Hier vindt u alle informatie voor ontwikkelaars
Certification Practice Statement
Certificaateisen
Operationele eisen certificaatlevenscyclus
Certification Practice Statement
Certificaateisen
Operationele eisen certificaatlevenscyclus
Het CPS van ChipSoft Zorgplatform beschrijft hoe er invulling wordt gegeven aan de dienstverlening. Het CPS beschrijft processen, procedures en beheermaatregelen voor het aanvragen, produceren, verstrekken, intrekken en beheren van de certificaten.
Zorgplatform maakt gebruik van public key cryptografie ten behoeve van:
- Encryptie van verkeer via TLS.
- Authenticatie van servers en clients (nodes) via TLS (tweezijdig TLS of tweezijdig SSL genoemd).
- Signing van security tokens (en security token requests) zodat de herkomst van het token (of het request) kan worden gevalideerd en kan worden vastgesteld dat het token niet is aangepast.
In onderstaande paragrafen worden de certificaateisen en de operationele eisen van de certificaatlevenscyclus beschreven.
Certificaateisen
Encryption certificate
TLS Client authentication Certificate
Digital Signing Certificate
Zorgplatform Server Certificate
Certificaateisen
Encryption certificate
TLS Client authentication Certificate
Digital Signing Certificate
Zorgplatform Server Certificate
Encryption certificate
Security tokens worden versleuteld door Zorgplatform op basis van het encryptie certificaat van de partnerapplicatie. Voor de productie- en acceptatie omgevingen dienen separate certificaten te worden aangevraagd. Indien uw zorginstelling gebruik maakt van functionaliteiten zoals Transmuraal Zorgportaal dient u dit certificaat op de HAS server te installeren.
Aan de certificaten worden de volgende eisen gesteld:
- Keylength: 2048 bit
- Key Usage: Data encipherment
- Geldigheid: minimaal 1 jaar
- Uitsluitend uitgegeven door een officiële CA
- De naamgeving voldoet aan onderstaande ChipSoft conventie
De naamgeving (CN in Subject) van de certificaten dient te voldoen aan de volgende conventies:
- Voor productie: crypto-zorgplatform.[naam applicatie].nl
- Voor acceptatie: acceptatie-crypto-zorgplatform.[naam applicatie].nl
TLS Client authentication Certificate
HTTPS-verkeer met Zorgplatform vindt plaats op basis van 2-way TLS en vereist dus een valide TLS client authentication certificaat. Voor de productie- en acceptatie omgevingen dienen separate certificaten te worden aangevraagd. Dit certificaat wordt gebruikt om de verbinding tussen Comez en Zorgplatform te versleutelen. Daarom dient dit certificaat door het ziekenhuis op de Comez server geïnstalleerd te worden.
Aan de certificaten worden de volgende eisen gesteld:
- Keylength: 2048 bit
- Extended Key Usage: Client authentication
- Geldigheid: minimaal 1 jaar
- Uitsluitend uitgegeven door een officiële CA
- De naamgeving voldoet aan onderstaande ChipSoft conventie
De naamgeving (CN in Subject) van de certificaten dient te voldoen aan de volgende conventies:
- Voor productie: tls-zorgplatform.[naam applicatie].nl
- Voor acceptatie: acceptatie-tls-zorgplatform.[naam applicatie].nl
Digital Signing Certificate
Naast het TLS-certificaat is een signing-certificaat (DSC) nodig voor iedere op Zorgplatform aangesloten omgeving. Dit certificaat wordt gebruikt om token-requests naar de Zorgplatform STS digitaal te ondertekenen. Zorgplatform valideert deze digitale handtekening om de integriteit van het bericht te waarborgen. Het certificaat dient geïnstalleerd te worden op de Comez server.
Zorgplatform kan zodoende de herkomst van het request valideren door:
- De digital signature te valideren
- De partij die de signature heeft geplaatst te vergelijken met de partij die de TLS verbinding heeft opgezet
Aan de certificaten worden de volgende eisen gesteld:
- Keylength: 2048 bit
- Key Usage: Digital signature
- Geldigheid: minimaal 1 jaar
- Uitsluitend uitgegeven door een officiële CA
- De naamgeving voldoet aan onderstaande ChipSoft conventie
De naamgeving (CN in Subject) van de certificaten dient te voldoen aan de volgende conventies:
- Voor productie: sign-zorgplatform.[naam applicatie].nl
- Voor acceptatie: acceptatie-sign-zorgplatform.[naam applicatie].nl
Zorgplatform Server Certificate
Het Zorgplatform Server Certificate is een zogenaamd wildcard certificate en wordt gebruikt:
- Bij het opzetten van de TLS verbinding met aangesloten zorgapplicaties.
- Bij het digitaal ondertekenen van door de Zorgplatform STS uitgegeven security tokens.
Het certificaat wordt aangeleverd door ChipSoft in een .cer formaat (2048 bits SHA256).
Aan het Zorgplatform server certificate worden de volgende eisen gesteld:
- Keylength: 4096 bit
- Encryption: SHA256 with RSA Encryption
- Extended Key Usage: Server Authentication en Client Authentication
- Geldigheid: 2 jaar
- Uitgegeven door een officiële CA (godaddy.com)
- Validation: Organisation validation.
