(current) Certificaten Inschrijftoken
- Bart Hoenderboom
Analytics
Te gebruiken certificaat en attributen UZI
De UZI-pas kent een aantal modellen:
Tabel AORTA.STK.t3210 – UZI pastype
Naam UZI-pastype | Codering Pastype |
Zorgverlenerpas | Z |
Medewerkerpas op naam | N |
Medewerkerpas niet op naam | M |
Servercertificaat | S |
De pas die gebruikt wordt voor het ondertekenen van een inschrijftoken moet een zorgverlenerpas of een medewerkerpas op naam zijn. Hoewel het pastype gecodeerd is opgenomen in het authenticiteitcertificaat (in het subjectAltName attribuut), dient een applicatie op basis van de uitgevende CA vast te stellen wat het pastype van de UZI-pas is.
De signature wordt gezet met de sleutel voor authenticiteit (keyUsage=digitalSignature, hexadecimaal 0x80).
De attributen in het authenticiteitcertificaat worden gegeven in de vorm van een Distinguished Name (DN), zie [IH tokens generiek].
De waarden van deze attributen voor de relevante UZI-passen zijn:
Tabel AORTA.STK.t3220 – DN attributen van zorgverlenerspas
Attribuut | Omschrijving | Waarde |
CN | Issuer.commonName | Derde generatie: UZI-register Zorgverlener CA G3  |
O | Issuer.organisationName | agentschap Centraal Informatiepunt Beroepen Gezondheidszorg |
C | Issuer.countryName | NL |
| De issuer.commonName verschilt per 'generatie' UZI-passen. Het is mogelijk dat verschillende 'generatie' UZI-passen door elkaar worden gebruikt. Daarom dient de Issuer DN dynamisch afgeleid te worden uit het gebruikte authenticatiecertificaat. |
Tabel AORTA.STK.t3230 – DN attributen van medewerkerpas op naam
Attribuut | Omschrijving | Waarde |
CN | Issuer.commonName | Derde generatie: UZI-register Medewerker op naam CA G3 |
O | Issuer.organisationName | agentschap Centraal Informatiepunt Beroepen Gezondheidszorg |
C | Issuer.countryName | NL |
Om de digitale handtekening bij het LSP te verifiëren, moet de ontvanger over de bijbehorende publieke sleutel beschikken, zie [IH tokens generiek].
Voor verificatie is gekozen een verwijzing naar het certificaat mee te zenden; de ontvanger moet deze dan met bijvoorbeeld het LDAP protocol ophalen in de directory van het UZI-register.
Zie voor de verdere beschrijving van de passen [UZI pas].
Noot: uiteraard mogen in het testtraject alleen UZI-testpassen gebruikt worden. Het gebruik hiervan wordt verder niet uitgewerkt in deze handleiding. De werking is identiek.