Certificaten

Wat is een PKIoverheid services certificaat?

Een certificaat is te vergelijken met de functie van het paspoort. Wanneer er in het kader van SBR gesproken wordt over een certificaat bedoelt men een PKIoverheid services certificaat. PKI staat voor Public Key Infrastructure: betrouwbare elektronische communicatie (bijvoorbeeld binnen en met de Nederlandse overheid). Het certificaat dient om een bestand te voorzien van een digitale handtekening en het leggen van een veilige verbinding met Digipoort.

Waarom heb ik een PKIoverheid services certificaat nodig?

De berichten die u als accountant of administrateur naar Digipoort verzendt, zijn privacygevoelig: ze bevatten immers financiële gegevens van uw klanten. Voor het uitwisselen van berichten wordt een beveiligde verbinding opgezet. Hierbij gebruikt u een PKIoverheid services certificaat. Alle informatie wordt versleuteld verstuurd, en alleen de uitvragende partij heeft de sleutel om uw bericht te lezen. De identificatie en authenticatie is hiermee geborgd.  PKIoverheid services certificaten hebben daarom een hoog zekerheidsniveau.

Moet ik als intermediair over een eigen PKIoverheid services certificaat beschikken?

U moet de aangiftes IB en VpB met behulp van een PKIoverheid services certificaat versturen naar Digipoort. Mogelijk kunt u ook gebruik maken van een verzamelcertificaat. Partijen die alleen maar een beperkt aantal aangiften insturen, kunnen daarvan gebruik maken. Voor het verkrijgen van SBA's heeft u een eigen certificaat nodig.

Kan ik voor aanlevering via SBR gebruik maken van een verzamelcertificaat?

Een verzamelcertificaat is een certificaat waarmee meerdere aanleveraars SBR-rapportages versturen naar Digipoort. Er zijn enkele softwareleveranciers die hun klanten de mogelijkheid bieden om met hun certificaat (dus die van de leverancier) de SBR-rapportages te versturen naar Digipoort. Dit betekent dat u zelf geen PKIoverheid services certificaat hoeft aan te schaffen maar de kanttekening is dat u geen SBA's kunt ontvangen.

Het is dus mogelijk om met een verzamelcertificaat aan te leveren. Maar wanneer u SBA's (Service Bericht Aanslag, opvolger van de EKA) wenst te ontvangen, dient u te beschikken over een eigen PKIoverheid services certificaat.

Er zijn verschillende PKIoverheid certificaten, welke heb ik nodig?

U moet specifiek een PKIoverheid services (type server) certificaat aanschaffen. Andere PKI certificaten of andere PKIoverheidcertificaten die het kenmerk PKIoverheid hebben (zoals beroepscertificaten) zijn niet geschikt voor verzending van aangiften als gevolg van het ontbreken van het OIN.

Welk certificaat moet ik gebruiken voor de aanlevering aan de bank?

Dit is hetzelfde PKIoverheids services certificaat dat u ook moet gebruiken voor aanlevering aan Digipoort. Meer informatie over aanlevering aan de Bancaire Infrastructurele Voorziening ( BIV) is te vinden op http://www.sbrbanken.nl.

Waar kan ik een PKIoverheid services certificaat aanvragen?

U bent wellicht gewend om een certificaat aan te vragen via uw software. Een PKIoverheid services certificaat kan echter niet via software worden aangevraagd. PKIoverheid services certificaten worden alleen uitgegeven door organisaties die hiervoor zijn gecertificeerd: de Certification Service Provider. Het certificaat kan bij één van de vier volgende CSP's worden aangevraagd:

Wie doet wat? Uw CSP levert alle support voor het certificaat (inclusief aanvraag, sleutelgeneratie, installatie). De softwareleverancier levert de support voor het gebruik van het certificaat (dus het koppelen van het certificaat in de software).

Waarom is het PKIoverheid services certificaat zo duur in vergelijking met andere certificaten?

