PKIoverheid Certificaat aanvragen

Het behandelen van data is een uitzonderlijke discipline. Niet alleen zul je moeten weten welke data je wilt gaan behandelen en een technische implementatie hiervoor gaan opzetten, je zult ook aan een aantal randvoorwaarden moeten voldoen. Een van die randvoorwaarden is dat potentiële klanten vaak van je verlangen dat je digitaal kunt aantonen dat jouw server ook daadwerkelijk jouw server is. Een soort digitaal identiteitsbewijs dus. Een oplossing hiervoor is een PKIoverheid Certificaat. Door dit certificaat op je server te installeren, wordt het mogelijk om je digitaal te authenticeren. Maar hoe kom je aan zo’n certificaat? Nou, dat is nog niet zo maar even gepiept. We maken gebruik van KPN.

De stappen:

1. Maak jezelf identificeerbaar met een eHerkenning account

2. Koppel jezelf hiermee aan je eigen bedrijf door een abonneeregistratie te doen

3. Start de aanvraag van het certificaat

4. Genereer een CSR

5. Toon aan dat jouw domein van jou is en dat je toestemming geeft om hiermee een certificaat aan te vragen.

6. Bonusstap: identificeer jezelf persoonlijk

Aan de slag dus. De eerste stap is gelijk een interessante. Je kunt dit online doen door een formulier in te vullen. Zodra je klikt op verzenden, komt de verrassing: je wordt geacht dit formulier te printen, te onderteken, en vervolgens samen met een KVK uittreksel en een kopie van je ID per post op te sturen naar KPN. Zodra alles ontvangen is, gaan ze aan slag en krijg je ook weer per allerlei informatie terug. Daarna kun je inloggen met je kersverse eHerkenning account.

De tweede stap is het aanvragen van een abonneeregistratie. Hiermee krijg je een account waarmee je certificaten kunt aanvragen. Ook hiervoor maak je een digitaal formulier analoog door te printen en te onderteken. Samen met wederom een ID bewijs, stuur je ook dit weer op per post. Daarna is het wachten totdat het gelukt is. In ons geval lukte het niet in 1 keer doordat we beperkende bepalingen in het KVK staan die niet direct zichtbaar zijn voor KPN. Ze vroegen daarom om aan te tonen dat de aanvrager ook daadwerkelijk beslissingsbevoegd is om de aanvraag te doen. Gelukkig konden we deze aanvulling per mail opsturen. Zodra ook dit achter de rug was, werd het account geactiveerd.

Stap 3. Eindelijk kunnen we starten met het aanvragen van het daadwerkelijke certificaat. Hiervoor vul je wederom een formulier in. Gelukkig was dit formulier volledig digitaal. Tijdens de aanvraag moet je een aantal keuzes maken, waaronder de naam van je bedrijf en het domein. De lastigste vraag was het genereren van CSR, stap 4. Dit was voor ons de eerste keer, dus we moesten eerst uitvinden wat het was en hoe en waar we dat moeten genereren. Een CSR blijkt een versleutelde set gegevens met betrekking tot jouw server: naam, domein, stad, land, etc. Dit versleutel je met een public-private keypair. Zowel het keypair als de versleuteling moet aan bepaalde voorwaarden voldoen (voor insiders: SHA256 en RSA2048). Het blijkt dat onze server omgeving dit kan genereren, dus dat schiet lekker op. Het invullen van het formulier was hierna een formaliteit. De laatste stap, stap 5, is het bevestigen van ons domein. Hiervoor stuurt KPN een mailtje naar de geregistreerde domeinnaambeheerder. Door simpelweg een reply te sturen met “ja, ik ben de beheerder en geef toestemming” zet je ook dit vinkje.

Dan lijkt alles, maar komt er nog een laatste aap uit de mouw: een persoonlijke id check. Je krijgt dan een uitnodiging om een afspraak te maken met een bedrijf dat bij je aan de deur komt om je ID te controleren, te scannen, je gezicht te controleren en een handtekening te vragen.

Alles is klaar en bekend en nog geen uur nadat je identiteit is goedgekeurd, komt de verlossende mail mét certificaat. Einde. Doorlooptijd: 4 weken.