PKI. ICT-handreiking

Transcriptie

1 PKI ICT-handreiking

2 Voorwoord Voor het uitwisselen van gegevens binnen overheden is door ICTU de OverheidsServiceBus (OSB) ontworpen. Een set van communicatiestandaarden voor berichten. Het is belangrijk om de berichtuitwisseling tussen partijen die met elkaar gegevens uitwisselen te beveiligen. Daartoe dienen partijen een zogenaamd OSB PKIoverheid Certificaat aan te schaffen en te implementeren. Dit document bevat achtergrondinformatie over de OSB PKIoverheid Certificaten voor organisaties die via de OSB-standaarden communiceren. Het legt in praktische stappen uit hoe een organisatie te werk moet gaan om zo n certificaat aan te schaffen en te implementeren. Voor projectleiders en andere medewerkers die betrokken zijn bij de implementatie van de OSB is dit een eenvoudige introductie tot het onderwerp. Hierin wordt uitgelegd wat er gedaan moet worden, hoe en waarom. Diepgaande technische aspecten van de implementatie zoals installatie en technisch beheer van certificaten komen niet aan de orde in dit document. Voor meer informatie wordt in het laatste hoofdstuk verwezen naar andere bronnen. Dit document gaat ook niet in op andersoortige PKIoverheid Certificaten dan die voor de OSB (bijv. persoonsgebonden certificaten). Hoofdstuk 1 beschrijft de achtergrond, het wat en waarom van PKIoverheid Certificaten in relatie tot OSB. Hoofdstuk 2 behandelt de aanvraag van een certificaat. Hoofdstuk 3 behandelt een aantal bijzondere situaties die niet voor alle deelnemers van toepassing zijn. Hoofdstuk 4 bevat een aantal verwijzingen naar meer informatie en een lijst van gebruikte afkortingen met de verklaringen. <Het concept van dit document wordt ter review aan GBO.Overheid voorgelegd.>. 2

3 Inhoudsopgave 1Achtergrond Wat is een (OSB)PKIoverheid Certificaat? Waarom heb ik een (OSB)PKIoverheid Certificaat nodig? Wanneer (vanaf welke fase) heb ik een certificaat nodig? Welk certificaat heb ik nodig? Hoe wordt een (OSB)certificaat gemaakt? Is het certificaat gekoppeld aan de organisatie, de servernaam of iets anders? Hoe lang is een certificaat geldig? Wat zijn de aanschafkosten voor een certificaat?...6 2Praktische stappen Stappenplan naar een goed werkend certificaat Welke partijen kunnen certificaten leveren? Wie moet wat doen binnen de aanvragende organisatie? Wat houdt het registreren in? Hoe vraag ik een certificaat aan? Hoe installeer ik een certificaat? Wat moet er worden opgestuurd naar de eigenaar (houder) van de gegevensverzameling en waarom? Bijzondere situaties Kan ik hetzelfde certificaat gebruiken bij vervanging van de server? Kan ik hetzelfde certificaat gebruiken bij virtuele servers, redundantie, backup of uitwijk? Kan ik één certificaat gebruiken met meer gegevensverzamelingen? Heb ik ook een certificaat nodig voor een testserver of alleen voor de productieserver? Samenwerkende organisaties Meer informatie

