Certificaten

Waarom heb ik een PKIoverheid services certificaat nodig?

De berichten die u als accountant of administrateur naar Digipoort verzendt, zijn privacygevoelig: ze bevatten immers financiële gegevens van uw klanten. Voor het uitwisselen van berichten wordt een beveiligde verbinding opgezet. Hierbij gebruikt u een PKIoverheid services certificaat. Alle informatie wordt versleuteld verstuurd, en alleen de uitvragende partij heeft de sleutel om uw bericht te lezen. De identificatie en authenticatie is hiermee geborgd.  PKIoverheid services certificaten hebben daarom een hoog zekerheidsniveau.

Moet ik als intermediair over een eigen PKIoverheid services certificaat beschikken?

U moet de aangiftes IB en VpB met behulp van een PKIoverheid services certificaat versturen naar Digipoort. Mogelijk kunt u ook gebruik maken van een verzamelcertificaat. Partijen die alleen maar een beperkt aantal aangiften insturen, kunnen daarvan gebruik maken. Voor het verkrijgen van SBA's heeft u een eigen certificaat nodig.

Welk certificaat moet ik gebruiken voor de aanlevering aan de bank?

Dit is hetzelfde PKIoverheids services certificaat dat u ook moet gebruiken voor aanlevering aan Digipoort. Meer informatie over aanlevering aan de Bancaire Infrastructurele Voorziening ( BIV) is te vinden op http://www.sbrbanken.nl.

Kunnen er vreemde tekens worden opgenomen in organisatienaam in het certificaat?

Ja, vanuit het Programma van Eisen van PKIoverheid is er geen beperking op vreemde tekens en zou iedere naam vanuit Nederlands Handelsregister in het certificaat passen.

Wie moet ik aanwijzen als certificaatbeheerder?

Het staat u vrij om een certificaatbeheerder aan te wijzen. Vrij gebruikelijk is dat deze rol wordt belegd bij de IT- of security-beheerder. Als u niet zelf uw IT beheert en hiervoor een externe partij heeft, zal deze daarmee logischerwijs ook de certificaatbeheerder kunnen zijn.

Wie moet face-2-face verschijnen, de abonnee of certificaatbeheerder?

De certificaatbeheerder moet face-2-face verschijnen. De abonnee hoeft niet per se. De certificaatleveranciers gaan met de controle van de abonnee verschillend om.

Heb ik een Kamer van Koophandel-nummer nodig of heb ik genoeg aan mijn Becon-nummer?

U hebt een inschrijving in het handsregister nodig. Er wordt bij de aanvraag van het PKIoverheid services certificaat niets gedaan met uw BECON-nummer. Op basis van de OIN-systematiek wordt vanuit het handelsregister het RSIN- of KVK-nummer opgenomen in het certificaat en ziet de uitvragende partij welke intermediair u bent.

Moet ik per BECON-nummer een certificaat aanvragen?

Dit is niet nodig. Er wordt bij de aanvraag van het PKIoverheid services certificaat niets gedaan met uw BECON-nummer. Op basis van uw OIN (handelregisternummer) ziet de uitvragende partij welke intermediair u bent.

Maar 'hoeveel certificaten moet ik aanschaffen als er meerdere BECON-nummers in de organisatie zijn', is ook een veelgestelde vraag. Afhankelijk van de eigen interne organisatie kunt u insturen met 1 certificaat. In het kader van de SBA's moet worden bepaald wat wenselijk is, aangezien de klant een bericht krijgt van de geregistreerde machtiging.

Ons kantoor gaat van rechtsvorm wijzigen. Als we een PKIoverheidcertificaat aanvragen, is het dan nodig om daarop iets te wijzigen?

De naam / rechtsvorm van een organisatie wordt gecontroleerd op het moment van abonneeregistratie. Belangrijker is het te kijken naar de inschrijving in het Handelsregister. Als de verandering van rechtsvorm leidt tot een ander nummer (RSIN / KVK-nr) dan heeft nu aanvragen geen nut, want dan moet er een ander certificaat komen voor ondermeer het verkrijgen van SBA's (voorheen EKA). Abonneeregistratie kan vermoedelijk al wel worden gestart op onderdelen, maar vermeldt wel de aanstaande wijziging (bijvoorbeeld van maatschap naar BV).