Het leveren van de certificaten is overgelaten aan commerciële partijen die zelf hiervoor hun prijs / markt bepalen. Belangrijke verschillen tussen PKIoverheidcertificaten en andere (buitenlandse) certificaten zitten veelal wel in het betrouwbaarheidsniveau van de uitgifte van de certificaten en de wijze waarop het toezicht is georganiseerd. Bij PKIoverheidcertificaten zijn er allerlei waarborgen opgenomen in het uitgifteproces die door mensen uitgevoerd moeten worden (bijvoorbeeld de face-to-face controle). Hetzelfde geldt voor de audits die in het kader van PKIoverheid verplicht zijn. Deze door mensen uitgevoerde handelingen zijn veelal niet van toepassing bij andere commerciële certificaten, die derhalve goedkoper zijn. Hoewel het technisch gezien dus identieke certificaten kunnen zijn, zitten de verschillen veelal in de betrouwbaarheid van het uitgifte proces en het toezicht.

Kunnen er vreemde tekens worden opgenomen in organisatienaam in het certificaat?

Ja, vanuit het Programma van Eisen van PKIoverheid is er geen beperking op vreemde tekens en zou iedere naam vanuit Nederlands Handelsregister in het certificaat passen.

Wat betekent CSP precies?

CSP is een afkorting van: Certification Service Provider (Certificatiedienstverlener). Hiermee wordt een natuurlijke of rechtspersoon bedoeld, die certificaten afgeeft of andere diensten in verband met identiteit en vertrouwelijkheid verleent. Een CSP heeft als functie het verstrekken en beheren van certificaten en sleutelinformatie, met inbegrip van de hiervoor voorziene dragers (bijvoorbeeld smartcards).

Wat is het verschil tussen de CSP's?

In dat wat zij leveren voor SBR zijn er geen verschillen: het PKIoverheid services certificaat is bij elke CSP hetzelfde. De gebruikersvoorwaarden, prijzen en benodigde formulieren kunnen per leverancier verschillen. Op de website van Logius treft u meer informatie http://www.logius.nl/producten/toegang/pkioverheid/

Hoe ziet het aanvraagproces van een certificaat eruit?

Het aanvraagproces van een PKIoverheid-certificaat kan langer duren dan de aanvraag van een BAPI PKI-certificaat. Dit komt doordat het betrouwbaarheidsniveau van een PKIoverheid servicescertificaat hoger is, waardoor u te maken krijgt met een strengere aanvraagprocedure. Het aanvraagproces kan verschillen per CSP. Als u voor het eerst een certificaat wilt aanvragen, doorloopt u globaal drie stappen.

  1. Registreer uw organisatie als abonnee bij uw CSP.
  2. Wijs een certificaatbeheerder aan als eerste aanspreekpunt
  3. Vraag een certificaat aan met een aanvraagformulier.

Meer informatie over het aanvraagproces en gebruik van certificaten voor SBR-aanleveringen treft u in de factsheet Certificaten

Is bij verlenging van het certificaat weer face to face authenticatie nodig?

Niet per definitie. Dit hangt van uw certificaatleverancier af.

Waar heb ik het PKIoverheid services certificaat als eerste voor nodig?

Dit hangt af van uw fiscale aangiftepakket. Deze kan de uitstelregeling via SBR ondersteunen maar dit is in 2013 nog niet noodzakelijk. Waarschijnlijk betekent dit dat u pas met SBR in aanraking komt wanneer u de aangiftes over 2012 gaat insturen. Dit betekent dat vóór deze datum het PKIoverheid services certificaat aanwezig moet zijn en moet werken binnen uw fiscale software.

Waar moet mijn systeem (server/computer) aan voldoen om gebruik te maken van de nieuwe certificaten?

Om gebruik te kunnen maken van PKIoverheid services server certificaten zijn er minimale vereisten aan uw systeem. Deze eisen hebben te maken met de mate waarin PKIoverheid al bekend is op uw systeem, alsmede met de ondersteuning van de gebruikte cryptografische hashing algoritmes (SHA 256). In een normale situatie, waarbij uw systeem gewoon is bijgewerkt met de nieuwe updates en patches, zal dit geen problemen opleveren. Waar dit wel problemen oplevert, is het goed om te kijken naar minimale eisen aan software en besturingssystemen. Om zeker te weten of uw systeem ook overweg kan met het gebruikte cryptografische hashing algoritme is een gedetailleerd overzicht opgesteld.