4 1 Achtergrond 1. Wat is een (OSB)PKIoverheid Certificaat? Een PKIoverheid Certificaat is een klein digitaal bestand waarmee de houder van bijvoorbeeld een basisadministratie aan de gebruiker van deze administratie kan aantonen dat deze administratie inderdaad aan de houder toebehoort. Net zoals een paspoort fungeert als identiteitsbewijs voor personen, kan een certificaat worden gebruikt om langs elektronische weg de identiteit van een houder aan te tonen. Certificaten worden op internet al op grote schaal gebruikt om de echtheid van websites aan te tonen (van belang bij bijv. telebankieren). Een bevraagde gegevensverzameling kan aan de hand van het certificaat zien welke deelnemer zich meldt om informatie uit te wisselen. De meeste certificaten die op internet worden gebruikt zijn uitgegeven door commerciële Certificate Service Providers (CSP s). PKIoverheid Certificaten zijn technisch gezien hetzelfde, met als bijzonderheid dat ze worden uitgegeven door CSP s die voldoen aan de eisen die de Nederlandse overheid stelt. PKIoverheid Certificaten worden in beveiligde communicatie bij e-overheidsvoorzieningen steeds meer gebruikt. (DigiD, mgba en Wkpb en bij communicatie op basis van het BSN). Bij elk certificaat hoort ook een geheime sleutel eveneens een klein digitaal bestand, zonder welke het certificaat onbruikbaar is. Deze geheime sleutel moet door de deelnemer zorgvuldig worden bewaard en mag niet worden gekopieerd of aan derden verstrekt. Als de geheime sleutel in handen valt van een kwaadwillende partij, kan die de identiteit van de deelnemer overnemen, op zowel open (internet) als gesloten netwerken ((internationale)bedrijfsnetwerken). Het certificaat zelf is openbaar en kan zonder problemen worden gekopieerd of opgestuurd. Voor communicatie door middel van de OSB-standaarden is een specifiek PKIoverheid Certificaat ontwikkeld. Het is een afgeleide van het organisatiegebonden hierboven besproken (service) PKIoverheid Certificaat. Het onderscheid zit in een identificerend onderdeel, namelijk het Overheids Identificatie Nummer (OIN). Hiermee wordt beveiliging op organisatieniveau beoogd. In publieke organisaties die via OSB standaarden communiceren wordt voor OSB-communicatie uitsluitend een OSB PKIoverheid Certificaat gebruikt. OSB PKIoverheid Certificaten kunnen tevens als 'gewoon'(zie hier boven) PKIoverheid Certificaat worden gebruikt. Waar dus een PKIoverheid Certificaat revoked raakt (door welke oorzaak dan ook ongeldig wordt) kan een OSB PKIoverheid Certificaat in de plaats worden gebruikt. 2. Waarom heb ik een (OSB)PKIoverheid Certificaat nodig? Elke overheidsorganisatie (ook publieke organisaties of onderdelen van een grote organisatie) die OSB-standaarden wil gebruiken voor beveiligde communicatie met andere overheden/publieke organen moet beschikken over een geldig OSB PKIoverheid Certificaat. Hiermee kan deze organisatie gegevens uitwisselen met een (basis)administratie of een gegevensverzameling van een andere publieke partij. Waarom? Wanneer een partij niet openbare gegevens wil benaderen van een andere partij, dan maakt ze contact met de gegevensverzameling van die partij om een communicatiesessie 4

5 op te zetten en berichten uit te wisselen. Voordat de communicatie kan beginnen, moet ze er zeker van zijn dat de partij aan de andere kant van de communicatie authentiek is en inderdaad de deelnemer aan de communicatie is die ze zegt te vertegenwoordigen. Dit doet ze door het certificaat van de vragende partij te controleren aan het begin van de sessie. Zonder een geldig certificaat zal de gevraagde partij weigeren een sessie op te zetten met de vragende partij. Met andere woorden, het certificaat is het digitale identiteitsbewijs. Hiermee toont de bevraagde partij aan dat haar OSB-applicatie authentiek is en haar toebehoort en dat partijen met elkaar mogen communiceren. Het certificaat bevat alleen gegevens om vast te stellen welke partij de eigenaar is van de te benaderen gegevensverzameling, maar niet wat een vragende partij mag doen met gegevens uit die verzameling. Het wat mag er dan? (de autorisatie van functies (functionarissen)) is opgeslagen in de bevraagde gegevensverzameling. Een vragende partij mag alleen gegevens opvragen van die objecten in de bevraagde applicatie waarvoor ze een machtiging heeft gekregen van de houder van de bevraagde gegevensverzameling. 3. Wanneer (vanaf welke fase) heb ik een certificaat nodig? Het certificaat is vereist voor elke berichtuitwisseling via OSB tussen gegevensverzamelingen. In de meeste gevallen zal de eerste berichtuitwisseling plaatshebben tijdens de aansluittoets tussen de communicerende partijen. Dat betekent dat de 'OSB-klant'uiterlijk op dat moment een OSB PKIoverheid Certificaat moet hebben aangeschaft, geïnstalleerd en getest. 4. Welk certificaat heb ik nodig? Er bestaan diverse typen PKIoverheid Certificaten, zoals persoonsgebonden certificaten of organisatie-/servicesgebonden certificaten. Voor communicatie die via OSBstandaarden plaatsvindt moet gebruik gemaakt worden van het type OSB PKI Overheid Services (Server) certificaat. Dit type certificaat identificeert de server. 5. Hoe wordt een (OSB)certificaat gemaakt? OSB PKIoverheid Certificaten worden uitgegeven door een beperkt aantal CSP s en bevatten een aantal gegevens over de aanvragende organisatie. Bij OSB PKIoverheid Certificaten gaat het met name om het Overheids Identificatie Nummer (OIN). Dit is een aansluiteis. De gegevens op het certificaat worden vóór uitgifte door de CSP geverifieerd. Wordt het OIN (en de andere zaken) goedgekeurd dan wordt het certificaat door de CSP digitaal ondertekend. Simpel gesteld bestaat het maken van een geldig certificaat uit de volgende twee stappen. Stap 1: Aanmaken van een zogenaamde Certificate Signing Request (CSR). Dit is een soort blanco certificaat met alleen de identificerende gegevens erop (zie paragraaf 2.3), maar nog niet ondertekend. Het aanmaken van de CSR levert tegelijk, in een separaat bestand, ook de bijbehorende geheime sleutel. Stap 2: Ondertekenen van de CSR. De CSP controleert de aanvraag en de gegevens in de CSR. Als alles klopt, wordt de CSR digitaal ondertekend door de CSP en wordt daarmee een geldig certificaat. Aangezien de geheime sleutel goed beveiligd moet worden en niet in handen van derden mag komen, is het gebruikelijk dat de deelnemer zelf de CSR aanmaakt en deze naar de 5