Moet ik een server hebben om een PKIoverheid services certificaat te kunnen krijgen?

Nee, een PKIoverheid services certificaat is de benaming die technisch wordt gegeven aan het certificaat. Het is echter een service certificaat. Sowieso kan een PKI certificaat ongeacht benaming in iedere omgeving worden gebruikt.

Is het mogelijk om een PKIoverheid services certificaat te installeren op meerdere verzendservers?

In principe is het mogelijk een certificaat op meerdere verzendservers te gebruiken. Ze moeten dan wel deel uitmaken van de 'veilige' omgeving. Afhankelijk van de architectuur van de verzendserver moet de FQDN (Fully Qualified Domain Name) opgenomen in het certificaat, wel onderdeel zijn van de technische omgeving.

Wat betekent een 'veilige' omgeving?

Een certificaat moet worden gebruikt in een 'veilige' omgeving. Deze 'veilige' omgeving moet ervoor zorgen dat het praktisch onmogelijk is de sleutels ongemerkt te stelen of te kopiëren. U dient bij de registratie bij de certificaatleverancier schriftelijk te verklaren dat er maatregelen zijn getroffen die hieraan voldoen. In de overeenkomst tussen u en de certificaatleverancier wordt opgenomen dat deze het recht heeft een controle uit te voeren naar de getroffen maatregelen. De taak om te controleren of een PKIoverheid services certificaat in een 'veilige' omgeving staat en / of op meerdere systemen is geïnstalleerd ligt bij de certificaatleverancier (CSP), zoals ook opgenomen is in de Programma van Eisen PKIoverheid.

Moet het FQDN verwijzen naar de server / service waarop de processen ook daadwerkelijk draaien?

Nee, in het PKIoverheid stelsel staat opgenomen dat het een geldige verwijzing in het DNS moet zijn, niet dat het naar een specifieke locatie wijst. Technisch gezien wordt het FQDN alleen op moment van uitgifte van het certificaat gecontroleerd.

De aanvrager van een PKIoverheid services certificaat moet kunnen beschikken over een domein; is een subdomein ook toegestaan?

Ja. In het FQDN moet een controleerbaar domein zijn opgenomen die is geregistreerd bij SIDN. Bijvoorbeeld sbr-nl.nl. Het opnemen van een hostname als bijvoorbeeld jansenacc in combinatie met de domeinnaam inclusief de top level (in dit voorbeeld sbr-nl.nl) is toegestaan. Er mogen zelfs meerdere FQDN's in het certificaat worden opgenomen. Deze FQDN's moeten wel uit dezelfde domeinnaam range komen. In het voorbeeld betekent dit dat naast jansenacc.sbr-nl.nl ook pietersenacc.sbr-nl.nl, devriesacc.sbr-nl.nl, klaassenacc.sbr-nl.nl etc. etc. mogen worden opgenomen.

Ik heb geen eigen domein. Is dat vereist om een certificaat te kunnen krijgen?

Nee, een abonnee moet formeel gerechtigd zijn om een domein te gebruiken. Dit kan dus een eigen domein zijn, maar zou ook een (sub)domein van een derde kunnen zijn, mist er dan maar een verklaring is dat het gebruikt mag worden. De certificaatleveranciers  hebben hierover ook meer informatie

Is het mogelijk om meerdere certificaten aan te schaffen met hetzelfde OIN?

Ja, dit is mogelijk. Het OIN is een identificerend nummer en kan vaker gebruikt worden. Een organisatie kan meerdere services / servers hebben die het wil laten identificeren en dan is het natuurlijk mogelijk om dit vanuit hetzelfde OIN (= identificerend organisatienummer uit het Handelsregister) te doen.

Moet ik zelf sleutels aanmaken of doet de CSP dit?

De certificaatbeheerder heeft de keuze uit twee certificaattypen, te weten PKCS#10 en PKCS#12. Welk certificaat het beste bij u past hangt af van uw organisatie en uw eigen wensen op dit gebied. Bij PKCS#10 maakt u zelf de sleutels en bent alleen u in bezit van de privé sleutel. Bij een PKCS#12 zal de CSP de sleutels genereren en deze aan u overdragen.

