Merge pull request #9 from Logius-standaarden/review-rc

Release review 2023
Logius-standaarden · Jul 7, 2023 · c623abc · c623abc
2 parents af8acb0 + 7720bd8
commit c623abc
Show file tree

Hide file tree

Showing 14 changed files with 205 additions and 468 deletions.
diff --git a/.github/ISSUE_TEMPLATE/aanpassing_documentatie.yml b/.github/ISSUE_TEMPLATE/aanpassing_documentatie.yml
@@ -0,0 +1,43 @@
+name: Aanpassing op documentatie
+description: Stel een (tekstueele) wijziging voor in de documentatie van de Digikoppeling standaard
+title: "RFC ..."
+labels: ["digikoppeling", "documentatie"]
+body:
+  - type: checkboxes
+    id: standaard
+    attributes:
+      label: Soort
+      description: Om wat voor wijziging gaat het?
+      options:
+        - label: Tekstuele fout
+        - label: Verbetersuggestie
+        - label: Onduidelijke tekst
+  - type: textarea
+    id: omschrijving
+    attributes:
+      label: Omschrijving
+      description: Wat is de voorgestelde wijziging? Op welke pagina of sectie staat het?
+      placeholder: Tik hier uw voorgestelde wijziging
+    validations:
+      required: true
+  - type: input
+    id: contact
+    attributes:
+      label: Naam
+      description: Naam. Uw naam wordt online getoond in het issue. U kunt ook anoniem invullem.
+    validations:
+      required: false
+  - type: input
+    id: email
+    attributes:
+      label: Email
+      description: E-mail adres. Uw e-mail adres wordt online getoond in het issue. U kunt ook anoniem invullem.
+    validations:
+      required: false
+  - type: input
+    id: organisatie
+    attributes:
+      label: Organisatie
+      description: Naam van uw organisatie. Dit veld is verplicht omdat we deze in het overzicht opnemen.
+    validations:
+      required: true
diff --git a/.github/ISSUE_TEMPLATE/opmerkingen.md b/.github/ISSUE_TEMPLATE/opmerkingen.md
diff --git a/.github/ISSUE_TEMPLATE/vragen.md b/.github/ISSUE_TEMPLATE/vragen.md
diff --git a/.github/ISSUE_TEMPLATE/wijzigingsformulier.yml b/.github/ISSUE_TEMPLATE/wijzigingsformulier.yml
@@ -0,0 +1,34 @@
+name: Wijzigingsformulier
+description: Stel een (inhoudelijke) wijziging voor op de Digikoppeling standaard. Voor een tekstueele wijziging op de documentatie bestaat een ander formulier.
+title: "RFC ..."
+labels: ["Standaard: digikoppeling", "Type: wijziging"]
+body:
+  - type: textarea
+    id: omschrijving
+    attributes:
+      label: Omschrijving
+      description: Wat is de voorgestelde wijziging? 
+      placeholder: Vul hier de voorgestelde aanpassing in
+    validations:
+      required: true
+  - type: input
+    id: contact
+    attributes:
+      label: Naam
+      description: Naam. Uw naam wordt online getoond in het issue. U kunt ook anoniem invullem.
+    validations:
+      required: false
+  - type: input
+    id: email
+    attributes:
+      label: Email
+      description: E-mail adres. Uw e-mail adres wordt online getoond in het issue. U kunt ook anoniem invullem.
+    validations:
+      required: false
+  - type: input
+    id: organisatie
+    attributes:
+      label: Organisatie
+      description: Naam van uw organisatie. Dit veld is verplicht omdat we deze in het overzicht opnemen.
+    validations:
+      required: true
diff --git a/.github/workflows/build.yml b/.github/workflows/build.yml
@@ -1,78 +1,20 @@
-name: Build and Check
-on:
-  workflow_dispatch:
-  pull_request:
-  push:
-    branches:
-      - main
-jobs:
-  build:
