… AIF7D/uhJMgOCQ/QWEP0lQk6VkpSrPwY45EFC+CkdfwSoAJCZDAQN/eZZYm65Whg gNO0lUHpvJ8j9Humvj/EbPC6ArIXT+me01qW0= -----END NEW CERTIFICATE REQUEST----2: CSR mailen naar DUO Mail de CSR naar het contactpunt bij DUO. (
[email protected] ) DUO zal het CSR tekenen met de Test CA van DUO. Het resultaat, een .p7b bestand zal terug gemaild worden naar uw organisatie. Uw organisatie dient het .p7b bestand te importeren op de server waar het certificaat bij punt 1. gegeneerd werd. 3: Van DUO verkregen bestand importeren Het van DUO ontvangen .p7b bestand dient nu te worden geïmporteerd op dezelfde server als die in stap 1. Ter illustratie de stappen bij IIS (op het internet kan voor andere gangbare webservers een beschrijving gevonden worden). 1. Hernoem de file your_domain_com.p7b naar your_domain_com.cer Installeer de PKCS#7 SSL Server Certificate File 2. Open Internet Information Services (IIS) Manager. via Start knop select Programs > Administrative Tools > Internet Information Services Manager. 3. In IIS Manager, selecteer de server node onder Connections 4. In de Features pane (the midden pane), dubbelclick Server Certificates option (onder IIS of Security heading (afhankelijk van de group-by view). 5. op de Actions pane selecteer Complete Certificate Request. 6. Op de Complete Certificate Request page browse naar SSL certificate file your_domain_com.cer. 7. Next, type een herkenbare naam voor het certificate in de Friendly name box, click OK. Bijv. www.mydomain.com. 8. URGENT!! De volgende fout kan optreden en mag worden genegeerd dmv cancel: Cannot find the certificate request associated with this certificate file. A certificate request must be completed on the computer where it was created. 9. Het certificate is nu geinstalleerd op de server en moet zichtbaar zijn in de Server Certificates view.
2.4
PKI Overheidscertificaat aanvragen
PKI staat voor Public Key Infrastructure: een structuur voor betrouwbare elektronische Pagina 6 van 7
v1.1 Aanvraag certificaten DUO
communicatie, bijvoorbeeld binnen en met de Nederlandse overheid. Een Services Certificaat zorgt daarbij voor de identiteit van een server of service (Digitaal Inschrijven MBO) en het leggen van een veilige verbinding tussen de servers (machine-to-machine). PKI overheid Services Certificaten worden uitgegeven door de Certification Service Providers (CSP). Op de website van Logius is een actueel overzicht te vinden. https://www.logius.nl/diensten/pkioverheid/aanschaffen/ Belangrijk! - Bij een CSP moet een PKI overheid Services Server Certificaat besteld worden. Andere type PKI overheid Certificaten zijn niet geschikt. - Het OIN moet in het certificaat worden opgenomen. - FQDN moet zijn ingevuld. De CSP naar keuze levert alle benodigde ondersteuning voor het certificaat; van aanvraagproces, sleutelgeneratie tot aan installatie. De kosten bedragen indicatief €500 voor een certificaat dat 3 jaar geldig is en eenmalig tussen de €100 en €200 voor administratiekosten. Houdt er rekening mee dat de doorlooptijd meerdere weken kan zijn voordat een PKI overheid Certificaat geleverd wordt. Tijdig het aanvraagproces starten is daarom aan te bevelen. Met name de face-to-face controle kan veel tijd vergen. Het aanvraagproces zal op hoofdlijnen gelijk zijn bij de CSP’s . Is de aansluitende organisatie nog niet bekend bij de CSP dan zal er extra tijd nodig zijn voor de eerste registratie. Globaal zullen de volgende stappen doorlopen worden: 1. Abonneeregistratie 2. Registreren van de aansluitende organisatie als abonnee bij de CSP 3. een certificaatbeheerder moet aangewezen worden als gedelegeerd verantwoordelijke voor de certificaten. 4. Invullen aanvraagformulier voor benodigd certificaat. 5. face-to-face controle indien de aansluitende organisatie onbekend is bij de CSP.
Pagina 7 van 7
v1.1 Aanvraag certificaten DUO