Mijn softwareleverancier vraagt om een PKCS#12. Mijn CSP levert dit ogenschijnlijk niet. Hoe kan dit?

Softwareleveranciers hebben vrijheid in hetgeen zij communiceren. Voor een aantal pakketten (bijvoorbeeld SaaS-oplossingen) is het ook noodzakelijk dat er een PKCS#12 wordt aangeleverd. Indien de CSP direct een PKCS#12 levert kan deze direct worden gebruikt. Indien de CSP alleen een PKCS#10 verwerkt, zal de CSP behulpzaam zijn bij het omzetten naar het juiste formaat. Ongeacht het gevraagde formaat vanuit een software pakket kan dit dus bij iedere CSP worden verkregen (direct of via een eigen conversie).

Is er (beveiligings) technisch een verschil in PKCS#10 en PKCS#12 en hoe is dit te zien?

Het verschil tussen PkCS#10 en PkCS#12 zit in de manier van aanvragen. Bij PKCS#10 heeft u zelf eigen sleutelmateriaal gegenereerd, bij PKCS#12 krijgt u het sleutelmateriaal van de CSP. Beide mogelijkheden zijn toegestaan binnen het PKIoverheidstelsel en bieden dezelfde betrouwbaarheid.

Zijn er kosten verbonden aan het omzetten naar PKCS#12?

Nee, in principe niet. Indien het noodzakelijk is om een certificaat om te zetten naar een ander formaat, zijn hier diverse (gratis) standaard toolsvoor beschikbaar. Ook ondersteunen sommige CSP’s dit proces met hulpmiddelen.

Ik hoorde laatst de term 'beroepscertificaat'. Wat is dit?

Met het beroepscertificaat van de Nederlandse Beroepsorganisatie van Accountants (NBA) kan de accountant in het elektronisch verkeer verklaringen en assurance-rapporten ondertekenen. Het beroepscertificaat is een persoonsgebonden PKIoverheid certificaat voor gekwalificeerde elektronische handtekeningen, waarin ook de inschrijving in het AA- of RA-register en de naam van het kantoor van de accountant is opgenomen. Een organisatie die een verklaring of rapport vraagt (publiek of privaat, toezichthouder, dienstverlener etc.) kan het gebruik van het beroepscertificaat voorschrijven. Bij het SBR berichtenverkeer via Digipoort is gebruik van een beroepscertificaat momenteel niet mogelijk. Lees de toelichting in de bijlage.

Kan een buitenlandse organisatie die niet in het Nederlands Handelsregister staat een PKIoverheid certificaat voor SBR krijgen?

Ja, dit kan. Neem hiervoor contact op met uw CSP . De volgende info/documenten moeten dan worden opgevraagd en beoordeeld bij Buitenlandse partijen:

  • een inschrijvingsbewijs van de 'Kamer van Koophandel' zoals van toepassing in dat specifieke land én
  • bij Dun & Bradstreet (http://dbnetherlands.dnb.com/Dutch/Main/default.asp) moet worden nagegaan of het bedrijf bestaat, de naam van de organisatie overeenkomt met de naam opgegeven bij de aanvraag en of het bedrijf nog actief is én
  • verder zijn alle overige eisen uit het PKIoverheid PvE (Programma van Eisen) onverkort van toepassing. Dit betekent o.a. dat er een face-to-face identificatie moet plaatsvinden met de certificaathouder dan wel de certificaatbeheerder en, indien van toepassing, dat de domeinnaam aanwezig moet zijn op en moet worden gecontroleerd bij een WHOis dienst (b.v. http://whois.arin.net/ui of http://www.iana.org/cgi-bin/whois).

Voor buitenlandse organisaties wordt er in afwachting van een sluitende nummersystematiek, geen identificerend nummer (OIN) door de CSP in het certificaat voor SBR opgenomen.

In geval een buitenlandse organisatie gebruik wil maken van SBA’s, zal contact moeten worden opgenomen met de servicedesk van Digipoort om dit mogelijk te maken.