-    name: Build
-    uses: Logius-standaarden/Automatisering/.github/workflows/build.yml@main
-  check:
-    needs: build
-    name: Check
-    uses: Logius-standaarden/Automatisering/.github/workflows/check.yml@main
-
-  release:
-    needs: build
-    name: Release
-    runs-on: ubuntu-latest
-    if: ${{ github.event_name == 'push'}}
-    steps:
-      - uses: actions/checkout@v2
-      - name: Recover HTML
-        uses: actions/cache@v2
-        with:
-          path: ~/static
-          key: ${{ github.run_id }}      
-      - name: Gather files
-        run: |         
-         rm -f *.md *.html
-         mv ~/static/snapshot.html index.html
-         mkdir content
-         shopt -s extglob
-         mv !(content) content
-         git clone https://user:${{ secrets.BEHEER }}@github.com/Logius-standaarden/publicatie.git
-      - name: Commit release
-        run: |
-         wget https://raw.githubusercontent.com/Logius-standaarden/Automatisering/main/scripts/release.py
-         python release.py
-         cd publicatie
-         git add -A
-         git config user.name "GitHub Action"
-         git config user.email "api@logius.nl"
-         git commit -m "Release: ${{ github.event.repository.name }}"
-         git push
-
-  preview:
-    needs: build
-    name: Preview
-    runs-on: ubuntu-latest
-    if: ${{ github.event_name == 'pull_request' && !github.event.pull_request.head.repo.fork }}
-    steps:
-      - uses: actions/checkout@v2
-      - name: Recover HTML
-        uses: actions/cache@v2
-        with:
-          path: ~/static
-          key: ${{ github.run_id }}      
-      - name: Gather files
-        run: |
-         rm index.html
-         mv ~/static/snapshot.html index.html
-         rm -f *.md *.pdf *.js snapshot.html
-         mkdir ~/content
-         mv ./* ~/content
-         git clone https://user:${{ secrets.BEHEER }}@github.com/Logius-standaarden/Publicatie-Preview.git
-      - name: Commit preview
-        run: |
-         cd Publicatie-Preview
-         rm -f -r ${{ github.event.repository.name }}/${{ github.head_ref }}
-         mkdir -p ${{ github.event.repository.name }}/${{ github.head_ref }}
-         mv ~/content/* ${{ github.event.repository.name }}/${{ github.head_ref }}
-         git add -A
-         git config user.name "GitHub Action"
-         git config user.email "api@logius.nl"
-         git commit -m "new preview build"
-         git push
+name: Build and Check
+on:
+  workflow_dispatch:
+  pull_request:
+  push:
+    branches:
+      - main
+jobs:
+  build:
+    name: Build
+    uses: Logius-standaarden/Automatisering/.github/workflows/build.yml@main
+  check:
+    needs: build
+    name: Check
+    uses: Logius-standaarden/Automatisering/.github/workflows/check.yml@main    
+  publish:
+    needs: build
+    name: Publish (Logius)
+    uses: Logius-standaarden/Automatisering/.github/workflows/publish.yml@main
+    secrets: inherit
diff --git a/02_documentbeheer.md b/02_documentbeheer.md
@@ -8,3 +8,4 @@ Documentbeheer
 | 12/10/2017 | 1.5    | Logius | Tekstuele redactie, Figuur overzicht documentatie aangepast |
 | 01/09/2020 | 1.6    | Logius | Informatie over Private Root CA en Pkioverheid generaties toegevoegd; CSP vervangen door TSP |
 | 11/04/2022 | 1.6.2    | Logius | Vermelding REST-API koppelvlak |
+| 01/06/2023 | 1.6.3    | Logius | Update 2023 conform Roadmap Digikoppeling, review |
diff --git a/03_colofon.md b/03_colofon.md
@@ -2,4 +2,4 @@
 