6 CSP opstuurt bij de aanvraag. Het is ook mogelijk om het aanmaken van de CSR uit te besteden bij de CSP, mits deze kan garanderen dat zijn uitgifteproces ingericht is met zodanige veiligheidswaarborgen dat de geheime sleutel uitsluitend en vertrouwelijk wordt overhandigd aan de bevoegde persoon van de aanvragende organisatie en er ook geen kopie wordt bewaard bij de CSP. Voor het aanmaken van een CSR is specifieke technische kennis en tools vereist. Raadpleeg hiervoor de afdeling Informatisering & Automatisering (I&A), of vraag ondersteuning van de CSP. 6. Is het certificaat gekoppeld aan de organisatie, de servernaam of iets anders? Het certificaat bevat altijd de naam van de organisatie plus de identificerende gegevens van de server. Dit kan een domeinnaam zijn (een zogenaamde fully qualified domain name), een servernaam, of minder gebruikelijk het IP-adres waarop de server is te bereiken. Het is niet mogelijk een certificaat aan te vragen voor een range van adressen. Zo mag *.overheidsservicebus.nl niet. Als u toch meerdere servers via één certificaat wilt gebruiken, lees dan hieronder verder. 7. Hoe lang is een certificaat geldig? Certificaten zijn drie jaar geldig vanaf de datum van afgifte. Daarna dient een nieuw certificaat te worden aangeschaft en geïnstalleerd. De certificaatbeheerder van het OSB PKIoverheid Certificaat dient tijdig (minimaal enige weken voor het aflopen van de geldigheidstermijn) een nieuw certificaat aan te vragen en te installeren om te zorgen voor een ongestoorde koppeling met een gegevensverzameling. (Bij DigiNotar heeft het certificaat een afwijkende naam: PKIoverheid Services Certificaat type Organisatie). 8. Wat zijn de aanschafkosten voor een certificaat? Voor de actuele prijzen zie de websites van de CSP s. 6

7 2 Praktische stappen 1. Stappenplan naar een goed werkend certificaat. Onderstaand figuur geeft schematisch weer welke stappen de deelnemer moet doorlopen om een werkend OSB PKIoverheid Certificaat te krijgen. Elke stap bestaat uit een keuze en/of een actie. De rol van de medewerker binnen de organisatie die de keuze moet maken of de actie moet uitvoeren, is per stap aangegeven. In de rest van dit hoofdstuk staan enkele stappen en de invulling van de rollen nader toegelicht. Keuze Acties 1 Projectleider CSP Keuze 2 Project leider en Technisch Beheerder Proxy of Server 3 Certificaatbeheerder Hoe en waar bewaren van geheime sleutel 4 Projectleider Bepalen rollen Certificaatbeheerder Technisch Beheerder Bevoegd vertegenwoordiger Mandateren certificaatbeheerder 5 Certificaatbeheerder Registreren als abonnee 6 7 Certificaatbeheerder Aanvraag certificaat Technisch Beheerder aanmaken CSR

