Te gebruiken certificaat en attributen

De UZI-pas/certificaat kent een aantal modellen:

Tabel AORTA.STK.t3210 – UZI pastype

Naam UZI-pastype/certificaat	Codering Pastype/certificaat
Zorgverlenerpas	Z
Medewerkerpas op naam	N
Medewerkerpas niet op naam	M
Servercertificaat	S

De pas of het certificaat die gebruikt wordt voor het ondertekenen van een transactietoken moet een zorgverlenerpas,een medewerkerpas op naam zijn of een servercertificaat. Hoewel het pastype gecodeerd is opgenomen in het authenticiteitcertificaat (in het subjectAltName attribuut), dient een applicatie op basis van de uitgevende CA vast te stellen wat het pastype van de UZI-pas is.

Indien gebruik gemaakt wordt van een servercertificaat, dan geldt het volgende: een GBZ dient voor transportbeveiliging bij voorkeur een ander servercertificaat te gebruiken dan voor berichtauthenticatie. Dit is met name van toepassing wanneer ondertekening niet via een zelfde key-store verloopt dan dat van de TLS-verbinding. De verschillende certificaten horen daarbij in verschillende componenten ondergebracht te zijn in de architectuur van het XIS.

De signature wordt gezet met de sleutel voor authenticiteit (keyUsage=digitalSignature, hexadecimaal 0x80).

De attributen in het authenticiteitcertificaat worden gegeven in de vorm van een Distinguished Name (DN), zie [IH tokens generiek].

De waarden van deze attributen voor de relevante UZI-certificaten zijn:

Tabel AORTA.STK.t3220 – DN attributen van UZI-certificaten

Attribuut	Omschrijving	Waarde
CN	Issuer.commonName	Derde generatie: UZI-register Zorgverlener CA G3 Voor mogelijke volgende generaties wordt verwezen naar het UZI-register: https://www.uziregister.nl/
O	Issuer.organisationName	agentschap Centraal Informatiepunt Beroepen Gezondheidszorg
C	Issuer.countryName	NL

De issuer.commonName verschilt per 'generatie' UZI-passen. Het is mogelijk dat verschillende 'generatie' UZI-passen door elkaar worden gebruikt. Daarom dient de Issuer DN dynamisch afgeleid te worden uit het gebruikte authenticatiecertificaat.

Om de digitale handtekening bij het LSP te verifiëren, moet de ontvanger over de bijbehorende publieke sleutel beschikken, zie [IH tokens generiek].

Voor verificatie is gekozen een verwijzing naar het certificaat mee te zenden; de ontvanger moet deze dan met bijvoorbeeld het LDAP protocol ophalen in de directory van het UZI-register.

Zie voor de verdere beschrijving van de passen [UZI pas].

Noot: uiteraard mogen in het testtraject alleen UZI-testpassen en UZI-testcertificaten gebruikt worden. Het gebruik hiervan wordt verder niet uitgewerkt in deze handleiding. De werking is identiek.

Browser not supported