Inhoudsopgave:
Aanvragen certificaat (eerste keer)
- Wanneer kies ik voor aanvragen en wanneer voor het vervangen van een certificaat?
- Voor welke omgevingen is een PKI certificaat nodig?
- Wat dient de common name te worden per omgeving?
- Kunnen we ten tijde van de migratie, met de huidige- en nieuwe omgeving hetzelfde certificaat gebruiken zoals voor productie?
- Als een PKI certificaat nodig is, wordt een G1 machine-to-machine certificaat aangeschaft voor 1, 2 of 3 jaar. Welke geldigheid kan worden aangehouden?
- Volstaat het om het certificaat in pfx formaat aan te leveren?
Aanvragen certificaat (eerste keer)
Belangrijke opmerkingen voordat je begint met het aanvragen van een certificaat:
Het is belangrijk om te weten dat wij het certificaat als .pem of .crt formaat moeten ontvangen. Het certificaat moet in X509 formaat zijn met een PEM codering en geen DER.
Let er daarnaast op dat er twee aanvragen gedaan moeten worden. Zowel een voor de acceptatie- als voor de productie omgeving. Oftewel, je registreert twee keer de aanvraag.
Daarnaast willen we benoemen dat er goed gekeken moet worden naar de naamgeving van de CSR:
- In de naam
samlsp
= voor de omgeving, een PUBLIC SERVER certificaat - In de naam
samlidp
= voor de saml koppelingen Digid, eHerkenning en eIDAS, een PRIVATE SERVER certificaat
Stap 1:
Ga naar de beheerders onderhoud pagina: https://onderhoudzaaksysteem.nl/beheerder/
Hier kun je verschillende acties uitvoeren. De meest belangrijke aan het begin van de implementatie zijn:
- CSR aanvragen = PKI aanvraag
- Basiskoppelingen uitvragen (DigiD, KVK etc)
- Meldingen indienen
Note: CSR aanvragen en PKI installatie zitten in 1 zaak.
Stap 2
- Klik hier op “CSR aanvragen"
Stap 3
- Vul de gegevens in.
- PKI certificaat aanvraag
- Type aanvrager = organisatie
- Aanvrager = Gemeente X
Stap 4
- Bij de registratiefase vul hier alle verplichte velden in.
- Vul hier ook in welke SAML koppelvlakken (DigiD, eHerkenning of eIdas) jullie gaan gebruiken. Hiervoor krijgt de aanvrager nog een CSR. Er zijn twee certificaten nodig wanneer je van een van deze drie koppelingen gebruik maakt.
- Voor de omgeving een (Sectigo) RSA Domain Validation Secure Server CA (1 jaar geldig)
- Koppeling een PKIoverheid Private Services CA - G1(3 jaar geldig)
Wat gebeurt er nu?
Zodra de zaak aangevraagd wordt, wordt er door Zaaksysteem afdeling development een CSR aangemaakt die met de aanvragende gemeente gedeeld wordt in de zaak. De gemeente kan dan met deze CSR een PKI certificaat aanvragen bij de betreffende leverancier. Zaaksysteem moet dan vervolgens het publieke deel ontvangen zodat we deze kunnen installeren op de acceptatie- en productie omgeving.
Let op! Voor productie en acceptatie moeten aparte zaken aangemaakt worden! Oftewel, je start twee keer deze zaak. Een keer voor acceptatie, een keer voor productie.
Stap 5
- Er zullen nu enkele voorbereidingsdocumenten naar de aanvrager (contactpersoon) gestuurd worden waarin beschreven staat welke acties uitgevoerd moeten worden door de Gemeente. Wanneer hierbij hulp nodig is, neem dan eerst contact op met het aanspreekpunt.
Stap 6
- Wanneer de PKI certificaten zijn ontvangen kunnen deze gedeeld worden met Zaaksysteem door ze te uploaden in de zaak op de PIP.
Stap 7
- Er zal nu een verzoek komen voor een DNS wijziging. Ook hiervoor ontvangt de contactpersoon een begeleidende mail.
- Note: Let op, dit is niet van toepassing wanneer je een certificaat voor de tweede keer aanvraagt. Alleen bij de eerste aanvraag.
Stap 8
- Wanneer de DNS wijziging is doorgevoerd is het proces compleet.
Inloggen op de PIP
- Stap 1: Log in in het Zaaksysteem op https://mintlab.zaaksysteem.nl/pip/login.
- Stap 2: Je bent nu op je PIP waar je zaken kunt beheren en communicatie kunt volgen.