8 7 Certificaatbeheerder Ontvangen certificaat 8 Technisch Beheerder Installeren Certificaat 2. Welke partijen kunnen certificaten leveren? OSB PKIoverheid Certificaten worden geleverd door CSP s die zijn goedgekeurd als leverancier van PKIoverheid Certificaten door de organisatie van PKIoverheid. Het type PKIoverheid Certificaten dat geschikt is voor gebruik met de OSB wordt momenteel geleverd door Diginotar: Pink Roccade Gemnet CSP Gemnet CSP levert PKIoverheid Certificaten van Getronics PinkRoccade. Er zijn momenteel nog drie andere leveranciers van PKIoverheid Certificaten, maar die leveren geen OSB PKIoverheid Certificaten. Een overzicht van leveranciers van PKIoverheid Certificaten is te vinden op Als de deelnemer nog niet eerder een PKIoverheid Certificaat heeft aangeschaft dan zal ze eerst een keuze moeten maken bij welke CSP ze dit wil doen. 3. Wie moet wat doen binnen de aanvragende organisatie? Naast de projectleider OSB is een aantal rollen van belang bij de aanvraag en implementatie van een OSB PKIoverheid Certificaten: - Bevoegd vertegenwoordiger, - Certificaatbeheerder, - Technisch beheerder. 8

9 Deze rollen moeten duidelijk worden belegd. De bevoegd vertegenwoordiger is de functionaris die bevoegd is om de organisatie te vertegenwoordigen inzake OSB PKIoverheid Certificaten. In de praktijk zal de bevoegd vertegenwoordiger een certificaatbeheerder mandateren om namens de organisatie op te treden bij de aanvraag en het beheer van certificaten. Certificaatbeheerders zijn de enigen die namens de organisatie certificaten kunnen aanvragen. Die rol moet worden belegd bij een of meer medewerkers van de organisatie. Het verdient de voorkeur om de rol van certificaatbeheerder te beleggen bij de beveiligingscoördinator (indien aanwezig), maar het komt in de praktijk ook voor dat het hoofd P&O of het hoofd I&A die rol op zich neemt. Tot de verantwoordelijkheid van de certificaatbeheerder behoort onder meer het aanvragen en ontvangen van certificaten, het veilig bewaren van de geheime sleutel, zicht houden en reageren op relevante beveiligingsvraagstukken, het bewaken van de geldigheidstermijnen en tijdig aanvragen van nieuwe certificaten. De technisch beheerder zorgt voor de installatie en het technisch beheer van de verkregen certificaten. Indien van toepassing zorgt de technisch beheerder ook voor het aanmaken van een CSR ten behoeve van de aanvraag (zie paragraaf 1.5). De technisch beheerder kan dezelfde zijn als de certificaatbeheerder. In de praktijk gaat het vaak om een andere functionaris die de genoemde taken uitvoert in opdracht van de certificaatbeheerder. 4. Wat houdt het registreren in? Het is zeer goed mogelijk dat uw organisatie reeds geregistreerd is bij een CSP. Vraag dit na bij uw I&A-afdeling. Is uw organisatie nog niet geregistreerd, dan dient u zich eerst als abonnee te laten registreren bij een CSP van uw keuze, voordat u als organisatie een OSB PKIoverheid Certificaat kunt aanvragen. Dit kan normaliter tegelijkertijd met de eerste certificaataanvraag worden geregeld. Indien u eerder een certificaat bij die CSP heeft aangeschaft voor andere doeleinden (bijv. voor uitwisseling d.m.v. DigiD, BSN, elektronische handtekening etc.) dan is de organisatie reeds geregistreerd als abonnee en kunt u deze stap overslaan. In dat geval is er ook al een certificaatbeheerder binnen de organisatie bekend. Bij de registratie als abonnee geeft de organisatie tevens één of meer certificaatbeheerders op. Indien noodzakelijk kan de deelnemer ook op een later moment nog certificaatbeheerders toevoegen. De opgegeven certificaatbeheerders dienen zich eenmalig te identificeren door persoonlijk langs te gaan bij een instantie (voor Gemnet CSP is dat een GWK-kantoor, voor DigiNotar en Pink Roccade is dat een notaris), met een geldig identiteitsbewijs en een document dat zijn bevoegdheid als certificaatbeheerder aantoont. De CSP kan u meer vertellen over de precieze eisen die hieraan gesteld worden en beschikken over modelverklaringen. (Zie ook de genoemde websites). Diginotar: /tabid/1218/default.aspx Pink Roccade: Gemnet CSP: 9