 | | |
 |---|---|
-| Logius Servicecentrum: | Postbus 96810 2509<br>JE Den Haag<br>t. 0900 555 4555 (10 ct p/m)<br>e.<servicecentrum@logius.nl> |
+| Logius Servicecentrum: | Postbus 96810 <br>2509 JE Den Haag<br>tel. 0900 555 4555 (10 ct p/m)<br>email servicecentrum@logius.nl |
diff --git a/README.md b/README.md
@@ -1,5 +1,5 @@
 # Digikoppeling Gebruik en achtergrond certificaten
 
-- html: https://logius-standaarden.github.io/Digikoppeling-Gebruik-en-achtergrond-certificaten/
-- html(static): https://logius-standaarden.github.io/Digikoppeling-Gebruik-en-achtergrond-certificaten/snapshot.html
-- PDF-versie: https://github.com/Logius-standaarden/Digikoppeling-Gebruik-en-achtergrond-certificaten/blob/master/Digikoppeling-Gebruik-en-achtergrond-certificaten.pdf
+- Werkversie: https://logius-standaarden.github.io/Digikoppeling-Gebruik-en-achtergrond-certificaten/
+- Gepubliceerde versie (HTML): https://publicatie.centrumvoorstandaarden.nl/dk/gbachtcert/
+- Gepubliceerde versie (PDF): https://gitdocumentatie.logius.nl/publicatie/dk/gbachtcert/Digikoppeling-Gebruik-en-achtergrond-certificaten.pdf
diff --git a/ch01_Inleiding.md b/ch01_Inleiding.md
@@ -2,9 +2,7 @@
 
 ## Doel en doelgroep
 
-Dit document beschrijft de wijze waarop, binnen de context van
-
-Digikoppeling, met certificaten wordt omgegaan. Inhoudelijk voorziet het in de detaillering van de architectuur voor identificatie, authenticatie en autorisatie. Bovendien geeft het uitleg over de gebruikelijke werkwijze bij het toepassen van certificaten. Meer informatie over certificaten is te vinden op de website: [www.pkioverheid.nl](http://www.pkioverheid.nl) en cert.pkioverheid.nl.
+Dit document beschrijft de wijze waarop, binnen de context van Digikoppeling, met certificaten wordt omgegaan. Inhoudelijk voorziet het in de detaillering van de architectuur voor identificatie, authenticatie en autorisatie. Bovendien geeft het uitleg over de gebruikelijke werkwijze bij het toepassen van certificaten. Meer informatie over certificaten is te vinden op de website: https://cert.pkioverheid.nl/.
 
 Onderstaande tabel geeft de doelgroep van dit document weer.
 
@@ -80,7 +78,7 @@ Een belangrijk aspect voor beveiliging van Digikoppeling is de juiste identifica
 
 <sup>1</sup>: Zie [http://www.logius.nl/pkioverheid](http://www.logius.nl/pkioverheid)
 
-<sup>2</sup>: Zie het document “Digikoppeling Identificatie en Authenticatie”
+<sup>2</sup>: Zie het document [Digikoppeling Identificatie en Authenticatie](https://gitdocumentatie.logius.nl/publicatie/dk/idauth/)
 
 - een uitwerking van de consequenties van deze authenticatie-afspraken;
 
@@ -108,27 +106,27 @@ De privésleutel vertegenwoordigt in de elektronische communicatie de eigenaar.
 
 Dit document is opgebouwd volgens een karakteristiek proces dat organisaties bij invoering van Digikoppeling doorlopen:
 
-- Uitleg over PKIoverheid (hoofdstuk 2)
+- [Uitleg over PKIoverheid](#achtergrond-pkioverheid-certificaten)
 
-- Ontwerpen van de aansluiting op Digikoppeling met een Digikoppeling adapter (hoofdstuk 3).
+- [Ontwerpen van de aansluiting op Digikoppeling met een Digikoppeling adapter](#ontwerp-aspecten-digikoppeling-adapter)
 
-- Bestellen van een certificaat (hoofdstuk 4).
+- [Bestellen van een certificaat](#bestellen-certificaat)
 
-- Ontvangst en installatie van het certificaat (hoofdstuk 5).
+- [Ontvangst en installatie van het certificaat](#installatie-certificaat)
 
-- Distributie van het certificaat (hoofdstuk 6).
+- [Distributie van het certificaat](#distributie-en-cpa-creatie)
 
-- Gebruik van het certificaat (hoofdstuk 7).
+- [Gebruik van het certificaat](#gebruiksaspecten)
 
 De volgende hoofdstukken gaan hier per processtap op in. Elk hoofdstuk begint met de opsomming van een aantal vragen die duidelijk maken op welke informatiebehoefte het hoofdstuk antwoord geeft. Daarna volgt belangrijke achtergrondinformatie. Het hoofdstuk sluit af met een beschrijving van de benodigde activiteiten voor deze proces stap.
 
