Producten overzicht Algemeen eHerkenning Klantenportaal Verzendportaal Digipoort certificaten Beroepscertificaat RA/AA Persoonscertificaten PDF-Handtekeningservice

Veel gestelde vragen PKIoverheid certificaten

PKIoverheid Algemeen

PKIoverheid is de naam die verbonden is aan de Public Key Infrastructure (PKI) die ontworpen is voor betrouwbare elektronische communicatie binnen en met de Nederlandse overheid. PKIoverheid certificaten worden uitgegeven door enkele organisaties die voldoen aan het Programma van Eisen PKIoverheid en hiervoor zijn gecertificeerd.

Is PKIoverheid alleen voor de Overheid?
Nee, zowel bedrijven als overheidsorganisaties kunnen PKIoverheid certificaten verkrijgen. Straks kunnen ook burgers een PKIoverheid certificaat krijgen, op de elektronische Nederlandse Identiteits Kaart (eNik).

Welk traject moet ik volgen om PKIoverheid certificaten te verkrijgen?
Gegevens over uw organisatie moeten geregistreerd worden volgens de vereisten van PKIoverheid. Dit doet u met een Aanvraagformulier Abonneeregistratie. Ga voor het Abonnee Registratieformulier en alle andere formulieren naar PKIoverheid Formulieren. Daarnaast stuurt u een door de Contactpersoon ondertekende certificaataanvraag op. Het certificaat kan pas geleverd worden als de Abonneeregistratie geaccepteerd is.

Wat wordt er in de Abonneeregistratie vastgelegd?
In deze abonneeregistratie stelt de bevoegd vertegenwoordiger een of meer Contactpersonen aan. De Contactpersonen zijn dan bevoegd om namens de organisatie PKIoverheid certificaten aan te vragen.

Wie is bevoegd vertegenwoordiger?
Bij bedrijven kan de bevoegdheid worden aangetoond met de kopie uittreksel KvK.

Welke stukken moet ik bij de abonneeregistratie voegen?
Bij bedrijven en andere organisaties kan een kopie uittreksel KvK gebruikt worden. Een kopie geldige legitimatie van de Bevoegd Vertegenwoordiger bijlage is nodig voor de handtekeningverificatie.

PKIoverheid Servercertificaten aanvraag

Hoe kan ik een servercertificaat aanvragen?
CrEAim heeft een aanvraagpagina voor PKIoverheid servercertificaten. Via deze pagina kunnen contactpersonen, die zijn vastgelegd met de abonneeregistratie, een certificaat aanvragen. U moet hiervoor een CSR (laten) genereren.

Wat is een CSR?
CSR staat voor Certificate Signing Request. Een CSR is een tekstbestand, dat door de certificaatbeheerder wordt gegenereerd. Een CSR bevat het publieke deel van de sleutelgeneratie en informatie over de Service (naam) en uw organisatie.

Hoe genereer ik een CSR?
Om de certificaataanvraag te starten moet u een CSR (laten) genereren. Dit kan met behulp van een webserver worden gedaan of met het programma OpenSSL. Meer informatie over het genereren van de CSR vindt u op https://pkioverheid.gemnetcsp.nl/help/csr/index.htm. Een certificaat dat via een webserver is aangevraagd, kan naderhand worden geëxporteerd en op een andere computer worden geplaatst. Let op: een (privé-sleutel van een) PKIoverheid-certificaat mag maar op één computer tegelijk staan.

Wij hebben geen webserver beschikbaar, hoe kan ik dan een CSR genereren?
Indien geen webserver beschikbaar is voor het genereren van een CSR, dan kunt u bijvoorbeeld gebruik maken van OpenSSL. Zie verder de instructie van VROM op de website van de Frontoffice WKPB.

Wat is het verschil tussen contactpersoon en certificaatbeheerder?
De contactpersoon is aangesteld met de abonneeregistratie (zie PKIoverheid Algemeen). De contactpersoon is bevoegd het aanvraagformulier te tekenen. De certificaatbeheerder start de aanvraag op en is gemachtigd het certificaat te ontvangen. Hij of zij moet zich hiervoor wel eenmalig voor die organisatie laten registreren; dit kan worden aangegeven op de aanvraagpagina.

Kan een contactpersoon ook certificaatbeheerder zijn?
Ja, dat kan. Ook een contactpersoon moet zich wel eenmalig als certificaatbeheerder laten registreren.