In nieuwe Windows systemen is de ondersteuning voor SHA 256 standaard aanwezig (vanaf  Windows XP SP3 voor de PC en Windows server 2003 na installatie van een aparte patch). Voor bijvoorbeeld Windows Vista en hoger (PC) of Windows server 2008 is dit standaard meegenomen.
SHA256 support is dus niet standaard opgenomen in Windows Server 2003 Service Pack 2. Het vereist de hotfix KB 938397 of 968730. Deze is geen onderdeel van de patches die automatisch via Windows update worden geïnstalleerd, maar is te downloaden via http://support.microsoft.com/kb/938397 en http://support.microsoft.com/kb/968730.

De installatie handleiding van de CSP zal er voor zorgen dat PKIoverheid (indien niet aanwezig) bekend wordt op uw systeem.

Hoe dient het PKIoverheid services certificaat te worden geïnstalleerd?

Dat is afhankelijk van het besturingssysteem waarmee u werkt. Een belangrijk verschil tussen een BAPI PKI-certificaat en een PKIoverheid services certificaat is dat het BAPI PKI-certificaat in de software kan worden opgevraagd en geïnstalleerd. Een PKIoverheid services certificaat wordt in een besturingssysteem of netwerkomgeving of webbrowser geïnstalleerd. Dus los van welk pakket dan ook waarmee wordt aangeleverd. Het is daarmee generiek bruikbaar voor meerdere diensten (o.a. SBR).

Voor de installatie van het certificaat verwijzen wij naar de instructies van uw CSP.

Wie moet ik aanwijzen als certificaatbeheerder?

Het staat u vrij om een certificaatbeheerder aan te wijzen. Vrij gebruikelijk is dat deze rol wordt belegd bij de IT- of security-beheerder. Als u niet zelf uw IT beheert en hiervoor een externe partij heeft, zal deze daarmee logischerwijs ook de certificaatbeheerder kunnen zijn.

Wie moet face-2-face verschijnen, de abonnee of certificaatbeheerder?

De certificaatbeheerder moet face-2-face verschijnen. De abonnee hoeft niet per se. De certificaatleveranciers gaan met de controle van de abonnee verschillend om.

Heb ik een Kamer van Koophandel-nummer nodig of heb ik genoeg aan mijn Becon-nummer?

U hebt een inschrijving in het handsregister nodig. Er wordt bij de aanvraag van het PKIoverheid services certificaat niets gedaan met uw BECON-nummer. Op basis van de OIN-systematiek wordt vanuit het handelsregister het RSIN- of KVK-nummer opgenomen in het certificaat en ziet de uitvragende partij welke intermediair u bent.

Moet ik per BECON-nummer een certificaat aanvragen?

Dit is niet nodig. Er wordt bij de aanvraag van het PKIoverheid services certificaat niets gedaan met uw BECON-nummer. Op basis van uw OIN (handelregisternummer) ziet de uitvragende partij welke intermediair u bent.

Maar 'hoeveel certificaten moet ik aanschaffen als er meerdere BECON-nummers in de organisatie zijn', is ook een veelgestelde vraag. Afhankelijk van de eigen interne organisatie kunt u insturen met 1 certificaat. In het kader van de SBA's moet worden bepaald wat wenselijk is, aangezien de klant een bericht krijgt van de geregistreerde machtiging.

Ons kantoor gaat van rechtsvorm wijzigen. Als we een PKIoverheidcertificaat aanvragen, is het dan nodig om daarop iets te wijzigen?

De naam / rechtsvorm van een organisatie wordt gecontroleerd op het moment van abonneeregistratie. Belangrijker is het te kijken naar de inschrijving in het Handelsregister. Als de verandering van rechtsvorm leidt tot een ander nummer (RSIN / KVK-nr) dan heeft nu aanvragen geen nut, want dan moet er een ander certificaat komen voor ondermeer het verkrijgen van SBA's (voorheen EKA). Abonneeregistratie kan vermoedelijk al wel worden gestart op onderdelen, maar vermeldt wel de aanstaande wijziging (bijvoorbeeld van maatschap naar BV).

