VERVANGING VAN DE VERTROUWENSKETEN VAN DE CERTIFICATEN VAN DE REGISTRATIEAUTORITEIT

17/12/2013

VERVANGING VAN DE VERTROUWENSKETEN VAN DE CERTIFICATEN VAN DE REGISTRATIEAUTORITEIT CONTEXT

Alle certificaten die door FEDICT worden uitgegeven, maken deel uit van een hiërarchische vertrouwensstructuur. De hoofduitgever EC [CA = Certificate Authority] kan aldus bijkomende uitgevers EC belasten met het vervullen van de rol van registratieautoriteit AE [RA= Registration Authority].

De handtekening is enkel geldig gedurende de geldigheidsperiode van de uitgevende autoriteit.

Alain Tilmant

Page 1 of 11 2013_TrustedCertificatesChain_NL.docx

In juli 2012 hebben we vastgesteld dat de geldigheid van het certificaat van Belgium Root CA2, dat door GlobalSign [Certificate Auhority] wordt uitgegeven, vervalt op 27 januari 2014. Indien we niets veranderen aan deze situatie, zullen vanaf 27 januari 2014 alle SSL (TLS) sessies op basis van een validatie van de keten worden geweigerd. Bijgevolg zullen alle informatie-uitwisselingen binnen het netwerk van de sociale zekerheid worden stilgelegd.

Huidige certificatieketen geldig tot 27/01/2014

Alain Tilmant

Page 2 of 11 2013_TrustedCertificatesChain_NL.docx

Rekening houdende met het einde van deze geldigheidsperiode heeft FEDICT beslist om van certificatieautoriteit te veranderen. Ze doet voortaan een beroep op Baltimore die een nieuwe certificatieketen levert. FEDICT had ook kunnen opteren voor een andere aanpak, namelijk het certificaat verlengen bij het einde van de geldigheid ervan. De nieuwe certificatieautoriteit Baltimore vervangt GlobalSign; het enige certificaat in de keten dat niet wordt vervangen is Government CA.

Nieuwe certificatieketen geldig vanaf 10/10/2013

Alain Tilmant

Page 3 of 11 2013_TrustedCertificatesChain_NL.docx

Hierna vindt u een vergelijking tussen beide situaties.

Welke procedure werd gevolgd? •

In 2007 heeft FEDICT een sleutelpaar gegenereerd en een CSR geproduceerd die de Distinguish Name herneemt bestaande uit de Common Name “Belgium Root CA2” en de publieke sleutel.

Deze CSR werd naar de registratie-autoriteit “Globalsign” gestuurd. Het certificaat “Belgium Root CA2” werd uitgereikt met een geldigheidsduur die eind 2014 verstrijkt. •

In 2013 werd diezelfde CSR naar een andere registratie-autoriteit gestuurd, met name “Baltimore”. Het nieuwe certificaat dat uitgereikt werd heeft dus dezelfde Distinguish Name en dezelfde publieke sleutel, maar een andere geldigheidsperiode.

Bijgevolg is het certificaat « Government CA » dat gecertificeerd wordt door de handtekening van het certificaat “Belgium Root CA2” @ GlobalSign ook gecertificeerd door het nieuwe certificaat “Belgium Root CA2” @Baltimore. De certificatieketen GlobalSign wordt vervangen door die van Baltimore.

Alain Tilmant

Page 4 of 11 2013_TrustedCertificatesChain_NL.docx

MIGRATIE EN CONTINUÏTEIT VAN DE DIENST

Aangezien alle betrokken organisaties deze keten onmogelijk gelijktijdig kunnen wijzigen, hebben we een voorzichtig overhevelingsplan uitgewerkt waarbij beide ketens tijdelijk naast elkaar bestaan. Bij het opstarten van de SSL-sessie, levert de KSZ (als client / als server) in de lijst van CA’s enkel het intermediaire certificaat GovernmentCA. Zo kan de partner dit certificaat controleren ten opzichte van de rest van de keten: hetzij die van GlobalSign, hetzij die van Baltimore.

Om tussenkomsten tijdens de verlofperiode in december en januari te vermijden, zouden we de volledige operatie in het weekend van 24 november 2013 willen beëindigen.

SITUATIE BIJ DE "KLANT" DIE ZICH OP DE KSZ AANSLUIT

Betrokken instellingen Alle instellingen die de KSZ in HTTPS bereiken [SSL / TLS sessies] en die controleren of het certificaat van de KSZ-server deel uitmaakt van de vertrouwensketen. Geen impact op het niveau van de KSZ Enige wijziging: de KSZ levert de link met het intermediaire certificaat « Government CA ».

Alain Tilmant

Page 5 of 11 2013_TrustedCertificatesChain_NL.docx

De KSZ controleert van haar kant de geldigheidsperiode van het certificaat van de klant en gaat na of het certificaat opgenomen is in de lijst van de certificaten die voor iedere instelling per omgeving werden uitgegeven.

Alain Tilmant

Page 6 of 11 2013_TrustedCertificatesChain_NL.docx

Acties: • • • • •

• •

13/11/2013: de KSZ beperkt de lijst tot het intermediaire certificaat in haar ontwikkelings- en acceptatie-omgeving De partners controleren of ze nog steeds een SSL-sessie kunnen opstarten met de KSZ. Een verslag dient te worden meegedeeld aan [email protected] en aan [email protected] vóór het weekend van 24/11/2013. Weekend van 24/11/2013: als de testen succesvol zijn, gaat de KSZ over naar productie. De drie certificaten Baltimore CyberTrust Root, CyberTrust Global Root en Belgium Root CA 2 dienen te worden toegevoegd aan de lijst van betrouwbare certificatie-autoriteiten vóór 27 januari 2014 Nagaan of het certificaat « Belgium Root CA2 » (4/10/2007  27/01/2014) werd verwijderd en of dat van het « Belgium Root CA2 »(10/10/2013  13/05/2025) wel degelijk aanwezig is Nagaan in een TCP-logging of de certificatieketen niet die van GlobalSign herneemt bij het opstarten van een SSL-sessie.

