SSL in de Suwi Keten 20 Maart 2009, Dirk Temme

Suwinet Inkijk zonder SSL, niet versleuteld

Suwinet Inkijk met SSL, wel versleuteld Suwinet Inkijk heeft een Server certificaat, met de hostname suwinet-inkijk-productie.suwinet.nl er in Aan de Gebruiker wordt gevraagd door de browser of hij die website vertrouwt In werkelijkheid wordt er hiervoor een wildcard certificaat gebruikt: voor alle hostnamen *.suwinet.nl

Suwinet Inkijk heeft een Server certificaat, met de hostname suwinet-inkijk-productie.suwinet.nl er in

Aan de Gebruiker wordt gevraagd door de browser of hij die website vertrouwt

In werkelijkheid wordt er hiervoor een wildcard certificaat gebruikt: voor alle hostnamen *.suwinet.nl

SSL Handshake (zonder Authenticatie van de Gebruiker)

In werkelijkheid gaat dit via de CSS (voorkeur APG) Van Browser naar CSS: wel versleuteld Van CSS naar Suwinet Inkijk: niet versleuteld Denk ook aan de 'bovenliggende' certificaten van de Certificate Authority. Die moeten ook als 'Vertrouwd' aangemerkt worden. Dus in de Trusted keystore van de CSS en van de PC gezet worden .

Van Browser naar CSS: wel versleuteld

Van CSS naar Suwinet Inkijk: niet versleuteld

Denk ook aan de 'bovenliggende' certificaten van de Certificate Authority. Die moeten ook als 'Vertrouwd' aangemerkt worden. Dus in de Trusted keystore van de CSS en van de PC gezet worden .

Suwinet Inkijk haalt zijn gegevens op bij de Suwi Broker Niet versleuteld Niet via de CSS Via het interne netwerk bij APG

Niet versleuteld

Niet via de CSS

Via het interne netwerk bij APG

De Suwi Broker haalt de gegevens op bij externe partijen Zoals GBA, Kadaster, UWV, CWI, Inlichtingenbureau, SVB Via het Suwinet netwerk En eventueel (verderop) via het Gemnet

Zoals GBA, Kadaster, UWV, CWI, Inlichtingenbureau, SVB

Via het Suwinet netwerk

En eventueel (verderop) via het Gemnet

Enkelzijdige SSL, versleuteld GBA heeft een Server certificaat, met de hostname services.gba-v.nl er in De Broker laadt de bijbehorende Publieke Sleutel in zijn Trusted Keystore

GBA heeft een Server certificaat, met de hostname services.gba-v.nl er in

De Broker laadt de bijbehorende Publieke Sleutel in zijn Trusted Keystore

Dubbelzijdige SSL, versleuteld en met authenticatie van de Broker De Broker heeft een Client certificaat, met de naam van het systeem er in (is niet een hostnaam) GBA laadt de bijbehorende Publieke Sleutel in zijn Trusted Keystore

De Broker heeft een Client certificaat, met de naam van het systeem er in (is niet een hostnaam)

GBA laadt de bijbehorende Publieke Sleutel in zijn Trusted Keystore

SSL Handshake met Authenticatie van de Gebruiker

Dubbelzijdige SSL naar GBA en naar Kadaster Broker kan beide Servers met hetzelfde Client certificaat aanspreken

Broker kan beide Servers met hetzelfde Client certificaat aanspreken

In werkelijkheid gaat dit via de CSS (voorkeur APG) Van Broker naar CSS: niet versleuteld Van CSS naar GBA en Kadaster: wel versleuteld Denk ook aan de 'bovenliggende' certificaten van de Certificate Authorities. Die moeten ook als 'Vertrouwd' aangemerkt worden. Dus in de Trusted keystore van de CSS gezet worden. Op het allerlaatste moment zijn de certificaten toch op de Broker zelf geinstalleerd

Van Broker naar CSS: niet versleuteld

Van CSS naar GBA en Kadaster: wel versleuteld

Denk ook aan de 'bovenliggende' certificaten van de Certificate Authorities. Die moeten ook als 'Vertrouwd' aangemerkt worden. Dus in de Trusted keystore van de CSS gezet worden.

Op het allerlaatste moment zijn de certificaten toch op de Broker zelf geinstalleerd

Ketenregistraties achter SSL: STAP 1: Server-certificaten installeren

Server-certificaten installeren

Ketenregistraties achter SSL: STAP 2 Enkelzijdige SSL realiseren

Enkelzijdige SSL realiseren

Keten-registraties achter SSL: STAP 3 Dubbelzijdige SSL realiseren

Dubbelzijdige SSL realiseren