Wat moet ik doen als ik op https://pkioverheid.gemnetcsp.nl de CSR en de gegevens van Contactpersoon en certificaatbeheerder heb ingevuld?
De aanvraag leidt tot een e-mail aan de contactpersoon. De contactpersoon moet op de link in de mail klikken om de aanvraag af te ronden. De contactpersoon kan de gegevens controleren en eventueel aanpassen, het aanvraagformulier uitprinten en ondertekend naar Gemnet opsturen. Hierbij moet een kopie legitimatie van de certificaatbeheerder worden meegestuurd. De certificaatbeheerder ontvangt als bevestiging van zijn aanvraag ook een kopie van deze e-mail.

Wanneer is een Domeinautorisatie of een Eigen Verklaring nodig bij een certificaataanvraag?
Het gaat hier om de Common Name van het aangevraagde certificaat. Als dit een .nl domeinnaam (FQDN) is waarvan uw organisatie eigenaar is dan is dit geregistreerd bij www.sidn.nl en hoeft u geen bewijs mee te sturen. Als het een domeinnaam betreft waarvan uw organisatie NIET de eigenaar is, bijvoorbeeld bij eformulierenxxxx.overheid.nl, dan moet de eigenaar van het domein een Domeinautorisatieformulier invullen en ondertekenen. In dit voorbeeld is dat ICTU als eigenaar van het domein overheid.nl. Als het certificaat wordt aangevraagd met een server- of hostnaam als Common Name dan is er een Eigen Verklaring nodig, waarvan de inhoud voor zich spreekt. U kunt het Domeinautorisatieformulier en de Eigen Verklaring downloaden via de PKI voor de Overheid Servicepagina

Wanneer moet de Certificaatbeheerder naar het GWK voor de identificatie?
Bij de validatie van de certificaataanvraag wordt gekeken of de certificaatbeheerder al eenmalig geïdentificeerd en geregistreerd is. Als dat niet zo is dan ontvangt hij een meldverzoek (vanaf juli 2008 wordt deze digitaal verstuurd) om met het meldverzoek en geldige legitimatie naar een willekeurig grenswisselkantoor te gaan voor de identificatie. Dit gaat zonder afspraak. Klik hier voor de lijst met GWK-vestigingen http://www.pki.getronicspinkroccade.nl/website/453/

Ik heb als contactpersoon een mail gehad met de titel: "Bevestiging aanvraag PKIoverheid certificaat". Moet ik verder nog actie ondernemen?
Ja, dit betekent dat een certificaatbeheerder een certificaataanvraag heeft opgestart. U moet als Contactpersoon de aanvraag nog afronden, ondertekenen en als origineel naar Gemnet sturen. Om dit aanvraagformulier te genereren klikt u op de hyperlink in de bevestigingsmail. U controleert en bevestigt dan de gegevens in de aanvraag en kunt hier desgewenst nog wijzigingen in aanbrengen.

Waar vind ik het registratie nummer van de certificaatbeheerder?
Wanneer u een PKIoverheid servercertificaat aanvraagt dan kan dit certificaat zonder identificatie rechtsreeks per mail geleverd worden als de certificaatbeheerder al voor uw organisatie geregistreerd is. Tijdens de aanvraag moet de certificaatbeheerder dan zijn/haar registratienummer invullen. Dit registratie nummer is bij de identificatie bekendgemaakt (staat vermeld op het meldverzoek en de bon van het GWK). Tenslotte wordt de registratie van de certificaatbeheerder ook schriftelijk bevestigd aan de PKIoverheid contactpersoon van uw organisatie.

Moet na 3 jaar het PKI overheid certificaat verlengd worden of gaat dit vanzelf?
Een maand voor het verstrijken van de geldigheidsduur van het certificaat ontvangt de certificaatbeheerder een e-mail met het bericht dat het certificaat zal verlopen en dat er een nieuwe aanvraag gedaan moet worden. De e-mail bevat hier een instructie voor.

PKIoverheid servercertificaat installatie

Hoe moet ik het servercertificaat dat ik in de mail heb ontvangen installeren?
Installatie-instructies voor diverse platforms vindt u op de website van onze partner Gemnet: https://pkioverheid.gemnetcsp.nl/help/install/. Voor de situatie waarin het certificaat gebruikt wordt voor client-authenticatie, zoals bijvoorbeeld bij Wkpb, heeft Gemnet een document opgesteld met instructies hoe het certificaat geïnstalleerd moet worden op een Windows-systeem.

