Organisatiecertificaten

1. Wat is een organisatiescertificaat?
2. Verschil publieke/privaat certificaat
3. Hoe aanvragen + FQDN/CN uitleg
4. Lijst vertrouwde CA’s (incl. trust chain toelichting)
5. Toepasbaar bij gemeenschappelijke diensten: ZORG-ID, MITZ, ZORG-AB, etc.

Organisatiecertificaat (verbindingscertificaat)

Een verbindingscertificaat is een X.509 SSL/TLS-certificaat dat wordt gebruikt om een beveiligde verbinding op te zetten tussen uw applicatie en het ZORG-ID-platform (of andere gemeenschappelijke diensten).

Het certificaat wordt verkregen bij een publieke Certificate Authority (zoals KPN, QuoVadis, DigiCert of Sectigo) en bevat de FQDN (Fully Qualified Domain Name) van uw systeem.

 Met verbindingscertificaat wordt de verbinding tussen zorgapplicatie en de ZORG-ID dienst opgezet, ZORG-ID gebruikt de FQDN uit certificaat voor vaststellen van de authenticiteit van de zorgapplicatie en in het verlengde de zorgaanbieder. Meer specifiek moet het verbindingscertificaat door de zorgapplicatie worden gebruikt bij het opzetten van een verbinding tussen ZORG-ID SDK en de ZORG-ID dienst en bij interactie met de ZORG-ID registratie service.

Verschil tussen publiek en privaat

  •  Publieke certificaten: afkomstig van een vertrouwde CA, automatisch herkend door browsers/systemen.
  • Private certificaten: afkomstig van een private CA (zoals CIBG voor UZI-servercertificaten), specifiek vertrouwd binnen een gesloten systeem of netwerk.
    Hier hoort ook een toelichting bij op beheer (CRL/OCSP, sleutelbeheer, etc.)

 

Organisatiecertifcaten

Publieke certificaten

  • DigiCert (OV certificaat). Trust chain: 
    -DigiCert Global Root G2 (geldig:1-8-2013 t/m 15-1-2038)
    --DigiCert Global G2 TLS RSA SHA256 2020 CA1 (geldig: 30-3-2021 t/m 30-3-2031)
  • KPN certSIGN OV server CA G2 (OV certificaat). Trust chain: 
    - certSIGN ROOT CA G2 (geldig: 6-2-2017 t/m 6-2-2042)
    - - certSIGN Web CA (geldig: 6-2-2017 t/m 6-2-2027)
    Te verkrijgen via: https://certificaat.kpn.com/aanvragen/servercertificaten/certsign-ov/ vanaf 1 januari 2024.
  • DigiCert+QuoVadis: QV Business SSL 10 SAN G2 (OV certificaat). Trust chain: 
    - QuoVadis Root CA 2 (geldig: 24-11-2006 t/m 24-11-2031)
    - - QuoVadis Global SSL ICA G2 (geldig: 25-5-2022  t/m 24-5-2027)
    Alleen beschikbaar voor klanten die bij QuoVadis al een TLE account hebben via:  ..:: QuoVadis Trust/Link Enterprise ::..
  • Sectigo InstantSSL (OV certificaat), uitgifte is gestopt per 15-5-2025.
    - Sectigo AAA Certificate Services (geldig: 1-1-2004 t/m 1-1-2029)
    - - USERTrust RSA Certification Authority (geldig: 12-3-2019 t/m 1-1-2029)
    - - - Sectigo RSA Organization Validation Secure Server CA (geldig: 2-1-2018 t/m 1-1-2031)
  • Sectigo InstantSSL (OV certificaat) van 15 mei 2025 tot 15 september 2025 te bestellen. Dit i.v.m. wijzigingen aan het certificaat door Sectigo. Certificaten besteld vanaf 15 september 2025 ondersteunen geen Client Authentication meer en kunnen niet met ZORG-ID koppelen. Kies vanaf die datum een van de andere certificaten.
    - Sectigo Public Server Authentication Root R46 (22-3-2021 t/m 22-3-2046)
    - - Sectigo Public Server Authentication CA OV R36 ((22-3-2021 t/m 22-3-2036)
     

Privaat certificaat* 

*Het private servercertificaat, uitgegeven door het CIBG (UZI-servercertificaat), heeft het nadeel dat als u met de webbrowser versie van ZORG-ID werkt (Desktop App), u in de browser van elke gebruiker dit certificaat moet vertrouwen. Dat is een extra beheeractiviteit. Gebruikers krijgen anders een waarschuwing dat de toegangsaanvraag niet wordt vertrouwd. Deze melding kan worden weggeklikt, maar is niet gebruikersvriendelijk. We adviseren daarom te kiezen voor een OV servercertificaat.

 

Gemeenschappelijke diensten en certifcaten

Toepasbaar bij: ZORG-ID, MITZ, ZORG-AB, etc.