Moet ik een server hebben om een PKIoverheid services certificaat te kunnen krijgen?

Nee, een PKIoverheid services certificaat is de benaming die technisch wordt gegeven aan het certificaat. Het is echter een service certificaat. Sowieso kan een PKI certificaat ongeacht benaming in iedere omgeving worden gebruikt.

Is het mogelijk om een PKIoverheid services certificaat te installeren op meerdere verzendservers?

In principe is het mogelijk een certificaat op meerdere verzendservers te gebruiken. Ze moeten dan wel deel uitmaken van de 'veilige' omgeving. Afhankelijk van de architectuur van de verzendserver moet de FQDN (Fully Qualified Domain Name) opgenomen in het certificaat, wel onderdeel zijn van de technische omgeving.

Wat betekent een 'veilige' omgeving?

Een certificaat moet worden gebruikt in een 'veilige' omgeving. Deze 'veilige' omgeving moet ervoor zorgen dat het praktisch onmogelijk is de sleutels ongemerkt te stelen of te kopiëren. U dient bij de registratie bij de certificaatleverancier schriftelijk te verklaren dat er maatregelen zijn getroffen die hieraan voldoen. In de overeenkomst tussen u en de certificaatleverancier wordt opgenomen dat deze het recht heeft een controle uit te voeren naar de getroffen maatregelen. De taak om te controleren of een PKIoverheid services certificaat in een 'veilige' omgeving staat en / of op meerdere systemen is geïnstalleerd ligt bij de certificaatleverancier (CSP), zoals ook opgenomen is in de Programma van Eisen PKIoverheid.

Moet het FQDN verwijzen naar de server / service waarop de processen ook daadwerkelijk draaien?

Nee, in het PKIoverheid stelsel staat opgenomen dat het een geldige verwijzing in het DNS moet zijn, niet dat het naar een specifieke locatie wijst. Technisch gezien wordt het FQDN alleen op moment van uitgifte van het certificaat gecontroleerd.

De aanvrager van een PKIoverheid services certificaat moet kunnen beschikken over een domein; is een subdomein ook toegestaan?

Ja. In het FQDN moet een controleerbaar domein zijn opgenomen die is geregistreerd bij SIDN. Bijvoorbeeld sbr-nl.nl. Het opnemen van een hostname als bijvoorbeeld jansenacc in combinatie met de domeinnaam inclusief de top level (in dit voorbeeld sbr-nl.nl) is toegestaan. Er mogen zelfs meerdere FQDN's in het certificaat worden opgenomen. Deze FQDN's moeten wel uit dezelfde domeinnaam range komen. In het voorbeeld betekent dit dat naast jansenacc.sbr-nl.nl ook pietersenacc.sbr-nl.nl, devriesacc.sbr-nl.nl, klaassenacc.sbr-nl.nl etc. etc. mogen worden opgenomen.

Ik heb geen eigen domein. Is dat vereist om een certificaat te kunnen krijgen?

Nee, een abonnee moet formeel gerechtigd zijn om een domein te gebruiken. Dit kan dus een eigen domein zijn, maar zou ook een (sub)domein van een derde kunnen zijn, mist er dan maar een verklaring is dat het gebruikt mag worden. De certificaatleveranciers  hebben hierover ook meer informatie

Is het mogelijk om meerdere certificaten aan te schaffen met hetzelfde OIN?

Ja, dit is mogelijk. Het OIN is een identificerend nummer en kan vaker gebruikt worden. Een organisatie kan meerdere services / servers hebben die het wil laten identificeren en dan is het natuurlijk mogelijk om dit vanuit hetzelfde OIN (= identificerend organisatienummer uit het Handelsregister) te doen.

Moet ik zelf sleutels aanmaken of doet de CSP dit?

De certificaatbeheerder heeft de keuze uit twee certificaattypen, te weten PKCS#10 en PKCS#12. Welk certificaat het beste bij u past hangt af van uw organisatie en uw eigen wensen op dit gebied. Bij PKCS#10 maakt u zelf de sleutels en bent alleen u in bezit van de privé sleutel. Bij een PKCS#12 zal de CSP de sleutels genereren en deze aan u overdragen.

