Wat kunt u vinden op deze pagina?
ReIS Aansluitinstructies Reisdocumentenmodule Gemeenten
Inleiding
In opdracht van de Rijksdienst voor Identiteitsgegevens (RvIG) wordt een centraal platform voor Reisdocumenten en Informatiesystemen (ReIS) ontwikkeld binnen het programma Verbeteren Reisdocumentenstelsel (VRS). Het ReIS kan direct worden benaderd vanuit de Burgerzakenapplicatie via de RDM module.
Deze aansluitinstructie beschrijft de benodigde stappen om gebruik te kunnen gaan maken van de functionaliteiten van het Reisdocumenten Informatiesysteem (ReIS). Elke Nederlandse gemeente maakt, als paspoort uitgevende instantie, gebruik van een RDM als onderdeel van hun burgerzakenapplicatie. De RDM ondersteunt gemeenten bij de uitvoering van het aanvraag en uitgifteproces van reisdocumenten.
Burgerzakenapplicatie on-premise
Deze instructie geldt alleen voor die gemeenten die hun software op locatie (on-premise) hebben draaien. Wanneer je gebruik maakt van een SaaS-variant van de Burgerzakenapplicatie dan wordt deze instructie verzorgd door de leverancier van de SaaS-applicatie. Op dit moment is de geïntegreerde functionaliteit in de RDM nog beperkt tot het uitvoeren van de Signaleringscontrole. Over deze functionaliteit en meer kun je meer lezen in het informatieblad signaleringcontrole RDM gebruikers
Gedurende de looptijd van het programma VRS zullen stapsgewijs functionaliteiten worden gerealiseerd om zo uiteindelijk het gehele aanvraag- en uitgifteproces van reisdocumenten te kunnen ondersteunen.
Doelgroep
Deze aansluitinstructie is bedoeld voor Nederlandse gemeenten die als paspoort uitgevende instantie gebruik maken van een RDM als onderdeel van hun Burgerzakenapplicatie en hun software op locatie hebben staan.
Stappen
Deze aansluitinstructie kent de volgende stappen:
• Stap 1: Aanwijzen coördinator
• Stap 2: Voldoen aan de technische aansluitvoorwaarden
• Stap 3: De technische inrichting
• Stap 4: Toezenden van de cliënt credentials
• Stap 5: Vastleggen van de cliënt credentials
• Stap 6: Start gebruik
Stap 1. Aanwijzen coördinator
Om aan te kunnen sluiten en gebruik te kunnen maken van de geïntegreerde functionaliteit in de RDM moeten een aantal stappen worden doorlopen.
Wij adviseren je om direct een RDM-coördinator aan te wijzen om het aansluitproces te begeleiden. De coördinator is het eerste aanspreekpunt voor RvIG over zaken omtrent de aansluiting.
Van de coördinator wordt verwacht dat hij of zij de communicatie en afstemming binnen de eigen organisatie verzorgt, met name met de (technisch) beheerders en de gebruikers. Voor een succesvolle aansluiting is het van belang dat de coördinator in ieder geval tijdens de aansluitperiode bereikbaar is.
Vanuit RvIG is tijdens het aansluitproces tijdelijk een implementatiemanager als aanspreekpunt voor het maken van afspraken, beantwoorden van vragen en oplossen van problemen aangesteld. Tijdens de voorbereiding van het aansluitproces zal de implementatiemanager bij uw organisatie informeren wie de coördinator is en afspraken maken over de wederzijdse afstemming.
Stap 2. Technische aansluitvoorwaarden
Om gebruik te maken van de ReIS functionaliteiten via RDM dient uw organisatie dient aan een aantal technische aansluitvoorwaarden te voldoen. Deze voorwaarden hebben betrekking op de veiligheid van het netwerk en het netwerkverkeer.
Netwerk
De gemeente dient aangesloten zijn op Diginetwerk om gebruik te kunnen maken van de geïntegreerde functionaliteit via de RDM. Op de website van Logius (BZK) vind je een handig stappenplan over hoe aan te sluiten op Diginetwerk.