- Gevalideerde organisatie: ChipSoft Ziekenhuis Informatiesystemen B.V.
Encryption certificate
TLS Client authentication Certificate
Digital Signing Certificate
Zorgplatform Server Certificate
Security tokens worden versleuteld door Zorgplatform op basis van het encryptie certificaat van de partnerapplicatie. Voor de productie- en acceptatie omgevingen dienen separate certificaten te worden aangevraagd. Indien uw zorginstelling gebruik maakt van functionaliteiten zoals Transmuraal Zorgportaal dient u dit certificaat op de HAS server te installeren.
Aan de certificaten worden de volgende eisen gesteld:
- Keylength: 2048 bit
- Key Usage: Data encipherment
- Geldigheid: minimaal 1 jaar
- Uitsluitend uitgegeven door een officiële CA
- De naamgeving voldoet aan onderstaande ChipSoft conventie
De naamgeving (CN in Subject) van de certificaten dient te voldoen aan de volgende conventies:
- Voor productie: crypto-zorgplatform.[naam applicatie].nl
- Voor acceptatie: acceptatie-crypto-zorgplatform.[naam applicatie].nl
HTTPS-verkeer met Zorgplatform vindt plaats op basis van 2-way TLS en vereist dus een valide TLS client authentication certificaat. Voor de productie- en acceptatie omgevingen dienen separate certificaten te worden aangevraagd. Dit certificaat wordt gebruikt om de verbinding tussen Comez en Zorgplatform te versleutelen. Daarom dient dit certificaat door het ziekenhuis op de Comez server geïnstalleerd te worden.
Aan de certificaten worden de volgende eisen gesteld:
- Keylength: 2048 bit
- Extended Key Usage: Client authentication
- Geldigheid: minimaal 1 jaar
- Uitsluitend uitgegeven door een officiële CA
- De naamgeving voldoet aan onderstaande ChipSoft conventie
De naamgeving (CN in Subject) van de certificaten dient te voldoen aan de volgende conventies:
- Voor productie: tls-zorgplatform.[naam applicatie].nl
- Voor acceptatie: acceptatie-tls-zorgplatform.[naam applicatie].nl
Naast het TLS-certificaat is een signing-certificaat (DSC) nodig voor iedere op Zorgplatform aangesloten omgeving. Dit certificaat wordt gebruikt om token-requests naar de Zorgplatform STS digitaal te ondertekenen. Zorgplatform valideert deze digitale handtekening om de integriteit van het bericht te waarborgen. Het certificaat dient geïnstalleerd te worden op de Comez server.
Zorgplatform kan zodoende de herkomst van het request valideren door:
- De digital signature te valideren
- De partij die de signature heeft geplaatst te vergelijken met de partij die de TLS verbinding heeft opgezet
Aan de certificaten worden de volgende eisen gesteld:
- Keylength: 2048 bit
- Key Usage: Digital signature
- Geldigheid: minimaal 1 jaar
- Uitsluitend uitgegeven door een officiële CA
- De naamgeving voldoet aan onderstaande ChipSoft conventie
De naamgeving (CN in Subject) van de certificaten dient te voldoen aan de volgende conventies:
- Voor productie: sign-zorgplatform.[naam applicatie].nl
- Voor acceptatie: acceptatie-sign-zorgplatform.[naam applicatie].nl
Het Zorgplatform Server Certificate is een zogenaamd wildcard certificate en wordt gebruikt:
- Bij het opzetten van de TLS verbinding met aangesloten zorgapplicaties.
- Bij het digitaal ondertekenen van door de Zorgplatform STS uitgegeven security tokens.
Het certificaat wordt aangeleverd door ChipSoft in een .cer formaat (2048 bits SHA256).
Aan het Zorgplatform server certificate worden de volgende eisen gesteld:
- Keylength: 4096 bit
- Encryption: SHA256 with RSA Encryption
- Extended Key Usage: Server Authentication en Client Authentication
- Geldigheid: 2 jaar
- Uitgegeven door een officiële CA (godaddy.com)
- Validation: Organisation validation.
- Gevalideerde organisatie: ChipSoft Ziekenhuis Informatiesystemen B.V.
Operationele eisen certificaatlevenscyclus
Aanvraag van certificaten
Aanmelding van certificaten van aangesloten partij
Routinematige vernieuwing van certificaten van aangesloten partij
Vernieuwing van certificaten na intrekking van certificaten van aangesloten partij
Routinematige vernieuwing van Zorgplatform server certificaat
Vernieuwing van certificaten na intrekking van Zorgplatform server certificaat
Operationele eisen certificaatlevenscyclus
Aanvraag van certificaten
Aanmelding van certificaten van aangesloten partij
Routinematige vernieuwing van certificaten van aangesloten partij
Vernieuwing van certificaten na intrekking van certificaten van aangesloten partij
Routinematige vernieuwing van Zorgplatform server certificaat
Vernieuwing van certificaten na intrekking van Zorgplatform server certificaat
Aanvraag van certificaten
Door iedere aangesloten zorgaanbieder dienen, per omgeving, een viertal beveiligingscertificaten te worden gebruikt. In alle gevallen dienen de certificaten te worden uitgegeven door een officiële CA:
- Een TLS client certificate
- Een Digital Signing certificate
- Encryption certificate
Deze certificaten dienen te voldoen aan de certificaat eisen.