Mijn softwareleverancier vraagt om een PKCS#12. Mijn CSP levert dit ogenschijnlijk niet. Hoe kan dit?

Softwareleveranciers hebben vrijheid in hetgeen zij communiceren. Voor een aantal pakketten (bijvoorbeeld SaaS-oplossingen) is het ook noodzakelijk dat er een PKCS#12 wordt aangeleverd. Indien de CSP direct een PKCS#12 levert kan deze direct worden gebruikt. Indien de CSP alleen een PKCS#10 verwerkt, zal de CSP behulpzaam zijn bij het omzetten naar het juiste formaat. Ongeacht het gevraagde formaat vanuit een software pakket kan dit dus bij iedere CSP worden verkregen (direct of via een eigen conversie).

Is er (beveiligings) technisch een verschil in PKCS#10 en PKCS#12 en hoe is dit te zien?

Het verschil tussen PkCS#10 en PkCS#12 zit in de manier van aanvragen. Bij PKCS#10 heeft u zelf eigen sleutelmateriaal gegenereerd, bij PKCS#12 krijgt u het sleutelmateriaal van de CSP. Beide mogelijkheden zijn toegestaan binnen het PKIoverheidstelsel en bieden dezelfde betrouwbaarheid.

Zijn er kosten verbonden aan het omzetten naar PKCS#12?

Nee, in principe niet. Indien het noodzakelijk is om een certificaat om te zetten naar een ander formaat, zijn hier diverse (gratis) standaard toolsvoor beschikbaar. Ook ondersteunen sommige CSP’s dit proces met hulpmiddelen.

Ik hoorde laatst de term 'beroepscertificaat'. Wat is dit?

Met het beroepscertificaat van de Nederlandse Beroepsorganisatie van Accountants (NBA) kan de accountant in het elektronisch verkeer verklaringen en assurance-rapporten ondertekenen. Het beroepscertificaat is een persoonsgebonden PKIoverheid certificaat voor gekwalificeerde elektronische handtekeningen, waarin ook de inschrijving in het AA- of RA-register en de naam van het kantoor van de accountant is opgenomen. Een organisatie die een verklaring of rapport vraagt (publiek of privaat, toezichthouder, dienstverlener etc.) kan het gebruik van het beroepscertificaat voorschrijven. Bij het SBR berichtenverkeer via Digipoort is gebruik van een beroepscertificaat momenteel niet mogelijk. Lees de toelichting in de bijlage.

Kan een buitenlandse organisatie die niet in het Nederlands Handelsregister staat een PKIoverheid certificaat voor SBR krijgen?

Ja, dit kan. Neem hiervoor contact op met uw CSP . De volgende info/documenten moeten dan worden opgevraagd en beoordeeld bij Buitenlandse partijen:

  • een inschrijvingsbewijs van de 'Kamer van Koophandel' zoals van toepassing in dat specifieke land én
  • bij Dun & Bradstreet (http://dbnetherlands.dnb.com/Dutch/Main/default.asp) moet worden nagegaan of het bedrijf bestaat, de naam van de organisatie overeenkomt met de naam opgegeven bij de aanvraag en of het bedrijf nog actief is én
  • verder zijn alle overige eisen uit het PKIoverheid PvE (Programma van Eisen) onverkort van toepassing. Dit betekent o.a. dat er een face-to-face identificatie moet plaatsvinden met de certificaathouder dan wel de certificaatbeheerder en, indien van toepassing, dat de domeinnaam aanwezig moet zijn op en moet worden gecontroleerd bij een WHOis dienst (b.v. http://whois.arin.net/ui of http://www.iana.org/cgi-bin/whois).

Voor buitenlandse organisaties wordt er in afwachting van een sluitende nummersystematiek, geen identificerend nummer (OIN) door de CSP in het certificaat voor SBR opgenomen.

In geval een buitenlandse organisatie gebruik wil maken van SBA’s, zal contact moeten worden opgenomen met de servicedesk van Digipoort om dit mogelijk te maken.

 
Rijksoverheid
Standard Business Reporting