PKIoverheid Private servercertificaat
Wat doen Private servercertificaten?
Steeds vaker wisselen systemen (servers) onderling volledig geautomatiseerd informatie uit. Om dit veilig te doen, dienen beide systemen te zijn voorzien van een servercertificaat. Deze systemen worden niet direct door gebruikers benaderd (bijvoorbeeld met een web-browser). Private servercertificaten zorgen in dergelijke situaties voor:
- authenticatie: zekerheid over de identiteit van de servers die informatie uitwisselen;
- encryptie: versleutelen van communicatiegegevens zodat ze voor derden onleesbaar verzonden worden.
Private servercertificaten voor besloten gebruikersgroepen
De Staat der Nederlanden Private Root CA – G1 wordt NIET publiekelijk vertrouwd door browsers en andere applicaties.
KPN geeft Private servercertificaten uit onder de ˋStaat der Nederlanden Private Root CA – G1ˊ. Dit stamcertificaat is onderdeel van het centrale deel van de hiërarchie van de PKI voor de overheid. Het stamcertificaat is het ankerpunt voor vertrouwen in elektronische transacties binnen een besloten gebruikersgroep. Vertrouwen wordt ontleend aan het feit dat dit stamcertificaat is uitgegeven door de Staat der Nederlanden en is gepubliceerd in de Staatscourant.
Alle deelnemende partijen dienen dit certificaat handmatig te installeren en te vertrouwen. Daarom zijn Private servercertificaten bedoeld voor systeem-systeem koppelingen in besloten gebruikersgroepen in tegenstelling tot publiek vertrouwde servercertifcaten waarbij het stamcertificaat automatische vertrouwd wordt door de belangrijke operating systemen (zoals Windows, macOS, Linux, Android en iOS) en browsers (bijv. Mozilla FireFox).
De installatie en distributie van het stamcertificaat is toegelicht in de installatie handleiding.
Toepassingen Private servercertificaten
Technisch zijn de certificaten voor dezelfde toepassingen bruikbaar als gewone servercertificaten. Zoals hierboven aangegeven zijn Private servercertificaten bedoeld voor toepassing in besloten gebruikersgroepen (bijvoorbeeld EDSN). Daarom liggen de volgende toepassingen van Private servercertificaten het meest voor de hand:
- Beveiligen server-to-serververkeer, bijvoorbeeld tussen webservers en database server of e-mailservers;
- Private servercertificaten van KPN zijn technisch compatible met alle gangbare webbrowsers en webservers en zijn in een besloten gebruikersgroep ook te gebruiken voor beveiliging van websites (bijv. een intranet site). Randvoorwaarde is dat dan het Private Root certificaat op alle client systemen is geïnstalleerd.
Voordelen
- PKIoverheid is de standaard voor het beveiligen van elektronische communicatie. Private servercertificaten voldoen aan deze standaard;
- Betrouwbaarheid als gevolg van de hoge beveiligingsnorm van de PKIoverheid die ook voor Private servercertificaten geldt;
- Bij private servercertificaten kunt u kiezen voor een geldigheidsduur van twee of drie jaar, waardoor er minder vervangingskosten en werkzaamheden zijn dan bij eenjarige publiek vertrouwde servercertificaten;
- Betere privacy omdat domeinnamen niet gelogd worden in het kader van Certificate Transparancy.
Tarieven
De actuele tarieven van Private Servercertificaten vindt u in de prijslijst
Aanvragen Private servercertificaat
Aanvragen PKIoverheid PRIVATE servercertificaat bij KPN
Productkenmerken
Beveiligingstechnologie
Alle PKIoverheid Private servercertificaten zijn standaard voorzien van de SHA256-technologie en een 2048 of 4096 bits RSA sleutel. LET OP: Het is alleen mogelijk om Private servercertificaten aan te vragen op basis van een CSR met een sleutellengte van 2048 of 4096 bits RSA. Kies één van deze sleutellengtes bij het genereren van uw CSR.
Geldigheid 2 of 3 jaar naar keuze.
Indien een certificaat in defecte staat wordt geleverd of tijdens de looptijd defect raakt, zal KPN dit kosteloos vervangen door een nieuw certificaat met gelijke verloopdatum. In andere gevallen, waarin het bestaande certificaat voor het einde van de geldigheid vervangen moet worden door eenzelfde certificaat, zal KPN bekijken of het vervangingstarief wordt toegepast of dat het standaardtarief berekend zal worden.
De klant is verantwoordelijk voor het zorgvuldig bewaren van het sleutelpaar dat tijdens het aanvraag proces (de aanmaak van het CSR) wordt gegenereerd. Hieronder staan enkele voorbeelden van situaties die kunnen leiden tot de vroegtijdige vervanging van een certificaat en waarin altijd het standaardtarief in rekening gebracht wordt:
- Update van het systeem waarop sleutels/CSR/Certificaat is geplaatst;
- Crash van het systeem waarop sleutels/CSR/Certificaat is geplaatst;
- Overgang naar een nieuw systeem.
U dient zelf over een beveiligde back-up van uw certificaat met sleutelpaar te beschikken om in bovenstaande situaties uw bestaande certificaat te kunnen blijven gebruiken.
Voorwaarde voor het verkrijgen van het vervangingstarief is dat het oude certificaat is ingetrokken.
Bij een geldigheidsperiode van 2 jaar is het vervangingstarief:
Tijdstip van vervanging na levering | Prijs vervangend certificaat |
---|---|
Tussen 0 en 12 maanden | 50% aanschafwaarde |
Tussen 12 en 24 maanden | 100% aanschafwaarde |
Bij een geldigheidsperiode van 3 jaar is het vervangingstarief:
Tijdstip van vervanging na levering | Prijs vervangend certificaat |
---|---|
Tussen 0 en 12 maanden | 33% aanschafwaarde |
Tussen 12 en 24 maanden | 66% aanschafwaarde |
Tussen 24 en 36 maanden | 100% aanschafwaarde |
Meer informatie vindt u in het KPN PKIoverheid Certification Practice Statement of neem contact op met de Servicedesk