Technische vragen

  1. Is het mogelijk om ZOVAR-servercertificaten aan te vragen waarmee getest kan worden?
  2. Als ik een servercertificaat wil aanvragen bij ZOVAR, moet ik zelf een sleutel aanleveren. Hoe werkt dat?
  3. Hoe installeer ik de CA-certificaten op mijn pc?
  4. Hoe kan ik een certificaat van ZOVAR in de directory vinden?
  5. Ondersteunt ZOVAR het OCSP-protocol?
  6. Wat is de publicatiefrequentie van de Certificaat Revocatie Lijsten (CRL's) van ZOVAR?
  7. Waar staan de Certificaat Revocatie Lijsten (CRL's) van de PRODUCTIEOMGEVING van ZOVAR?
  8. Waar vind ik de CA-certificaten van de ZOVAR PRODUCTIEOMGEVING?

  1. Is het mogelijk om ZOVAR-servercertificaten aan te vragen waarmee getest kan worden?

    Leveranciers en ontwikkelaars die het ZOVAR-servercertificaat in hun applicaties willen ondersteunen, kunnen een test-servercertificaat aanvragen. Dit servertificaat wordt vanuit de testomgeving van ZOVAR uitgegeven. De test-servercertificaten hebben daarmee een andere hiërarchie en dus een ander vertrouwensniveau. Technisch zijn ze echter vergelijkbaar met de servercertificaten zoals ZOVAR die vanuit het formele domein uitgeeft.
    Meer informatie vindt u op deze website onder 'Test-servercertificaat'.Naar boven

  2. Als ik een servercertificaat wil aanvragen bij ZOVAR, moet ik zelf een sleutel aanleveren. Hoe werkt dat?

    Een aanvrager moet bij een servercertificaat zelf een sleutelpaar genereren. Op basis van dit sleutelpaar genereert u een PKCS#10 Certificate Signing Request op uw server. Alle gangbare webservers ondersteunen dit. ZOVAR verwijst daarom door naar de documentatie die de leverancier van uw server meelevert.

    Sleutelgeneratie
    ZOVAR ondersteunt alleen servercertificaten die gebruikmaken van een 1024 bits RSA-sleutelpaar.

    Generatie PKCS#10-bestand
    BELANGRIJK: Behalve de publieke sleutel neemt ZOVAR in het uiteindelijke certificaat geen gegevens over uit het PKCS#10-request. Leidend zijn de gegevens die via het registratieformulier worden aangeleverd.
    Tijdens de generatie van een PKCS#10-bestand kunnen allerlei gegevens worden opgegeven zoals:

    • Organisatie (Organization)
    • Organisatieonderdeel (Organization Unit)
    • Land (Country = NL)
    • Staat (State)
    • Plaats (Locality)
    • Naam van de Service (Common Name)

    Hier mogen wel waarden worden ingevuld, maar dat is niet nodig. ZOVAR maakt geen gebruik van deze gegevens. Het is niet toegestaan om speciale karakters (zoals ~ ! @ # $ % ^ & * ( ) _ { } | : " < > ?) te gebruiken in de gegevens van het PKCS#10-bestand, omdat dit tot fouten kan leiden.

    Naar boven

  3. Hoe installeer ik de CA-certificaten op mijn pc?

    Elk ZOVAR test-servercertificaat bevat de volledige CA-hiërarchie van de gebruikerscertificaten.
    Alle CA-certificaten van de TESTOMGEVING van ZOVAR zijn te vinden via ‘Technische service’ op de testomgeving van ZOVAR.
    Voor de CA-certificaten van de testomgeving is geen installatietool beschikbaar. De CA-certificaten moeten dus handmatig worden geïnstalleerd.Naar boven

  4. Hoe kan ik een certificaat van ZOVAR in de directory vinden?

    Dat kan op verschillende manieren. In alle gevallen is het van belang om te weten dat publicatie van certificaten in de directory niet verplicht is. Voor het raadplegen van de directory is een zoekpagina ontwikkeld. Deze is te vinden bij 'Uitgegeven servercertificaten'.

    De zoekpagina is ook rechtstreeks te benaderen via https://www.csp.zovar.nl/ldapsearchzovar/LDAPUserServlet . Deze pagina geeft alleen resultaat als u een specifieke zoekopdracht uitvoert die leidt tot een uniek zoekresultaat van één certificaathouder.
    Verder is de directory te bevragen via het LDAP-protocol (Lightweight Directory Access Protocol, zoekpagina uitgegeven certificaten). Dit protocol is allereerst bedoeld voor het opvragen van certificaten door systemen.Naar boven

