Certificaten

Om gebruik te kunnen maken van gemeenschappelijke diensten binnen het zorgdomein, zoals ZORG-ID, is het noodzakelijk dat er eerst een of meerdere organisatiecertificaten worden geïnstalleerd. We leggen uit welke certificaten nodig zijn om dit tot stand te brengen zijn.
Ik wil informatie over
Selecteer een onderwerp

Keuze certificaat

U maakt eerst een keuze uit een TLS-certificaat voor de verbinding. Voor het authenticeren van een zorgaanbieder wordt een privaat certificaat (UZI-servercertificaat) gebruikt, geldt ook voor TLS-verbindingen.
Niet-zorgaanbieders sluiten op de diensten aan met een publiek certificaat (OV-certificaat). Voor OV certificaten worden niet alle uitgevers vertrouwd. De toegelaten partijen (CA’s) worden hieronder toegelicht.

Voor persoonsidentificatie/ authenticatie maken ZORG-ID en het UZI-register gebruik van persoonsgebonden certificaten. Die worden verder uitgewerkt op de pagina Persoonsgebonden certificaten.

TLS-certificaat

  • Wat is een TLS-certificaat?
  • Publiek versus privaat certificaat
  • Gebruik in gemeenschappelijke diensten
  • Aanvraag en configuratie
  • Vertrouwde certificaatautoriteiten (CA's)
  • Lijst vertrouwde CA’s (incl. trust chain toelichting)

Wat is een TLS-certificaat

Een TLS-certificaat is een X.509 SSL/TLS-certificaat dat wordt gebruikt om een beveiligde verbinding tot stand te brengen tussen uw zorgapplicatie en een gemeenschappelijke dienst binnen het zorgdomein, zoals LSP, Mitz, ZORG-AB of ZORG-ID.

Het certificaat wordt uitgegeven door een publieke Certificate Authority (CA) - zoals KPN, QuoVadis, DigiCert of Sectigo - en bevat de FQDN (Fully Qualified Domain Name) van uw systeem, bijvoorbeeld 'vzvz.nl'. Deze FQDN wordt gebruikt als uniek kenmerk om de herkomst van de verbinding te verifiëren.

Een TLS-certificaat wordt alleen gebruikt om de identiteit van de server te controleren (geldig certificaat, juiste CA en FQDN ↔ SAN).

Whitelisting of netwerktoegang verloopt apart daarvan, meestal op basis van IP-adressen. Het SAN in een certificaat is dus geen mechanisme voor whitelisting, maar uitsluitend voor TLS-naamvalidatie.

Publiek versus privaat certificaat

Een publiek TLS-certificaat is ondertekend door een algemeen vertrouwde CA en is geschikt voor externe communicatie met zorgbrede diensten. Privé certificaten worden daarentegen vaak binnen organisaties gebruikt voor interne communicatie en worden niet herkend door externe systemen zonder expliciete vertrouwensrelatie.

Gebruik in gemeenschappelijke diensten

TLS-certificaten zijn noodzakelijk voor veilige communicatie met gemeenschappelijke zorgdiensten. Denk hierbij aan:

  • LSP - voor uitwisseling medische gegevens
  • Mitz – voor toestemmingsdiensten
  • ZORG-AB – voor betrouwbare adressering en informatie-uitwisseling
  • ZORG-ID – voor authenticatie, identificatie en toegang tot gekoppelde identiteitsdiensten

De gemeenschappelijke dienst verifieert bij elke inkomende verbinding of het TLS-certificaat geldig is en of de FQDN overeenkomt met wat in het systeem is geregistreerd. Daarmee wordt zowel de technische als organisatorische identiteit van de communicatiepartij gecontroleerd.

Deze controle is onderdeel van de TLS-handshake. De daadwerkelijke whitelisting of netwerktoegang wordt los daarvan geregeld, doorgaans op IP-adresniveau in firewalls of gateways.

Aanvraag en configuratie

Bij het aanvragen van een TLS-certificaat moet u zorgen dat de juiste FQDN als SAN (Subject Alternative Name) in het certificaat is opgenomen.

Vertrouwde certificaatautoriteiten (CA's)

Gemeenschappelijke diensten accepteren alleen certificaten van vooraf goedgekeurde CA’s. Deze CA’s maken deel uit van een zogeheten trust chain, die begint bij een root CA en eindigt bij het TLS-certificaat dat op uw systeem wordt geïnstalleerd. De volledige keten moet door de ontvangende partij (LSP, Mitz, ZORG-AB of ZORG-ID) worden gevalideerd.

 

Lijst vertrouwde CA’s

Publieke certificaten

Publieke certificaten worden uitgegeven door algemeen vertrouwde Certificate Authorities (CA’s) zoals DigiCert, Sectigo en KPN certSIGN. Deze CA’s zijn opgenomen in de trust stores van besturingssystemen, browsers en applicaties. Hierdoor worden verbindingen die met een dergelijk certificaat zijn beveiligd automatisch als betrouwbaar herkend.