10 Gemnet CSP levert PKIoverheid-certificaten van Getronics PinkRoccade. 5. Hoe vraag ik een certificaat aan? Na registratie als abonnee kan de certificaatbeheerder namens de deelnemer certificaten aanvragen. Dit betekent dat sommige organisatie meerdere certificaten kunnen aanvragen. Dit kan via de website, maar ook per post of . Op het aanvraagformulier vult de certificaatbeheerder een aantal gegevens in, waaronder de identificerende gegevens van de server waarop het certificaat zal worden geïnstalleerd. Bij Gemnet CSP dient de deelnemer zelf een CSR aan te maken (zie paragraaf 1.4) en op te sturen. Bij DigiNotar en Pink Roccade kan men ervoor kiezen zelf een CSR aan te maken of dit door de CSP te laten doen. Bij die laatste optie wordt het certificaat en de geheime sleutel op veilige wijze aan de certificaatbeheerder bezorgd. De websites van de CSP s vermelden de precieze aanvraagprocedures en de te overleggen documenten. De doorlooptijd van aanvraag tot levering bedraagt één tot vijf weken; hiermee dient men in de planning rekening te houden. Na ontvangst van het ondertekende certificaat dient het te worden geïnstalleerd op de server. 6. Hoe installeer ik een certificaat? Zowel het door de CSP ondertekende certificaat als de geheime sleutel dienen te worden geïnstalleerd op de server. Vervolgens dient men de applicatie zodanig te configureren dat ze gebruik kan maken van het certificaat. De precieze werkwijze voor installatie en gebruik van het certificaat kan per platform en applicatie erg verschillen. Het is daarom niet mogelijk daarvoor simpele aanwijzingen te geven in dit document. Raadpleeg de informatie van de CSP en de OSB-applicatieleverancier of neem contact op voor ondersteuning. Algemene technische informatie over installatie en beheer van certificaten is te vinden in vele boeken. Het laatste hoofdstuk van dit document verwijst naar enkele bronnen. 7. Wat moet er worden opgestuurd naar de eigenaar (houder) van de gegevensverzameling en waarom? Na succesvolle installatie van het certificaat op de server dient de organisatie een kopie van het certificaat op te sturen naar de beheerder van de gegevensverzameling waarmee men wil communiceren. Na ontvangst zorgt de beheerder van de gegevensverzameling ervoor dat het certificaat bij die gegevensverzameling wordt opgevoerd. Vanaf dat moment kan de bevraagde gegevensverzameling herkennen welke ontvangen berichten afkomstig zijn van de eigenaar van het geïnstalleerde certificaat. Let op: Stuur alleen het certificaat op naar de beheerder van de gegevensverzameling, niet de geheime sleutel! Die laatste dient u te allen tijde goed verborgen te houden. Neem in geval van twijfel contact op met de beheerder van de gegevensverzameling. 10

11 3 Bijzondere situaties 1. Kan ik hetzelfde certificaat gebruiken bij vervanging van de server? Bij vervanging van de server kan hetzelfde certificaat worden hergebruikt op de nieuwe server. Indien van het certificaat en de geheime sleutel geen kopieën zijn bewaard, dan dienen deze eerst van de oude server te worden geëxporteerd. Vervolgens moeten het certificaat inclusief geheime sleutel van de oude server worden verwijderd en op de nieuwe server worden geïnstalleerd. De identificerende gegevens van de nieuwe server moeten identiek zijn aan de gegevens op het certificaat. 2. Kan ik hetzelfde certificaat gebruiken bij virtuele servers, redundantie, backup of uitwijk? Virtual servers hebben geen invloed op het gebruik van certificaten. Het certificaat kan worden geïnstalleerd en gebruikt op een virtual server alsof het om een fysieke server gaat. Indien de applicatie tegelijk draait op meerdere servers ten behoeve van redundantie of load balancing, dan zal op elke server een andere certificaat moeten worden geïnstalleerd. In dat geval moeten al deze certificaten naar de beheerder van de gegevensverzameling worden opgestuurd (zie paragraaf 2.7). Een alternatief is om gebruik te maken van een proxy-server (zie paragraaf 2.10). De houder kan een back-up server inrichten waarop de OSB-applicatie geïnstalleerd is, die normaal niet actief is maar uitsluitend ten behoeve van uitwijk klaarstaat. In dat geval moet op de back-up server een ander certificaat van de deelnemer worden geïnstalleerd dan dat van de hoofd-server, omdat het certificaat slechts op één server tegelijk mag staan. 3. Kan ik één certificaat gebruiken met meer gegevensverzamelingen? De basisregel is dat een (OSB) PKIoverheid Certificaat op maximaal één server tegelijk geïnstalleerd mag zijn. In principe kan hetzelfde certificaat van de deelnemer wel worden gebruikt voor verschillende gegevensverzamelingen en andere toepassingen, mits deze allemaal op één en dezelfde server zijn geïnstalleerd als het certificaat. Indien u (OSB) gegevensverzamelingen op verschillende servers gaat implementeren, dan kunt u toch hetzelfde certificaat gebruiken voor beide doeleinden door gebruik te maken van een zogenaamde proxy-server (zie onderstaande figuur). Of dit een optie is in uw technische infrastructuur en of dit in overeenstemming is met uw beveiligingsbeleid kunt u het beste overleggen met de afdeling I&A. 11