 In bijlagen is de volgende aanvullende informatie opgenomen:
 
-- Informatie over bestandsformaten waarin sleutels en/of certificaten uitgewisseld kunnen worden (Bijlage 1).
+- [Informatie over bestandsformaten waarin sleutels en/of certificaten uitgewisseld kunnen worden](#bijlage-1-bestandsformaten-voor-certificaten)
 
-- Richtlijnen voor een veilig wachtwoord (Bijlage 2)
+- [Richtlijnen voor een veilig wachtwoord](#bijlage-2-richtlijnen-voor-een-veilig-password)
 
-- Gegevens die in een certificaat opgenomen kunnen worden opgenomen (Bijlage 3)
+- [Gegevens die in een certificaat opgenomen kunnen worden opgenomen](#bijlage-3-basisattributen-in-certificaat)
 
 ## Referenties
 

diff --git a/ch02_Achtergrond PKIoverheid certificaten.md b/ch02_Achtergrond PKIoverheid certificaten.md
@@ -10,11 +10,11 @@ De certificatie dienstverleners (TSPs<sup>3</sup>) verstrekken PKIoverheid certi
 
 <sup>3</sup>: Trust Service Providers (TSPs) is de engelse term voor certificatie dienstverleners. De afkorting TSPs wordt in dit document gebruikt voor beide begrippen. TSP’s werden eerder CSP genoemd, Certificate Service Provider.
 
-<sup>4</sup>: https://www.logius.nl/standaarden/pkioverheid/
+<sup>4</sup>: https://www.logius.nl/diensten/pkioverheid
 
 Kenmerken PKIoverheid<sup>5</sup>:
 
-<sup>5</sup>: [www.PKIoverheid.nl](http://www.PKIoverheid.nl)
+<sup>5</sup>: [Hoe werkt PKIoverheid?](https://www.logius.nl/diensten/pkioverheid/hoe-werkt-het)
 
 - Exclusief keurmerk van de Staat der Nederlanden.
 
@@ -41,7 +41,7 @@ Binnen de PKI voor de overheid zijn op vier niveaus verschillende typen certific
 - TSP certificaat;
 - Eindgebruikercertificaat.
 
-Het Staat der Nederlanden G3 stamcertificaat, wordt vanaf 1-1-2021 niet langer gebruikt, in plaats daarvan wordt voor machine to machine verkeer (en dus ook voor Digikoppeling) gebruik gemaakt van het Staat der Nederlanden Private Root CA G1 stamcertificaat.
+Voor machine to machine verkeer (en dus ook voor Digikoppeling) wordt gebruik gemaakt van het Staat der Nederlanden Private Root CA G1 stamcertificaat.
 (Voor webauthenticatie wordt vanaf 1-1-2021 gebruik gemaakt van het stamcertificaat Staat der Nederlanden EV Root CA, Dit stamcertificaat wordt niet gebruikt voor Digikoppeling<sup>6</sup>)
 
 
@@ -71,25 +71,19 @@ Een certificaat kan worden verstrekt ter identificatie en authenticatie van een
 
 Digikoppeling vereist het gebruik van server (of service) certificaten voor de beveiliging van endpoints van webservices. Voor het signen en versleutelen van berichten wordt aanbevolen om een apart certificaat te gebruiken.
 
-### Public en Private services servercertificaten
+### Private services servercertificaten
 
-Een PKIoverheid services servercertificaat komt in twee soorten, een Public Root en een Private Root certificaat. Servercertificaten zijn geschikt voor de beveiliging van verkeer tussen systemen en verkeer naar/van websites.
+Een PKIoverheid services servercertificaat is een Private Root certificaat en geschikt voor de beveiliging van verkeer tussen systemen.
 
