Aanvragen certSIGN OV servercertificaat

Het aanvragen, vernieuwen of vervangen van een certSIGN OV servercertificaat bestaat uit de volgende stappen.

Voorbereiding

  • U kunt een certSIGN servercertificaat aanvragen nadat uw organisatie als abonnee is geregistreerd voor de PKI dienstverlening van KPN.
    BELANGRIJK: indien uw organisatie nog geen abonnee is, dient u eerst (eenmalig) de abonneeregistratie uit te voeren.
  • Genereer een Certificate Signing Request (CSR) op uw server door uw Certificaatbeheerder;
    LET OP! De CSR dient alle velden te bevatten welke in het certificaat worden opgenomen. Dit betreft de velden CN, O, L, ST, C.
  • U heeft een domeinnaam om op te laten nemen in het Servercertificaat.

Ondersteuning

  • Het certSIGN Root CA G2 certificaat is op de meeste systemen al standaard aanwezig
  • Voor Apple devices is dit vanaf versie iOS 16 en macOS 13 (Ventura), en voor Android devices is dit vanaf versie 12 (Snow Cone)

Invullen webformulier

  • Vul alle vereiste gegevens inclusief de CSR in via het web-formulier. U dient daarbij ook een nieuwe of reeds geregistreerde certificaatbeheerder op te geven.

Start aanvraag certSIGN OV servercertificaat bij KPN

Een uitgebreide toelichting en invulinstructie voor het aanvraagformulier vindt u hier: Toelichting certSIGN servercertificaataanvraag

Ondertekenen en indienen aanvraagformulier

  • Het webformulier resulteert in een PDF document. Deze dient de contactpersoon te ondertekenen en in te dienen. Hiervoor zijn 3 opties:
Optie 1: direct bestellen via MijnCertificaten

Indien uw organisatie meerdere servercertificaten in beheer heeft, is het aanvragen en verlengen een stuk eenvoudiger uit te voeren door gebruik te maken van MijnCertificaten.
Optie 2: aanvraag elektronisch ondertekenen en indienen

Indien u als contactpersoon beschikt over een rechtsgeldige elektronische handtekening kunt u de aanvraag elektronisch ondertekenen en per e-mail indienen. De werkwijze is als volgt: de contactpersoon die op het formulier staat, dient het formulier elektronisch te ondertekenen. Dit dient te gebeuren met een PKIoverheid persoonlijk certificaat dat op naam van de Contactpersoon staat.

Het ondertekenen is eenvoudig uit te voeren in de meest actuele versie van de Adobe Reader. Uitleg over het elektronisch ondertekenen staat in PKIoverheid Toelichting elektronisch ondertekenen aanvraagformulier.

Een alternatief is een elektronisch ondertekende e-mail met het PDF aanvraagformulier als bijlage. U ontvangt als contactpersoon per e-mail het PDF formulier. Deze e-mail kunt u doorsturen naar pkivalidation@kpn.com en daarbij dient u deze e-mail elektronisch te ondertekenen. Dit kan standaard met gangbare e-mailprogramma’s zoals Microsoft Outlook of Mozilla Thunderbird.

Optie 3: aanvraag op papier per post indienen

  1. Druk het PDF formulier af op blanco A4 papier;
  2. De contactpersoon die op het formulier staat dient het formulier te ondertekenen;
  3. Stuur het formulier op naar:

KPN B.V.
Ter attentie van PKI-Validatie
Postbus 9105
7300 HN APELDOORN

Eenmalige identificatie certificaatbeheerder

Als de bij de certificaataanvraag opgegeven Certificaatbeheerder nog niet als certificaatbeheerder is geregistreerd, dan dient u de gegevens van de nieuwe Certificaatbeheerder in het web-formulier voor de certificaataanvraag op te geven. KPN zal contact opnemen met de Certificaatbeheerder ten behoeve van persoonlijke identificatie. De Certificaatbeheerder kan zelf plaats en tijdstip van identificatie bepalen. Identificatie is geheel kosteloos op een willekeurige locatie in Nederland, uitgezonderd de Waddeneilanden. De Certificaatbeheerder ontvangt een registratienummer dat u bij volgende aanvragen kunt gebruiken.

Domeincontrole

Één van de controles die certSIGN uitvoert voor de uitgifte van een servercertificaat, is het vaststellen dat de aanvrager daadwerkelijk controle heeft over de Naam van de service (FQDN) die in de aanvraag is opgenomen. Deze controle heet ˋdomein controleˊ. certSIGN neemt per e-mail contact met u op om deze controle uit te voeren. Dit is uitgebreid toegelicht op de pagina Domein Controle

Productie en uitgifte

Nadat de identificatie heeft plaatsgevonden zal uw aanvraag verder behandeld worden. Na succesvolle controles van alle gegevens maakt certSIGN het Servercertificaat aan en stuurt KPN dit per e-mail naar de Certificaatbeheerder met een kopie naar de Contactpersoon die de aanvraag doet. KPN gebruikt hiervoor het e-mailadres dat de contactpersoon opgeeft bij de registratie van de Certificaatbeheerder. De bijbehorende intrekcode wordt per brief verstuurd aan de certificaatbeheerder.

Het certificaat wordt doorgaans binnen 5 werkdagen geleverd.

Installatie

Voor de correcte werking van een servercertificaat is het noodzakelijk dat ook de juiste CA certificaten zijn geïnstalleerd. De vereiste CA certificaten en een installatiehandleiding vindt u hier.

Facturatie

KPN heeft de financiële administratie rondom de PKI certificaten uitbesteed aan Cannock. U kunt uw facturatiegegevens opgeven tijdens de abonneeregistratie o.a. wel/geen automatische incasso, de tenaamstelling van de factuur en een factuuradres. Per aanvraag kunt u in het formulier een Purchase Order (PO nummer) opgeven. Dit zal dan op de factuur vermeld worden.

Bankgegevens Cannock

Bank ING
IBAN NL15 INGB 0652 9849 32
Rekeninghouder Stichting beheer derdengelden Cannock
Adres Postbus 103, 6650 AC  DRUTEN

Intrekken

In sommige gevallen is het noodzakelijk om een certificaat in te trekken voor het einde van de geldigheidsduur. Lees meer over hoe u een certificaat kunt intrekken en wanneer dit vereist is.

Vernieuwen of vervangen

Het niet tijdig vernieuwen van een certificaat kan leiden tot onbeschikbaarheid van de service of website waarvoor het servercertificaat in gebruik is. Daarom is tijdige vervanging van groot belang. Het proces voor vernieuwing van een certificaat is gelijk aan een initiële aanvraag. Uiteraard is abonneeregistratie niet meer nodig en zal er geen identificatie van de Certificaatbeheerder plaatsvinden indien deze al eerder is geïdentificeerd.

Uiterlijk 4 weken voor de geldigheidsduur van een certificaat verstreken is, ontvangen de Certificaatbeheerder en de Contactpersonen een e-mail om te attenderen op het naderende verloop van het certificaat. In deze e-mail zit ook een link waarmee het aanvraagformulier start en waarin al de publieke informatie van het certificaat is opgenomen. Indien nodig volgt er twee weken later nog een herinnerings e-mail.

Indien u gebruik maakt van MijnCertificaten is vernieuwing van certificaten zeer eenvoudig. Dit is zeker te overwegen als uw organisatie meerdere certificaten in gebruik heeft.