PKIoverheid servercertificaat

Wat doen SSL-(server)certificaten?

Door SSL-certificaten op uw server te installeren, biedt u uw bezoekers een veilige online (transactie)omgeving. SSL-certificaten zorgen voor:

• authenticatie: zekerheid over de identiteit van de website

• encryptie: versleutelen van communicatiegegevens zodat ze voor derden onleesbaar verzonden worden

Toepassingen SSL-certificaten

• Beveiligen digitale loketten, andere internetdiensten en webshops

• Beveiligen server-to-serververkeer, bijvoorbeeld tussen webservers en e-mailservers

Voordelen

• SSL-certificaten van KPN zijn compatible met alle gangbare webbrowsers

• De PKIoverheid is de standaard voor het beveiligen van elektronische communicatie door en met de overheid

• Veilig imago als gevolg van de hoge beveiligingsnorm van de PKIoverheid

• PKIoverheid certificaten hebben een geldigheidsduur van drie jaar, waardoor jaarlijkse vervangingskosten worden vermeden.

 

Aanvragen, vernieuwen of vervangen

Als nieuwe abonnee moet u zich eenmalig registreren als abonnee van de certificatiedienstverlening van KPN. Dit geldt ook voor mogelijke contactpersonen die binnen uw organisatie gemachtigd zijn om certificaten aan te vragen.

1. Eenmalige abonneeregistratie

Start KPN PKIoverheid abonneeregistratie

De registratie bestaat uit de volgende stappen:

• Vul alle vereiste gegevens in via het web-formulier. Dit resulteert in een PDF document.

• Print het PDF formulier op blanco A4 papier;

• Laat de Bevoegd Vertegenwoordiger het formulier ondertekenen;

• Voeg kopieën toe van de Wettelijke Identiteitsdocumenten (bijvoorbeeld Paspoort, Rijbewijs of Identiteitskaart) van de Bevoegd Vertegenwoordiger en eventuele gevolmachtigde contactpersonen. Elke kopie Identiteitsbewijs dient op een aparte bijlage in A-4 formaat te zijn gemaakt. Het Identiteitsdocument dient nog minimaal één maand geldig te zijn;

Stuur het formulier en de bijlage(n) op naar:

KPN B.V.
Ter attentie van Afdeling Validatie
Postbus 1082
7301BH Apeldoorn

Een uitgebreide toelichting en invulinstructie vindt u hier: KPN PKIoverheid Toelichting abonneeregistratie

 

2. Aanvragen, vernieuwen of vervangen certificaten

De aanvraag van een servercertificaat bestaat uit de volgende stappen:

• Genereer een Certificate Signing Request (CSR) op uw server door uw certificaatbeheerder. Meer informatie over hoe u dat doet leest u hier.

• Vul alle vereiste gegevens inclusief de CSR in via het web-formulier. U dient daarbij ook een nieuwe of reeds geregistreerde certificaatbeheerder op te geven.

Start aanvraag KPN PKIoverheid servercertificaat

• Dit resulteert in een PDF document. Print het PDF formulier op blanco A4 papier;

• De contactpersoon die op het formulier staat dient het formulier te ondertekenen;

• Stuur het formulier (en de bijlage) op naar:

KPN B.V.
Ter attentie van Afdeling Validatie
Postbus 1082
7301BH Apeldoorn

Een uitgebreide toelichting en invulinstructie vindt u hier: KPN PKIoverheid Toelichting servercertificaataanvraag

 

3. Eenmalige identificatie certificaatbeheerder

Als de bij de certificaataanvraag opgegeven certificaatbeheerder nog niet als certificaatbeheerder is geregistreerd, dan dient u de gegevens van de nieuwe certificaatbeheerder in het web-formulier voor de certificaataanvraag op te geven. KPN zal contact opnemen met de certificaatbeheerder ten behoeve van persoonlijke identificatie. De certificaatbeheerder kan zelf bepalen, waar, wanneer en hoe laat deze identificatie plaatsvindt. Dit is geheel kosteloos. De certificaatbeheerder ontvangt een nieuw registratienummer dat u bij volgende aanvragen kunt gebruiken. Nadat de identificatie heeft plaatsgevonden zal uw aanvraag verder behandeld worden.

 

Productkenmerken

Beveiligingstechnologie 
Per 1 januari 2011 zijn alle nieuwe PKIoverheid-certificaten standaard voorzien van de SHA256-technologie en een 2048 bits sleutellengte. LET OP: Het is alleen mogelijk om certificaten aan te vragen op basis van een CSR met een minimale sleutellengte van 2048-bits. Kies minimaal deze sleutellengte bij het genereren van uw CSR.

Geldigheid  3 jaar

Vervangingsvoorwaarden
Indien een certificaat in defecte staat wordt geleverd, zal KPN deze kosteloos vervangen. De klant is verantwoordelijk voor het zorgvuldig bewaren van het sleutelpaar die tijdens het aanvraag proces (de aanmaak van het zogenaamde CSR) wordt gegenereerd. Indien een uitgegeven certificaat of het behorende sleutelpaar defect raakt, zal KPN deze vervangen door een nieuw certificaat met gelijke looptijd. In andere gevallen als bovenstaand vermeld, waarin een bestaande certificaat voor het einde van de geldigheid vervangen moet worden door een zelfde certificaat, zal KPN bekijken of het vervangingstarief wordt toegepast of dat de normale list prijs berekend zal worden.

Hieronder staan enkele voorbeelden van situaties waarbij het vervangingstarief niet toegepast zal worden. Dit betreft het kwijtraken van sleutels/CSR/Certificaat op een systeem bij:
• Update van het systeem waarop sleutels/CSR/Certificaat is geplaatst;
• Crash van het systeem waarop sleutels/CSR/Certificaat is geplaatst;
• Overgang naar een nieuw systeem;
U dient over een beveiligde back-up van uw certificaat met sleutelpaar te beschikken om in bovenstaande situaties uw certificaat te kunnen blijven gebruiken.

Voorwaarde voor het verkrijgen van het vervangingstarief is dat het oude certificaat is ingetrokken.
Voor een vervangingscertificaat wordt het volgende tarief in rekening gebracht.

Tijdstip van vervanging na levering
Tussen 0 en 12 maanden
Tussen 12 en 24 maanden
Tussen 24 en 36 maanden
Prijs vervangend certificaat
33% aanschafwaarde
66% aanschafwaarde
100% aanschafwaarde

 

Intrekken

1. Wanneer een certificaat intrekken?

Intrekken van een SSL-certificaat is gratis. In de volgende situaties is het vereist om uw SSL-certificaat zo snel mogelijk in te trekken:

• Uw privésleutel (private key) is corrupt (bijvoorbeeld beschadigd of geïnfecteerd)

• Uw privésleutel is gecompromitteerd (niet meer geheim)

• U weet het wachtwoord of de PIN-code van uw privésleutel niet meer

• Uw privésleutel is verloren geraakt bij het upgraden of crashen van de server

• Bij installatie is er een ‘private key mismatch’

• Bij installatie is er geen ‘pending request’ in de server

• Bij installatie blijkt dat er een certificaat voor een onjuiste CN-naam (Common Name) is aangevraagd

• Uw certificaat bevat onjuiste informatie

• Uw certificaat werkt niet goed

 

2. Procedure intrekken

Lees meer over hoe u een certificaat kunt intrekken.