12 Alle communicatie met de buitenwereld verloopt via de proxyserver. Hierop is het certificaat geïnstalleerd Internet of KPS Proxy server Intern netwerk Registratie 1 Registratie 2 4. Heb ik ook een certificaat nodig voor een testserver of alleen voor de productieserver? Als de testserver berichten uitwisselt met een OSB-voorziening voor testdoeleinden, dan is ook daarvoor een certificaat benodigd. Voor testomgevingen worden testcertificaten uitgegeven. Testcertificaten hebben een eigen installatie-hiërarchie om te voorkomen dat testomgevingen contact kunnen maken met productie-omgevingen. 5. Samenwerkende organisaties. Sommige organisaties (twee of meer) richten gezamenlijk één server in voor een gegevensverzameling. Daarop staan de gegevens van deze organisaties (al dan niet in gescheiden databases). Er wordt dan één certificaat geïnstalleerd. Dit certificaat dient te worden aangevraagd door en op naam van één van de samenwerkende organisaties in het samenwerkingsverband. Deze organisatie is daarmee ook verantwoordelijk voor het certificaat. De verantwoordelijke organisatie zorgt voor de juiste mandatering van haar medewerker(s) als certificaatbeheerders. Via het ene certificaat is het dan toegestaan om wijzigingen op de objecten van de samenwerkende organisaties door te geven aan de gegevensverzameling. Om dit te bereiken moet de samenwerking wel worden gemeld aan de beheerder van de gegevensverzameling bij het opsturen van de kopie van het certificaat. Voorbeeld: organisaties A, B, C en D maken gebruik van één gezamenlijk ingerichte gegevensverzameling. Het certificaat wordt door en op naam van deelnemer B aangeschaft. De beheerder van de gegevensverzameling dient de gegevens van A, B, C en D te kennen. Organisaties A, B, C en D zijn allen in het bezit van de publieke sleutel, zodat zij ook communicatie met de gegevensverzameling kunnen opzetten. 4 Meer informatie. 12

13 Over PKIoverheid voor uw organisatie: Instructie voor het aanmaken van een CSR: Zie de site van de leveranciers van OSB PKIoverheid Certificaten Installatie en beheer van certificaten algemeen: Indien u meer informatie wilt over PKIoverheid Certificaten voordat u een CSP kiest, of als u met uw vraag onvoldoende wordt geholpen door een CSP, dan kunt u contact opnemen met het account management team van GBO.Overheid: of info@pkioverheid.nl. Afkorting (Bron) Registratie CSP CSR Geheime sleutel OSB PKIoverheid Verklaring Een verzameling van gegevens die via PKI benaderd zal worden Certificate Service Provider Een natuurlijke persoon of rechtspersoon die certificaten afgeeft of andere diensten in verband met elektronische handtekeningen, identiteit en vertrouwelijkheid verleent. De officiële Nederlandse term is Certificatiedienstverlener. Certificate Signing Request Een blanco certificaat met alleen de identificerende gegevens erop maar nog niet ondertekend door de CSP. Een CSR wordt pas bruikbaar nadat hij is ondertekend door een CSP; na ondertekening spreekt men van een certificaat. Een klein digitaal bestand dat samen met het certificaat moet worden geïnstalleerd op de server. De geheime sleutel vormt samen met het certificaat een onlosmakelijk paar. Zonder de geheime sleutel kan het certificaat niet worden gebruikt in de elektronische communicatie met de server. Doordat de houder van de OSB-applicatie of gegevensverzameling als enige beschikt over haar geheime sleutel, weet de OSBgegevensverzameling zeker dat de berichten verzonden met het betreffende certificaat van de bevragende partij afkomstig moeten zijn. De officiële Nederlandse term is private sleutel. OverheidsServiceBus: Public Key Infrastructure 13