  5. Ondersteunt ZOVAR het OCSP-protocol?

    Ja, naast de publicatie van de lijst met ingetrokken certificaten (CRL's) biedt ZOVAR ook certificaat-statusinformatie via OCSP (Online Certificate Status Protocol).
    OCSP-validatie is een online-validatiemethode. Nadat de vertrouwende partij een specifiek verzoek (OCSP-request) heeft gericht aan de OCSP-dienst (OCSP-reponder), stuurt ZOVAR een elektronisch ondertekend bericht (OCSP-bericht). In dat bericht staat de opgevraagde status van het betreffende certificaat. Deze status heeft de volgende waarden: goed, ingetrokken of onbekend. Blijft een OCSP-response om enigerlei reden uit, dan kan daaruit geen conclusie worden getrokken over de status van het certificaat.
    De URL van de OCSP-responder, waarmee de intrekkingstatus van een certificaat gevalideerd kan worden, staat in het AuthorityInfoAccess.uniformResourceIndicator-attribuut van het certificaat.
    Een OCSP-response is altijd door de OCSP-responder verzonden en ondertekend. Een vertrouwende partij moet de handtekening onder de OCSP-response verifiëren met het systeemcertificaat dat wordt meegestuurd in de OCSP-response. Dit systeemcertificaat is verstrekt door de CA die het certificaat heeft uitgegeven waarvan de intrekkingstatus wordt opgevraagd.
    De informatie die via de OCSP wordt verstrekt kan actueler zijn dan de gegevens die via de CRL worden gecommuniceerd. Dit is het geval als een intrekking vóór de reguliere CRL-update heeft plaatsgevonden. (Zie ook: Wat is de publicatiefrequentie van de Certificaat Revocatie Lijsten (CRL's) van ZOVAR?).
    Deze dienst is vrij toegankelijk voor alle vertrouwende partijen die de intrekkingstatus van een certificaat dat is uitgegeven door het ZOVAR willen valideren.Naar boven

  6. Wat is de publicatiefrequentie van de Certificaat Revocatie Lijsten (CRL's) van ZOVAR?

    ZOVAR genereert en publiceert iedere drie uur automatisch een CRL ongeacht het feit of er sinds de voorafgaande publicatie ZOVAR-servercertificaten zijn ingetrokken. Er is een vast tijdschema dat hier is weergegeven:

    • 0.00 uur
    • 3.00 uur
    • 6.00 uur
    • 9.00 uur
    • 12.00 uur
    • 15.00 uur
    • 18.00 uur
    • 21.00 uur

    De genoemde tijden zijn Western European Daylight Time Zone. Na een eventuele storing (systemen tijdelijk down of reboot) worden de CRL's altijd weer gegenereerd volgens dit vaste schema.
    In het 'nextUpdate'-attribuut van de CRL staat dat een CRL 48 uur geldig is. Daarmee garandeert ZOVAR dat binnen 48 uur een nieuwe CRL wordt gepubliceerd. In de praktijk zal dat al na drie uur het geval zijn. Daarmee realiseert ZOVAR een zogenaamde 'CRL-overlap'. De CRL-overlapperiode is de tijd tussen de publicatie van een nieuwe CRL en het verlopen van de voorafgaande CRL. Dus in het geval van ZOVAR is er een 'CRL-overlap' van 45 uur. Uiteraard staat alleen de laatst gegenereerde CRL op de website.
    Zonder CRL-overlap loopt men bij een vertraging in de publicatie een risico. Bij applicaties die de CRL rond het moment van verversing opvragen, bestaat de kans dat de opgehaalde CRL net een paar minuten is verlopen voordat de volgende CRL wordt gepubliceerd.
    Deze informatie is vooral van belang voor applicatieontwikkelaars, omdat de CRL's vaak tijdelijk op servers worden opgeslagen (cache). Zo wordt voorkomen dat voor iedere ZOVAR-certificaatbeheerder die wil inloggen de betreffende CRL moet worden opgehaald.

    Naar boven

  7. Waar staan de Certificaat Revocatie Lijsten (CRL's) van de PRODUCTIEOMGEVING van ZOVAR?

    Voordat een vertrouwende partij op een certificaat kan vertrouwen, moet worden nagegaan of het certificaat op het moment van gebruik geldig was. In veel gevallen zal de applicatie waarin de certificaten worden gebruikt deze controle automatisch uitvoeren.

    Deze controle kan echter ook handmatig worden uitgevoerd. U kunt hiervoor terecht op de intrekkingslijst met ongeldig verklaarde certificaten (de zogenaamde Certificate Revocation List, kortweg CRL). De ingetrokken certificaten zijn ingedeeld naar pastype.
    Via de hyperlinks in de tabel onder 'geldigheid certificaten' is altijd de meest actuele CRL te vinden.Naar boven

  8. Waar vind ik de CA-certificaten van de ZOVAR PRODUCTIEOMGEVING?

    Elk ZOVAR test-servercertificaat bevat de volledige CA-hiërarchie van de gebruikerscertificaten.
    De stamcertificaten en het domeincertificaat zijn beschikbaar op http://www.pki-overheid.nl . Rechtsboven klikt u op 'download stamcertificaat'. Daar vindt u alle informatie over het installeren en downloaden van het stamcertificaat.
    De CSP- en CA-certificaten van ZOVAR, evenals een nadere toelichting, zijn te vinden op deze website onder 'Hiërarchie'.
    submenu:
    Aanvragen
    Abonnee
    Algemeen
    Juridisch
    Omgaan met ZOVAR-servercertificaat
    TechnischNaar boven
ZOVAR