Binnen zorgomgevingen wordt bij voorkeur gebruikgemaakt van Organization Validation (OV)-certificaten, omdat hierbij de organisatie is gecontroleerd en dit beter aansluit bij eisen rondom betrouwbaarheid en identificatie. De trust chain (root → intermediate → servercertificaat) moet volledig en correct zijn om een geldige en vertrouwde verbinding tot stand te brengen.

Publieke certificaten zijn geschikt voor browsertoegang, API-koppelingen en machine-to-machine communicatie zonder aanvullende configuratie bij eindgebruikers.

Verkijgbaar
  • KPN certSIGN OV server CA G2 (OV certificaat). Trust chain: 
    - certSIGN ROOT CA G2 (geldig: 6-2-2017 t/m 6-2-2042)
    - - certSIGN Web CA (geldig: 6-2-2017 t/m 6-2-2027)
    Te verkrijgen via: https://certificaat.kpn.com/aanvragen/servercertificaten/certsign-ov/ vanaf 1 januari 2024.
  • DigiCert (OV certificaat). Tot 1 oktober 2025 te bestellen. Dit i.v.m. wijzigingen aan het certificaat door DigiCert. Certificaten besteld vanaf 1 oktober 2025 ondersteunen geen Client Authentication meer en kunnen niet met ZORG-ID koppelen. Kies vanaf die datum een van de andere certificaten. Trust chain: 
    -DigiCert Global Root G2 (geldig:1-8-2013 t/m 15-1-2038)
    --DigiCert Global G2 TLS RSA SHA256 2020 CA1 (geldig: 30-3-2021 t/m 30-3-2031)
  • Sectigo InstantSSL (OV certificaat) van 15 mei 2025 tot 7 oktober 2025 te bestellen. Dit i.v.m. wijzigingen aan het certificaat door Sectigo. Certificaten besteld vanaf 7 oktober 2025 ondersteunen geen Client Authentication meer en kunnen niet met ZORG-ID koppelen. Kies vanaf die datum een van de andere certificaten.
    - Sectigo Public Server Authentication Root R46 (22-3-2021 t/m 22-3-2046)
    - - Sectigo Public Server Authentication CA OV R36 (22-3-2021 t/m 22-3-2036)
Niet meer verkrijgbaar
  • DigiCert+QuoVadis: QV Business SSL 10 SAN G2 (OV certificaat). Trust chain: 
    - QuoVadis Root CA 2 (geldig: 24-11-2006 t/m 24-11-2031)
    - - QuoVadis Global SSL ICA G2 (geldig: 25-5-2022  t/m 24-5-2027)
    Alleen beschikbaar voor klanten die bij QuoVadis al een TLE account, deze manier van uitgifte is gestopt per 1-7-2025.
  • Sectigo InstantSSL (OV certificaat), uitgifte is gestopt per 15-5-2025.
    - Sectigo AAA Certificate Services (geldig: 1-1-2004 t/m 1-1-2029)
    - - USERTrust RSA Certification Authority (geldig: 12-3-2019 t/m 1-1-2029)
    - - - Sectigo RSA Organization Validation Secure Server CA (geldig: 2-1-2018 t/m 1-1-2031)
     

Private certificaten

Privé certificaten worden uitgegeven door gesloten of sectorspecifieke CA’s, zoals het UZI-register van het CIBG. Deze certificaten zijn niet standaard vertrouwd door browsers of systemen van derden. Gebruik in browsers leidt doorgaans tot beveiligingswaarschuwingen tenzij het rootcertificaat handmatig op de client is geïnstalleerd.

Privé certificaten zijn vooral bedoeld voor machine-to-machine communicatie binnen de zorgsector en voor authenticatie en ondertekening door zorgverleners. Voor testomgevingen bestaan aparte test-roots, zoals de TEST Zorg CSP Private Root CA.

Voor TLS-verbindingen adviseren wij daarom zoveel mogelijk publieke OV-certificaten, omdat dit browserwaarschuwingen voorkomt, beheer vereenvoudigt en de betrouwbaarheid van de verbinding verhoogt. UZI-servercertificaten blijven primair geschikt voor sectorale authenticatie en digitale ondertekening.

 

ZORG-ID FQDN doorgeven voor de verbinding

Geef uw FQDN met trust chain aan ons door. Het FQDN (Fully Qualified Domain Name) is gelijk aan de SAN (Subject Alternative Name) van het certificaat. 

De FQDN en de bijbehorende trust chain (voor productie en test) dient u tijdig door te geven aan zorg-id@vzvz.nl, zodat deze kunnen worden gewhitelist in de ZORG-ID infrastructuur. Dit heeft een doorlooptijd van enkele dagen.