-Voor beide typen certificaten geldt dat ze aan de eisen van PKIoverheid voldoen, veilig beheerd worden en een audit ondergaan door een derde, onafhankelijke partij.
-
-De certificaten verschillen echter op twee punten, de geldigheidsduur en de toepasbaarheid van het certificaat.
-
-Een Public Root certificaat is ongeveer 1 jaar en 1 maand (397 dagen)<sup>9</sup> geldig. Dit geldt voor nieuw uit te geven certificaten. Reeds uitgegeven certificaten behouden hun geldigheidsduur. Dit type certificaat is aangemeld bij softwareleveranciers en wordt door webbrowsers automatisch vertrouwd.
+Een Private Root certificaat is 3 jaar <sup>9</sup> geldig. Dit type certificaat is niet aangemeld bij softwareleveranciers en wordt door browsers niet automatisch vertrouwd. Dit is echter geen belemmering als het certificaat gebruikt wordt voor berichtenverkeer tussen systemen.
 
 <sup>9</sup>: Laatste raadpleging februari 2020
 
-Een Private Root certificaat is 3 jaar geldig. Dit type certificaat is niet aangemeld bij softwareleveranciers en wordt door browsers niet automatisch vertrouwd. Dit is echter geen belemmering als het certificaat gebruikt wordt voor berichtenverkeer tussen systemen.
-
 **Raadpleeg [Digikoppeling Beveiligingsstandaarden en voorschriften] voor de eisen m.b.t certificaten.**
 
 ### Generaties en naamgeving
 
-Er zit een maximumlengte aan de geldigheidsduur van een Root CA-certificaat. In het geval van PKIoverheid is dat 12 à 15 jaar. De periode waarin een Root CA-certificaat geldig is wordt een generatie genoemd. De generaties worden opvolgend genummerd, vandaar dat we spreken over Public Root CA G1, Public Root CA G2 en Public Root CA G3. Aangezien het aanmeldingsproces bij de browsers enkele jaren kan duren is het zaak om tijdig een nieuwe generatie aan te maken. Zo’n nieuwe generatie is vaak ook een moment om de te gebruiken crypto-algoritmen nog eens kritisch te bekijken en –indien nodig- te vernieuwen. Bij de overgang van de Public Root G1 naar Public Root G2 is bijvoorbeeld destijds overgeschakeld naar een langere sleutellengte en sterker hashing alghoritme. Voor de generatienaamgeving voor de Private Root CA wordt dezelfde nummersystematiek gebruikt. Bij de Private Root, die later is ingevoerd dan de Public Root, ‘leven’ we nog in de 1e generatie, vandaar de naam Private Root G1. Deze generatie loopt tot 14 november 2028.
+Er zit een maximumlengte aan de geldigheidsduur van een Root CA-certificaat. In het geval van PKIoverheid is dat 12 à 15 jaar. De periode waarin een Root CA-certificaat geldig is wordt een generatie genoemd. De generaties worden opvolgend genummerd, vandaar dat we spreken over G1,G2 en G3.  Zo’n nieuwe generatie is vaak ook een moment om de te gebruiken crypto-algoritmen nog eens kritisch te bekijken en –indien nodig- te vernieuwen. Bijvoorbeeld overschakeling naar een langere sleutellengte en sterker hashing alghoritme. Bij de Private Root ‘leven’ we in de 1e generatie, vandaar de naam Private Root G1. Deze generatie loopt tot 14 november 2028.
 
 ## Toepassingen
 
@@ -100,7 +94,7 @@ Een PKIoverheid-certificaat wordt gebruikt bij:
 - rechtsgeldige elektronische handtekeningen
 - versleuteling van elektronische berichten
 
-Zie [www.pkioverheid.nl](http://www.pkioverheid.nl) voor meer informatie.
+Zie https://www.logius.nl/diensten/pkioverheid voor meer informatie.
 
 ### Hoe werkt PKI in Digikoppeling?