Versturen van versleutelde data
Tweezijdig Transport Layer Security (TLS) wordt ingezet om de data te versleutelen. De TLS 1.3 en TLS 1.2 worden ondersteund, waarbij TLS 1.3
de voorkeur heeft. TLS 1.2 mag alleen ingezet worden als een algoritmeselectie wordt gebruikt die in [NSCS-TLS > ICT-beveiligingsrichtlijnen voor Transport Layer Security (TLS) v.2.0] blz. 26 is aangemerkt als ‘Goed’ (ECDHE voor sleuteluitwisseling; ECDSA of RSA voor certificaatverificatie; AES_256_GCM, CHACHA20_POLY1305 of AES_128_GCM voor bulkversleuteling;(HMAC-)SHA-384 of (HMAC-)SHA-256 voor hashing) :
- ECDHE voor sleuteluitwisseling;
- ECDSA of RSA voor certificaatverificatie;
- AES_256_GCM, CHACHA20_POLY1305 of AES_128_GCM voor bulkversleuteling;
- (HMAC-)SHA-384 of (HMAC-)SHA-256 voor hashing
Stap 3. De technische inrichting
Onder de technische inrichting verstaan we de configuratie die nodig is om het ReIS platform te benaderen door middel van endpoints, met de bijbehorende IP-adressen, poortnummers en de installatie van het SSL/TLS certificaat om een beveiligde authenticatie mogelijk te maken. Pas de configuratie van de volgende componenten aan conform de instructies:
- Endpoints
- PKI-Overheid certificaat CA-G1
Endpoints
Reisdocumenten en Informatiesystemen (ReIS)
Het ReIS is te benaderen via de volgende endpoints:
- api.reis.idm.diginetwerk.net (145.21.226.233, poort 443)
- prdportaal.idp.idm.diginetwerk.net (145.21.226.236, poort 8443)
Let op: in de DNS servers van uw organisatie moet een ‘conditional forwarder’ worden ingericht voor het domein ‘diginetwerk.net’ als die er niet is, met daarin 2 IP-adressen van de RijksDNS servers: 145.21.175.1 en 145.21.175.33.
Let op:
Bij een gebruik van een lokale firewall die aan white-listing doet op basis van IP-adres en/of poort (en niet op basis van domeinnaam) zijn
onderstaande IP-adressen nodig om de firewall in te richten:
- api.reis.idm.diginetwerk.net (145.21.226.233, poort 443)
- prdportaal.idp.idm.diginetwerk.net (145.21.226.236, poort 8443)
NB: De IP-adressen van de alle RvIG-reisdocumenten applicatie die worden ontsloten via Diginetwerk zijn ook opgenomen in de Rijks-DNS (Domain Name System). Hierdoor is het mogelijk om in plaats van een vast IP-adres (cijferreeks) het flexibeler logisch adres (URL) te gebruiken. Dit beperkt de beheerlast, namelijk als het IP-adres verandert kan dit eenzijdig in de Rijks-DNS aangepast worden en hoeft u niets te doen. RvIG zorgt hiervoor. RvIG adviseert dan ook de stelselapplicaties, zoals het ReIS platform, via Diginetwerk te benaderen op basis van het DNS-adres in plaats van het IP-adres.
PKI-Overheid-certificaat
Om een beveiligde verbinding te bewerkstelligen is een PKI-Overheid certificaat nodig met de root ‘Staat der Nederlanden Private Root CA-G1’
(voor systeem-naar-systeemkoppelingen).
NB: RvIG staat toe dat wanneer je al een PKI-Overheid Private Services CA-G1 certificaat hebt, dat je voor meerdere RvIG-systemen gebruikt onder voorwaarde dat het certificaat niet gekopieerd mag worden. Alle diensten moeten daarom op dezelfde server draaien, of ontsloten worden via een gemeenschappelijke server waarop het certificaat geïnstalleerd is. Meer informatie vind je op deze pagina.
Aanvragen PKI-Overheid certificaat
Het PKI-Overheid certificaat is te verkrijgen bij de dienstverleners van PKIO-Certificatie ook wel Certificate Service Providers (CSP's) genoemd. Er is een lijst met CSP’s beschikbaar. Let op: Het aanvragen van het PKI-Overheid certificaat kent een levertijd. Houd rekening met een levertijd variërend van een aantal dagen tot een aantal weken. Hoe lang dit is, hangt af van jouw situatie.
Installatie PKI-Overheid certificaat
Na ontvangst van het certificaat moet het certificaat worden geïnstalleerd bij jouw organisatie op locatie. Dit vindt plaats in een certificate-store op de server waar de applicatie op draait. Voor vragen over installatie van het certificaat kun je contact opnemen met de leverancier van uw Burgerzakenapplicatie.
