Certificaten

Een certificaat is je digitale identiteitsbewijs. Hiermee toon je aan dat je bent wie je zegt dat je bent. 

Overheden zijn verplicht om een PKIO (Public Key Infrastructure voor de overheid) certificaat aan te leveren. Val je niet onder de overheid? Ook dan kun je een PKIO-certificaat aanleveren. OF een EV (Extended Validation) certificaat. Maar omdat de laatste binnenkort niet meer wordt uitgegeven raden we je aan om te kiezen voor een PKIO-certificaat. 

Binnen PKIO zijn er twee opties: 

• Persoonsgebonden certificaat. 
• Servercertificaat. 

Kies voor het servercertificaat, ofwel een certificaat op organisatieniveau en niet op persoonsniveau. 

Een Trust Service Provider (TSP) is een organisatie die vertrouwde digitale certificaten en diensten uitgeeft en beheert. PKIO-certificaten mogen alleen uitgegeven worden door TSP's die zijn goedgekeurd door de overheid.

Hoe werkt het? 

1. Het kopen van een certificaat is de eerste stap. 
2. Vervolgens checkt de TSP of je organisatie correct bij de KVK geregistreerd staat en of je bevoegd bent om het certificaat aan te vragen. 
3. Je maakt een CSR (Certificat Signing Request) op je server. Dit is een versleuteld verzoek waarin onder andere je domeinnaam staat, organisatiegegevens, je publieke sleutel en een digitale handtekening van je private key. 
4. Stuur de CSR en je bedrijfsgegevens naar de TSP. 
5. De TSP controleert of de bedrijfsgegevens kloppen, de aanvraag geldig is en of je het juiste type certificaat hebt gekozen. 
6. Je ontvangt het certificaat van de TSP en zet het op je server of in je applicatie. 
7. Login bij Mijn Developer Portal en upload het certificaat. 

Goedgekeurde TSP's

Je kunt een certificaat aanvragen bij onderstaande TSP's.

• Digidentity - Meer uitleg staat in de online handleiding
• KPN - Kies voor het Digipoort Private servercertificaat
• DigiCert - Meer uitleg staat in de online handleiding

Neem contact op met de TSP
Is het aanvraagproces iets te technisch voor je? Dan raden we je aan om contact op te nemen met de TSP. Deze kan je helpen bij de aanvraag en installatie van het certificaat. 

Geef aan dat je een PKIoverheid servercertificaat nodig hebt voor machine-to-machine commuinicatie (mutal TLS) met de API van de KVK voor toegang tot afgeschermde gegevens (zoals UBO data). 

• Moet geldig zijn op de datum van aanlevering.
• Moet van het type X.509 V3 zijn.
• Moet PEM- of DER-geformatteerde inhoud hebben, de bijbehorende bestandsextensies hiervoor zijn: .pem, .cer, .crt of .der.
• Moet uitgegeven zijn door een vertrouwde certificaatverstrekker (zie de vraag 'Waar kan ik een certificaat aanvragen?'). 
• Moet uitgegeven zijn op één domein (staat beschreven in het CN veld), zoals https://kvk.nl. 
• Wildcards worden niet toegestaan, bijvoorbeeld: https://*.kvk.nl.
• Lever bij voorkeur een PKIO certificaat aan, en dan van het type server certificaat (zie de vraag 'Wat voor certificaat moet ik aanvragen?').
• Marktpartijen moeten het KVK-nummer in het serienummer veld in het onderwerp hebben staan. Voor overheidspartijen geldt dat daar het OIN moet staan.
• In het veld Extended Key Usage moet de volgende waarde staan: 1.3.6.1.5.5.7.3.2 (client authentication).

Er zijn verschillende redenen waarom een certificaat kan worden afgekeurd.

• Het certificaat gebruikt een beperkt algoritme voor de publieke sleutel of handtekening. 
• Het kon niet worden vastgesteld of het certificaat is ingetrokken. 
• Er was een probleem bij het uitlezen van het certificaat. 
• Het OIN ontbreekt in het serienummer (subject key).
• Het certificaat is verlopen. 
• De geldigheidsdatum van het certificaat is op dit moment ongeldig. 
• Het gebruik van key usage in het certificaat is ongeldig. 
• De naambeperkingen in het certificaat zijn geschonden. 
• De beleidsregels van het certificaat zijn geschonden. 
• Het certificaat heeft een ongeldige handtekening. 
• Het certificaat bevat een ongeldige naam in het onderwerp. 
• Certificaat is niet type X.509.
• Het certificaat is een CA wat niet is toegestaan. 
• Het KVK-nummer in het certificaat komt niet overeen met het door ons geregistreerde KVK-nummer. 
• Het certificaat is al eerder geüpload. 
• Het certificaat bevat geen SKI of AKI. 
• De certificaatketen is niet correct. 
• Er is geen X.509-certificaat gevonden. 
• Het certificaat bevat niet de client authenticatie extensie in de extended key usage. 
• Het certificaat is geen EV-certificaat. 
• De certificaatketen bevat niet één enkel clientcertificaat. 
• Het certificaat is niet uitgegeven door een vertrouwde certificaatverstrekker. 
• Het certificaat is geen CA-certificaat. 
• Het certificaat is nog niet geldig. 
• Het OIN register kon niet een organisatie vinden die gekoppeld is aan het KVK-nummer. 
• Het OIN register kon niet een actieve organisatie vinden met een overeenkomende naam. 
• De certificaatpadlengte overschrijdt de toegestane limiet. 
• Het certificaat is ingetrokken. 
• Het certificaat identificeert zichzelf als root CA, maar niet als tussenliggende CA. 
• Het certificaat bevat 1 of meerdere onbekende kritieke extensies. 
• Het certificaat bevat een wildcard in de domeinnaam. 
• Probeer het later opnieuw. 
• De details van het bedrijf die gekoppeld is aan het KVK-nummer kunnen niet opgehaald worden.

De meest gangbare geldigheidsduur is een jaar, maar een certificaat kan ook drie jaar geldig zijn. Check dit met je certificaatverstrekker. 

Wij sturen geen melding wanneer je certificaat verloopt. Dit moet je zelf in de gaten houden. 

Bij je certificaatverstrekker kun je de kosten voor een certificaat opvragen. Over het algemeen betaal je tussen de € 200 en € 300 per jaar. 

Als je al een certificaat gebruikt voor de KVK Dataservice, dan kun je deze hergebruiken. Zolang het voldoet aan de gestelde eisen.