Ik heb het servercertificaat geïnstalleerd maar als ik het certificaat open dan wordt het niet vertrouwd ('uitgever onbekend'). Hoe komt dit?
Voor een correcte werking van het certificaat moeten ook het PKIoverheid rootcertificaat en de intermediate CA-certificaten geïnstalleerd worden. Deze kunt u downloaden via https://pkioverheid.gemnetcsp.nl/certificate-chain.p7b. Zie de installatie-instructies op https://pkioverheid.gemnetcsp.nl/help/install/

Wat wordt er met het publieke deel van het PKIoverheidscertificaat bedoeld?
Wij leveren het certificaat plus publieke sleutel per mail. Als je dat stuk (zoals het in de mail destijds geleverd is) kopieert naar kladblok en dan opslaat als *.cer dan heb je het certificaat met publieke sleutel zoals men dat wil hebben. Bij het genereren van de CSR is tevens een geheime sleutel aangemaakt; deze mag nooit naar derden worden gestuurd.

Het servercertificaat en de CA-certificaten zijn correct geïnstalleerd, maar de client krijgt een foutmelding dat de uitgever niet wordt vertrouwd. (Bijvoorbeeld als de webmailserver met PKIoverheid wordt beveiligd). Wat is hier de oorzaak van?
De Staat der Nederlanden Root CA ontbreekt waarschijnlijk in de trustlist van de browser. Deze Root CA wordt al enkele jaren gedistribueerd in de trustlists van de belangrijkste browsers, maar als het ontbreekt dan moet het certificaat alsnog in de browser geïnstalleerd worden. Voor toelichting en installatie zie http://www.pkioverheid.nl/download-stamcertificaat/ Bij PDA's, smartphones en andere mobiele devices zal het Root-certificaat vaak ontbreken en moet de Root CA daarop geïnstalleerd worden.

In welk formaat wordt het PKIoverheid Services Certificaat geleverd?
Het PKIoverheid Services Certificaat wordt geleverd als ASCII-string, met daarin het certificaat plus bijbehorende intermediate CA-certificaten (p7-formaat). Klik hier voor verdere toelichting.

Hoe converteer ik een .cer bestand naar .pem bestand?
De instructies om een .cer naar .pem te converteren kunt u hier terugvinden.

Hoe kan ik een .pem bestand converteren naar een .p12 bestand?
De instructies om een .pem naar .p12 te converteren kunt u hier terugvinden.

OIN (Overheidsidentificatienummer) en PKIoverheid certificaten

Waarom zou ik een OIN (Overheids Identificatie Nummer) in een PKIoverheid certificaat willen opnemen?
Organisaties die willen communiceren via Digikoppeling dienen te beschikken over een PKIoverheid certificaat waarin een OIN is opgenomen. Dit is bijvoorbeeld van toepassing voor de terugmeldvoorziening Digimelding. Het OIN kan niet achteraf in een certificaat worden gezet, met een OIN in uw certificaat voorkomt u mogelijk een voortijdige vervanging van het certificaat. Informatie over Digikoppeling en het aanvraagformulier kunt u vinden op http://www.logius.nl/producten/gegevensuitwisseling/digikoppeling/

Hoe kan ik een OIN in een PKIoverheid certificaat opnemen?
Als uw organisatie over een OIN beschikt dan kunt u dit bij de PKIoverheid certificaataanvraag zonder extra kosten in het certificaat laten opnemen. Dit doet u door het OIN in het daarvoor bestemde veld van het aanvraagformulier op https://pkioverheid.gemnetcsp.nl/main.php in te geven. Het OIN komt dan in het Serial Number veld van het certificaat te staan.

Hoe verkrijg ik een OIN (Overheids Identificatie Nummer)?
Een OIN kunt u bij Logius verkrijgen middels een aanvraag aansluiting Digikoppeling. Een aanvragende organisatie krijgt dan samen met het OIN een gebruikersaccount voor het Serviceregister. In een later stadium kan de organisatie dan starten met het implementeren van de standaarden van Digikoppeling. Het OIN kan nu alvast gebruikt worden ter opname in een certificaat. Informatie over Digikoppeling en het aanvraagformulier kunt u vinden op http://www.logius.nl/producten/gegevensuitwisseling/digikoppeling/

Nieuws overzicht Het belang van goede authenticatie en autorisatie

De FIOD heeft donderdag doorzoekingen gedaan in een strafrechtelijk onderzoek...

Minister Verhagen van EL&I over internetapplicaties

“Er moet meer duidelijkheid komen over de beveiliging en controle over data”...

Verklaring Omtrent Gedrag elektronisch aanvragen met eHerkenning

Sinds 1 januari 2012 biedt Dienst Justis de overheidsdienst...

Artikel Frank Jonker: Aan de slag met eHerkenning

Hoe werkt eHerkenning in de praktijk...

Naar het archief