(v1) Certificaten transactietoken
- Bart Hoenderboom
Analytics
Te gebruiken certificaat en attributen
De UZI-pas/certificaat kent een aantal modellen:
Tabel AORTA.STK.t3210 – UZI pastype
Naam UZI-pastype/certificaat | Codering Pastype/certificaat |
Zorgverlenerpas | Z |
Medewerkerpas op naam | N |
Medewerkerpas niet op naam | M |
Servercertificaat | S |
De pas of het certificaat die gebruikt wordt voor het ondertekenen van een transactietoken moet een zorgverlenerpas,een medewerkerpas op naam zijn of een servercertificaat. Hoewel het pastype gecodeerd is opgenomen in het authenticiteitcertificaat (in het subjectAltName attribuut), dient een applicatie op basis van de uitgevende CA vast te stellen wat het pastype van de UZI-pas is.
Indien gebruik gemaakt wordt van een servercertificaat, dan geldt het volgende: een GBZ dient voor transportbeveiliging bij voorkeur een ander servercertificaat te gebruiken dan voor berichtauthenticatie. Dit is met name van toepassing wanneer ondertekening niet via een zelfde key-store verloopt dan dat van de TLS-verbinding. De verschillende certificaten horen daarbij in verschillende componenten ondergebracht te zijn in de architectuur van het XIS.
De signature wordt gezet met de sleutel voor authenticiteit (keyUsage=digitalSignature, hexadecimaal 0x80).
De attributen in het authenticiteitcertificaat worden gegeven in de vorm van een Distinguished Name (DN), zie [IH tokens generiek].
De waarden van deze attributen voor de relevante UZI-certificaten zijn:
Tabel AORTA.STK.t3220 – DN attributen van UZI-certificaten
Attribuut | Omschrijving | Waarde |
CN | Issuer.commonName | Derde generatie: UZI-register Zorgverlener CA G3  |
O | Issuer.organisationName | agentschap Centraal Informatiepunt Beroepen Gezondheidszorg |
C | Issuer.countryName | NL |
| De issuer.commonName verschilt per 'generatie' UZI-passen. Het is mogelijk dat verschillende 'generatie' UZI-passen door elkaar worden gebruikt. Daarom dient de Issuer DN dynamisch afgeleid te worden uit het gebruikte authenticatiecertificaat. |
Om de digitale handtekening bij het LSP te verifiëren, moet de ontvanger over de bijbehorende publieke sleutel beschikken, zie [IH tokens generiek].
Voor verificatie is gekozen een verwijzing naar het certificaat mee te zenden; de ontvanger moet deze dan met bijvoorbeeld het LDAP protocol ophalen in de directory van het UZI-register.
Zie voor de verdere beschrijving van de passen [UZI pas].
Noot: uiteraard mogen in het testtraject alleen UZI-testpassen en UZI-testcertificaten gebruikt worden. Het gebruik hiervan wordt verder niet uitgewerkt in deze handleiding. De werking is identiek.