SSL In De Suwi Keten
If you can't read please download the document
-
Upload
dirk-temme -
Category
Technology
-
view
1.080 -
download
0
description
Beschrijving van het gebruik van SSL certificaten bij de Informatie-uitwisseling. Over Server- en Client-certificaten, Publieke en Private sleutels, en wat moet er in welke keystore.
Transcript of SSL In De Suwi Keten
- 1. SSL in de Suwi Keten 20 Maart 2009, Dirk Temme
2. Suwinet Inkijk zonder SSL, niet versleuteld 3. Suwinet Inkijk met SSL, wel versleuteld
- Suwinet Inkijk heeft eenServercertificaat, met de hostname suwinet-inkijk-productie.suwinet.nl er in
4. Aan de Gebruiker wordt gevraagd door de browser of hij die website vertrouwt 5. In werkelijkheid wordt er hiervoor een wildcard certificaat gebruikt: voor alle hostnamen *.suwinet.nl 6. SSL Handshake (zonder Authenticatie van de Gebruiker) 7. In werkelijkheid gaat dit via de CSS (voorkeur APG)
- Van Browser naar CSS: wel versleuteld
8. Van CSS naar Suwinet Inkijk: niet versleuteld 9. Denk ook aan de 'bovenliggende' certificaten van de Certificate Authority. Die moeten ook als 'Vertrouwd' aangemerkt worden. Dus in de Trusted keystore van de CSS en van de PC gezet worden . 10. Suwinet Inkijk haalt zijn gegevens op bij de Suwi Broker
- Niet versleuteld
11. Niet via de CSS 12. Via het interne netwerk bij APG 13. De Suwi Broker haalt de gegevens op bij externe partijen
- Zoals GBA, Kadaster, UWV, CWI, Inlichtingenbureau, SVB
14. Via het Suwinet netwerk 15. En eventueel (verderop) via het Gemnet 16. Enkelzijdige SSL, versleuteld
- GBA heeft eenServercertificaat, met de hostname services.gba-v.nl er in
17. De Broker laadt de bijbehorende Publieke Sleutel in zijn Trusted Keystore 18. Dubbelzijdige SSL, versleuteld en met authenticatie van de Broker
- De Broker heeft eenClientcertificaat, met de naam van het systeem er in (is niet een hostnaam)
19. GBA laadt de bijbehorende Publieke Sleutel in zijn Trusted Keystore 20. SSL Handshake met Authenticatie van de Gebruiker 21. Dubbelzijdige SSL naar GBA en naar Kadaster
- Broker kan beide Servers met hetzelfde Client certificaat aanspreken
22. In werkelijkheid gaat dit via de CSS (voorkeur APG)
- Van Broker naar CSS: niet versleuteld
23. Van CSS naar GBA en Kadaster: wel versleuteld 24. Denk ook aan de 'bovenliggende' certificaten van de Certificate Authorities. Die moeten ook als 'Vertrouwd' aangemerkt worden. Dus in de Trusted keystore van de CSS gezet worden. 25. Op het allerlaatste moment zijn de certificaten toch op de Broker zelf geinstalleerd 26. Ketenregistraties achter SSL: STAP 1:
- Server-certificaten installeren
27. Ketenregistraties achter SSL: STAP 2
- Enkelzijdige SSL realiseren
28. Keten-registraties achter SSL: STAP 3
- Dubbelzijdige SSL realiseren