Aanleveren PKI-Overheid certificaat bij RvIG
Vervolgens dien je het publieke deel van het PKI-Overheid certificaat aan het RvIG te verzenden. Dit deel is over het algemeen te herkennen aan de
extensie (.cer of .crt). Je kunt het publieke deel van dit certificaat versturen aan info@rvig.nl.
Let op: Het gaat hierbij om vertrouwelijke informatie en de uitwisseling dient daarom via een beveiligde procedure plaats te vinden. Het verzenden van het publieke deel van het certificaat moet gebeuren door de persoon die ook de cliënt-credentials (zie stap 4) in ontvangst kan nemen met de vermelding van het mobiele nummer. De cliënt-secret wordt
- via een met een wachtwoord te openen link - per mail via securetransfer door RvIG verstuurd (zie stap 4). Daarvoor is het van belang om met het toezenden van het publieke deel van het PKI-Overheid certificaat tevens een mobiel nummer op te geven zodat de link kan worden geopend. Na ontvangst van het publieke deel van het certificaat wordt deze geregistreerd in de omgeving van RvIG. Na registratie ontvang je hiervan een bevestiging.
Specificaties server certificaat RvIG voor VRS
Voor de volledigheid zijn de specificaties van het server-certificaat RvIG voor de productie-omgeving als volgt:
| Common name/SAN/CN | api.reis.idm.diginetwerk.net |
| OIN | 00000001822100824000 |
| O | Rijksdienst voor Identiteitsgegevens (RvIG) |
| L | s-Gravenhage |
| S | Zuid-Holland |
| C | NL |
Stap 4. Toezenden van de cliënt-credentials
Na ontvangst van het publieke deel van jouw certificaat wordt deze geregistreerd in de omgeving van RvIG. Vervolgens worden de ‘cliënt-credentials’ voor de gemeente gegenereerd bestaande uit een cliënt-ID en cliënt-Secret (te beschouwen als gebruikersnaam en wachtwoord).
Toezenden cliënt-credentials aan de gemeente
Degene die het publieke deel van het PKI-Overheid certificaat heeft toegestuurd (zie stap 3: Aanleveren PKI-Overheid certificaat bij RvIG) ontvangt de cliënt-credentials. Voorafgaand hieraan neemt RvIG contact op met de ontvanger (contactpersoon).
Het cliënt-secret wordt verstuurd via securetransfer@rijkscloud.nl. Er wordt door securetransfer het volgende gestuurd:
- een mail naar de ontvanger met de naam ODCN (ODC-Noord). De mail bevat een link.
- een wachtwoord per sms naar het mobiele nummer van de ontvanger.
Met het wachtwoord kan de link worden geopend en het bestand met daarin het cliënt-secret worden gedownload. Let op! het downloaden van het bestand moet binnen 5 werkdagen plaats vinden anders wordt het bestand automatisch van de server verwijderd. Het cliënt-ID wordt verstuurd via e-mail vanuit RvIG. De ontvanger krijgt per e-mail het cliënt-ID toegezonden.
Bewaren van de cliënt-credentials door de gemeente.
Omdat het cliënt-ID en ~secret als een combinatie van gebruikersnaam en wachtwoord kunnen worden beschouwd, en hiermee toegang kan worden verkregen tot de door RvIG beschikbaar gemaakte gegevens, dient het gebruik en de opslag hiervan met grote zorgvuldigheid omgeven te worden. Zo mogen ze niet onversleuteld worden verstuurd of opgeslagen. Daarbij dient het wachtwoord om ze te ontsleutelen alleen aan het daartoe bevoegde personeel bekend te zijn.
Het cliënt-ID en ~secret mogen niet bij elkaar lokaal, op een server, of op welk mediumdrager dan ook worden opslagen behalve als het bestand dat de credentials bevat met een wachtwoord is versleuteld. Zie voor richtlijnen of meer informatie de Baseline informatiebeveiliging Overheid (BIO)
Verzenden van de cliënt-credentials door de gemeente
Zonder gepaste beveiligingsmaatregelen mogen de cliënt-credentials niet tegelijk en/of onbeveiligd worden verzonden c.q. gemaild.
Stap 5. Vastleggen van de cliënt-credentials
In het beheerdeel van de burgerzakenapplicatie worden de credentials vastgelegd. Voor vragen over het opnemen van de credentials in het beheerdeel van de burgerzakenapplicatie kunt u contact opnemen met uw leverancier. Terugkoppeling na vastlegging van de credentials Na het vastleggen van de cliënt-credentials dient u hiervan een melding te doen via info@rvig.nl.