Note: Wanneer je niet kunt inloggen op de PIP, dien dan een interne melding in op https://onderhoudzaaksysteem.nl/beheerder/ - ‘zaaksysteem.nl melding’ Let erop dat je duidelijk aangeeft wat het probleem is! “De PIP werkt niet” is bijvoorbeeld geen duidelijke melding. “Ik krijg foutmelding x wanneer ik probeer in te loggen op de pip van Gemeente X, ik maak gebruik van de link : ‘x’ ” maakt het voor de support afdeling gemakkelijker om je stappen na te maken en het probleem sneller op te lossen.
Vervangen van het certificaat
De aanvraag procedure voor het ‘vervangen van een bestaand certificaat’ gaat vrijwel hetzelfde als het aanvragen.
Stap 1:
Ga naar de beheerders onderhoud pagina: https://onderhoudzaaksysteem.nl/beheerder/
Stap 2
- Klik hier op “CSR aanvragen". Mocht er een foutmelding komen zoals “geannuleerd”, ga dan naar de groene plusknop rechtsonder en stap 3. Je zult hier ook moeten inloggen met je Mintlab ID. Dit zijn dezelfde gegevens als op pip.
Stap 3
- Vul de gegevens in zoals getoond op het screenshot.
- PKI certificaat aanvraag
- Type aanvrager = organisatie
- Aanvrager = Gemeente X
Stap 4
- Bij de registratiefase vul je in dit geval in dat het gaat om het vervangen van een (binnenkort) verlopen certificaat’.
- Bij koppelingen kies je bij vervangen alleen degene die je wilt vervangen. Je hoeft dus niet digid en dergelijke te selecteren als je alleen het omgeving certificaat wilt vervangen. Andersom is dit ook zo, vervang je alleen digid cert? Selecteer dan niet ADFS/omgeving, maar alleen de relevante koppelingen.
Stap 5
- Er zullen nu enkele voorbereidingsdocumenten naar de aanvragen (contactpersoon) gestuurd worden waarin beschreven staat welke acties uitgevoerd moeten worden door de Gemeente. Wanneer hierbij hulp nodig is, neem dan eerst contact op met het aanspreekpunt.
Stap 6
- Wanneer de PKI certificaten zijn ontvangen kunnen deze gedeeld worden aan Zaaksysteem door ze te uploaden in de zaak op de PIP.
Wanneer dit is afgerond is het proces compleet.
Veelgestelde vragen:
- Wanneer kies ik voor aanvragen en wanneer voor het vervangen van een certificaat?
Er hoeft alleen een nieuw certificaat aangevraagd worden wanneer het certificaat voor het eerst aangevraagd wordt. Denk hierbij aan een nieuwe koppeling.
Er moet gekozen worden voor 'vervangen van een bestaand certificaat' als er al een certificaat in de koppeling staat die verloopt. Deze moet dus opnieuw aangevraagd worden om te voorkomen dat deze verloopt - oftewel, deze moet vervangen worden.
-
Voor welke omgevingen is een PKI certificaat nodig?
Een PKI certificaat is nodig voor zowel de acceptatie- als de productieomgeving. Dit komt omdat op beide omgevingen (test)koppelingen geactiveerd kunnen worden waar persoongegevens in terecht komen.
-
Wat dient de common name te worden per omgeving?
In het aanvraagformulier wordt gevraagd om het gewenste webadres waarop het zaaksysteem te benaderen is. Het certificaat wordt ingesteld op dit webadres, en dat is niet meer te wijzigen, tenzij er een nieuw certificaat wordt aangevraagd. Het is dan ook van belang om vooraf goed na te denken over het gewenste webadres.
Het webadres wordt gekozen is zichtbaar voor alle medewerkers bij de organisatie, én voor de klanten van de organisatie die zaken doen via webformulieren of de PIP. Enkele voorbeelden zijn:
mijn.{organisatienaam}.nl
zaaksysteem.{organisatienaam}.nl
-
Kunnen we ten tijde van de migratie, met de huidige- en nieuwe omgeving hetzelfde certificaat gebruiken zoals voor productie?
De PKI certificaten staan los van EEN migratie. Voor de nieuwe omgevingen zijn nieuwe certificaten nodig.
-
Als een PKI certificaat nodig is, wordt een G1 machine-to-machine certificaat aangeschaft voor 1, 2 of 3 jaar. Welke geldigheid kan worden aangehouden?
Advies is om hier te kiezen voor 3 jaar.
-
Volstaat het om het certificaat in .pfx formaat aan te leveren?
PFX accepteren wordt helaas niet ondersteund. Wij moeten het als .pem of .crt ontvangen.
Het certificaat moet in X509 formaat zijn met een PEM codering (geen DER), DER = Binary
PEM = text