CBSS server certificates : http://www.kszbcss.fgov.be/nl/bcss/page/content/websites/belgium/services/docutheque/soa/AOS_server_new.html

Alain Tilmant

Page 7 of 11 2013_TrustedCertificatesChain_NL.docx

SITUATIE "SERVER-INSTELLINGEN"

Betrokken instellingen Enkel wanneer de KSZ toegang heeft tot de toepassingen (web service) door middel van SSL 2 ways (HTTPS met onderlinge authenticatie) sessies, dat wil zeggen dat het "klant"-certificaat van de KSZ gecontroleerd wordt op basis van de huidige vertrouwensketen. Organisatie

NIC eHealth Extranet sociale zekerheid FEDICT RJV PDOS RR SIGEDIS FOD Economie

FOD Financiën FOD Volksgezondheid FOD Sociale Zekerheid Alain Tilmant

Dienst

NIC + MyCarenet VESTA - … techws-int.smals.be professionalservices-acpt.be sysint-acpt.smals.be

FOD Werkgelegenheid, Arbeid en Sociaal Overleg CCFF VVVL DGPH Page 8 of 11 2013_TrustedCertificatesChain_NL.docx

dvlp/acpt

Statut Prood

13/11/2013 22/11/2013

Geen impact op het niveau van de KSZ Enige wijziging: de KSZ levert enkel de link met het intermediaire certificaat « Government CA ». De KSZ controleert van haar kant de geldigheidsperiode van het certificaat van de server van de leverancier en gaat na of het certificaat is opgenomen in de lijst met certificaten die voor deze doelinstelling en voor deze omgeving werden uitgegeven.

Acties: • • •

• •

•

13/11/2013: de KSZ heeft haar definities gewijzigd, zodat enkel nog het eerste certificaat van de keten geleverd wordt (test-/acceptatie-omgeving). De KSZ heeft de toegang tot haar leveranciers met succes uitgetest: SSL-sessie werd opgestart. De partners kunnen de drie certificaten Baltimore CyberTrust Root, CyberTrust Global Root et Belgium Root CA 2 ruim vóór 27/01/2014 toevoegen aan de lijst van betrouwbare certificatieautoriteiten. Nagaan of het certificaat « Belgium Root CA2 » (4/10/2007  27/01/2014) werd verwijderd en of dat van het « Belgium Root CA2 »(10/10/2013  13/05/2025) wel degelijk aanwezig is Een verslag dient te worden meegedeeld aan [email protected] en aan [email protected] vóór het weekend van 24/11/2013 om er zeker van te zijn dat alles blijft werken. Nagaan op het niveau van uw servers of de certificatieketen niet die van GlobalSign herneemt bij het opstarten van een SSL-sessie.

CBSS Client certificates :

http://www.kszbcss.fgov.be/nl/bcss/page/content/websites/belgium/services/docutheque/soa/AOS_client_new.html

Alain Tilmant

Page 9 of 11 2013_TrustedCertificatesChain_NL.docx

UPDATE VAN DE JAVA KEYS STORE

Deze informatie werd geleverd door Jo Van Hoof Dpt Production - Middleware - Weblogic Admin De meest eenvoudige procedure is als volgt: 1. Download de applicatie “portecle”: http://sourceforge.net/projects/portecle/files/latest/download 2. Installeer (overwrite) in jvm local de unrestricted policy files (NON US) http://www.oracle.com/technetwork/java/javase/downloads/jce-6download-429243.html ($JAVA_HOME/jre/lib/security) 3. Open in “portecle” jks/p12 en doe een export van private key + certs in het formaat PEM

Alain Tilmant

Page 10 of 11 2013_TrustedCertificatesChain_NL.docx

4. Open de betrokken pem, het formaat is min of meer het volgende -BEGIN RSA PRIVATE KEY---

-----BEGIN RSA PRIVATE KEY---

-----END RSA PRIVATE KEY-----

-----END RSA PRIVATE KEY-----

-----BEGIN CERTIFICATE-----

-----BEGIN CERTIFICATE-----

....votre certificat

....votre certificat

-----END CERTIFICATE-----

-----END CERTIFICATE-----

-----BEGIN CERTIFICATE----.... chain cert 1 (gov 2011) -----END CERTIFICATE-----

-----BEGIN CERTIFICATE----.... chain cert 1 (gov 2011) -----END CERTIFICATE---------BEGIN CERTIFICATE----.... chain cert 2 (belgium root ca 2) -----END CERTIFICATE---------BEGIN CERTIFICATE----.... chain cert 3 (globalsign) -----END CERTIFICATE-----

-----BEGIN CERTIFICATE----.... chain cert 2 (belgium root ca 2 (new)) -----END CERTIFICATE---------BEGIN CERTIFICATE----.... chain cert 3 (cybertrust) -----END CERTIFICATE---------BEGIN CERTIFICATE----.... chain cert 4 (Baltimore) -----END CERTIFICATE-----

5. De pem aanpassen/wijzigen met de correcte keten, • voor een certificaat-client : gov 2011 + belgium root ca 2 (selfsigned version) of die van baltimore • voor een server : gov2011, belgium root ca2, cybertrust , baltimore 6. Terug importeren in “portecle” (hetzelfde private key password als voorheen gebruiken) met Tools, Import Key Pair

Alain Tilmant

Page 11 of 11 2013_TrustedCertificatesChain_NL.docx