Aanmelding van certificaten van aangesloten partij
Nadat de certificaten zijn aangevraagd bij een publieke CA dienen de certificaten initieel te worden aangeleverd aan ChipSoft. De certificaten dienen voor de afgesproken datum in .cer formaat, zonder private key, te worden gemaild naar Zorgplatform_aansluitingen@chipsoft.nl. Nadat de certificaten en overige voorbereidingen worden aangeleverd, wordt de inrichting hiervan ingepland.
Self-signed en door private CA uitgegeven certificaten kunnen niet aangeleverd worden aan ChipSoft.
Routinematige vernieuwing van certificaten van aangesloten partij
Bij een routinematige vervanging van de een van de certificaten geldt dezelfde procedure als bij de initiële aanmelding. Van de digitale zorg applicatie wordt verwacht dat het nieuwe certificaat 30 dagen voor het vervallen van het oude certificaat wordt aangemeld en aangeleverd per mail aan ChipSoft. Het nieuw aangemelde certificaat zal binnen 7 dagen na aanmelding worden doorgevoerd, waarna het nieuwe certificaat kan worden gebruikt door de de aangesloten partij.
Vernieuwing van certificaten na intrekking van certificaten van aangesloten partij
In het geval een certificaat van een aangesloten partij wordt ingetrokken, dient dit direct te worden doorgegeven aan ChipSoft samen met het nieuw uitgegeven certificaat.
Routinematige vernieuwing van Zorgplatform server certificaat
Bij de uitvoering van een vernieuwing van het Zorgplatform server certificaat zal er altijd een nieuw sleutelpaar worden gegenereerd.
30 dagen voor de vervaldatum van het certificaat zal het nieuwe certificaat beschikbaar worden gesteld via ChipSoft.
Vernieuwing van certificaten na intrekking van Zorgplatform server certificaat
Bij de uitvoering van een vernieuwing van het Zorgplatform server certificaat zal er altijd een nieuw sleutelpaar worden gegenereerd.
Het nieuwe certificaat zal direct na het vernieuwen worden doorgevoerd.
De aangesloten partijen worden via email op de hoogte gesteld en het nieuwe certificaat zal beschikbaar worden gesteld via de ChipSoft support site.
Aanvraag van certificaten
Aanmelding van certificaten van aangesloten partij
Routinematige vernieuwing van certificaten van aangesloten partij
Vernieuwing van certificaten na intrekking van certificaten van aangesloten partij
Routinematige vernieuwing van Zorgplatform server certificaat
Vernieuwing van certificaten na intrekking van Zorgplatform server certificaat
Door iedere aangesloten zorgaanbieder dienen, per omgeving, een viertal beveiligingscertificaten te worden gebruikt. In alle gevallen dienen de certificaten te worden uitgegeven door een officiële CA:
- Een TLS client certificate
- Een Digital Signing certificate
- Encryption certificate
Deze certificaten dienen te voldoen aan de certificaat eisen.
Nadat de certificaten zijn aangevraagd bij een publieke CA dienen de certificaten initieel te worden aangeleverd aan ChipSoft. De certificaten dienen voor de afgesproken datum in .cer formaat, zonder private key, te worden gemaild naar Zorgplatform_aansluitingen@chipsoft.nl. Nadat de certificaten en overige voorbereidingen worden aangeleverd, wordt de inrichting hiervan ingepland. Self-signed en door private CA uitgegeven certificaten kunnen niet aangeleverd worden aan ChipSoft.
Bij een routinematige vervanging van de een van de certificaten geldt dezelfde procedure als bij de initiële aanmelding. Van de digitale zorg applicatie wordt verwacht dat het nieuwe certificaat 30 dagen voor het vervallen van het oude certificaat wordt aangemeld en aangeleverd per mail aan ChipSoft. Het nieuw aangemelde certificaat zal binnen 7 dagen na aanmelding worden doorgevoerd, waarna het nieuwe certificaat kan worden gebruikt door de de aangesloten partij.
In het geval een certificaat van een aangesloten partij wordt ingetrokken, dient dit direct te worden doorgegeven aan ChipSoft samen met het nieuw uitgegeven certificaat.
Bij de uitvoering van een vernieuwing van het Zorgplatform server certificaat zal er altijd een nieuw sleutelpaar worden gegenereerd. 30 dagen voor de vervaldatum van het certificaat zal het nieuwe certificaat beschikbaar worden gesteld via ChipSoft.
Bij de uitvoering van een vernieuwing van het Zorgplatform server certificaat zal er altijd een nieuw sleutelpaar worden gegenereerd. Het nieuwe certificaat zal direct na het vernieuwen worden doorgevoerd. De aangesloten partijen worden via email op de hoogte gesteld en het nieuwe certificaat zal beschikbaar worden gesteld via de ChipSoft support site.