Certificaten
Doel
Het veilig kunnen versturen van de berichten en zorgen dat de informatie gescheiden blijft van de informatie van de andere ziekenhuizen. Hiertoe maken we gebruik van certificaten. Omdat het een automatisch proces is wat dagelijks plaatsvindt, moet de verzendende software zichzelf kunnen identificeren.
Proces
Dit zijn de stappen voor het registreren en gebruiken van certificaten, welke hieronder verder zijn uitgeschreven.
- Eisen aan een certificaat
- Verkrijgen van een certificaat
- Registreren van een certificaat
- Testen van een certificaat
- Gebruik van een certificaat
- Vervangen van een certificaat.
Eisen aan een certificaat
- Het certificaat moet minimaal voldoen aan TLS 1.2, bij voorkeur aan TLS 1.3
- Het certificaat moet zijn uitgegeven door een vertrouwde CA. Hierbij wordt gebruikt gemaakt van de standaard CA’s die bijv. Microsoft of Redhat gebruiken in hun systemen. Tevens is de VECOZO CA en NICE CA toegevoegd.
- minimum sleutellengte is 3072 bits, bij voorkeur 4096 bits.
- Wanneer het certificaat niet direct wordt uitgegeven door een CA, maar door een intermediate CA dan moet deze intermediate beschikbaar zijn door deze mee te sturen wanneer het certificaat wordt opgestuurd.
Verkrijgen van een certificaat.
Het verdient de voorkeur om zelf een certificaat te verkrijgen in de eigen organisatie. Dit kan een uitdaging zijn, daarom heeft NICE een eenvoudige CA ingericht waarmee een certificaat kan worden uitgegeven voor de FHIR aanlevering. U kunt hier een instructie vinden om een Certificate Signing Request (CSR) aan te maken.
Ongeacht of u zelf een certificaat aanmaakt bij een externe erkende CA of gebruik maakt van die van de NICE, het tekenen van een CSR levert 2 bestanden op:
- Een certificaat (met .crt als format)
- Een private key (met .key als format)
Het .crt bestand is wat in de volgende stap wordt geupload in NICE Online.
De private key bevat de sleutel om geëncrypteerde communicatie te decrypteren. Bewaar deze sleutel goed en verstuur deze niet bij het registreren van het certificaat in NICE Online. De software leverancier van uw versturende systeem zal deze nodig hebben om geëncrypteerde communicatie met de NICE mogelijk te maken.
Registratie van het certificaat
Op de website van NICE heeft een gebruiker met de juiste rechten (role) de mogelijkheid om de public key inclusief de intermediare certificaten te uploaden. Hiermee wordt het certificaat inclusief de eventuele intermediate certificaten gekoppeld met het nice-ziekenhuisnummer.
De NICE-ONLINE accounts van eindverantwoordelijken en plaatsvervangende eindverantwoordelijken hebben de role waarmee een certificaat kan worden geupload.
Registreer hier je certificaat voor aanlevering via FHIR
Testen van een certificaat
Testen van het certificaat beschrijven wij op twee manieren:
-
Testen via cURL. Dit is sneller, maar behoeft enigs kennis/affinitieit met gebruik van de terminals. Klik hier om naar de instructie te gaan.
-
Testen via Postman. Dit is heeft wat meer setup tijd nodig, maar hier wordt gebruik gemaakt van een grafische interface wat iets intuïtiever kan werken voor de minder technische gebruiker. Klik hier om naar de instructie te gaan.
Gebruik van een certificaat
Bij het versturen van een bundle naar onze FHIR applicatie vindt, naast de normale mTLS controles een extra controle plaats of de public key van de verstuurde certificaat overeenkomt met de public key die eerder is geregisteerd. Zoja, dan wordt het ziekenhuisnummer in het bericht vergeleken met het ziekenhuisnummer waaronder het certificaat was registreerd. Als dit niet overeenkomt, wordt het bericht geweigerd.
Vervangen van een certificaat
Het is mogelijk een certificaat te vervangen. Bijvoorbeeld wanneer het certificaat (bijna) is verlopen. Dit kan door het nieuwe certificaat te registreren (zie boven) en in de registratie applicatie in NICE Online kan het certificaat worden omgewisseld.