Aandachtspunten bij KPN .pem bestand
Dat hangt van uw situatie af.
Situatie 1 - uw huidige G3 certificaat verloopt sowieso in 2020
KPN heeft alle klanten met een G3 certificaat met een einddatum na 1 november 2020 een tijdelijk G1 certificaat gestuurd ter vervanging voor het G3 certificaat (zie ook de video uitleg ‘Wat is er aan de hand?’)
Was u al bezig was het met vernieuwen van uw G3 certificaat omdat die eindigt in november of december 2020, dan hoeft u eigenlijk niets te doen. U kunt namelijk tot die verloopdatum berichten versturen met uw huidige G3 certificaat. U moet niet uit het oog moet verliezen om uw huidige G3 certificaat te regulier vernieuwen voor de einddatum.
Als u toch het vervangende certificaat wilt inzetten, ondanks dat het maar tijdelijk is; wacht dan niet te lang. Het creëren van het nieuwe tijdelijk certificaat is niet complex omdat u geen werkelijke aanvraag hoeft te doorlopen. U heeft het vervangend maar tijdelijke certificaat al in huis. We hebben een samenvattende uitleg gepubliceerd onder de veelgestelde vraag “Ik heb een .PEM bestand ontvangen van KPN, wat te doen?” Mogelijk dat er toch ondersteuning nodig heeft en dan moet er wel voldoende tijd zijn. De uitgebreide uitleg is in te zien op de website van KPN.
Situatie 2 - uw huidige G3 certificaat verloopt in januari 2021
Dan moet uiterlijk 31 december 2020 uw certificaat vervangen hebben met een ander certificaat. Dit kan gedaan worden met het tijdelijke certificaat, maar ook door middel van een vernieuwing.
Overweging: stel dat uw certificaat begin van het jaar 2021 afloopt, kan het ook de overweging zijn om niet het tijdelijk certificaat te installeren voor einde van 2020 maar om gewoon de vernieuwing van uw huidige G3 certificaat te doen naar een G1 certificaat begin december; en dan meteen met het certificaat wat 2 of 3 jaar geldig is. Het klopt dat u dan enigszins verlies heeft; maar mogelijk wel geruststelling door een nieuw- en langwerkend certificaat.
Situatie 3 - uw huidige G3 certificaat verloopt in februari 2021 en verder
Ook hier kunt u hier kiezen om in december al uw huidige certificaat te vernieuwen, het verlies echter is in verhouding dan wel groter.
Ons advies is om het tijdelijke vervangende certificaat te installeren en later in 2021 het tijdelijke certificaat te vernieuwen conform het reguliere proces. Als PKIpartners relatie wordt u ruim van te voren herinnert om uw certificaat te vernieuwen.
Als u nog geen relatie bent van ons, dan kunt voor die vernieuwing vanzelfsprekend ook gebruik maken van de diensten van PKIpartners. U kunt zelfs nu al opdracht geven om alvast de vernieuwing volgend jaar in te plannen en te bewaken. U kunt daarvoor het contactformulier invullen voor meer informatie.
Dit .PEM bestand is een deel van uw tijdelijke vervangend certificaat wat u niet direct kunt uploaden in uw aangiftesoftware.
U zult dit .PEM bestand moeten omzetten naar een .PFX bestand in de meest recentie versie van de KPN Certificaataanvraag assistent:
- bewaar het .PEM bestand in de bijlage van uw e-mail bijvoorbeeld op uw bureaublad
- download de meest recente KPN Certificaataanvraag assistent te van https://certificaat.kpn.com/aanvragen/servercertificaten/csr-genereren/certificaataanvraag-assistent/
- ga naar tabblad Certificaat vervangen en ga naar Actie en selecteer nieuwe PEM toevoegen
- Er wordt meteen gevraagd om een backup te maken van het certificaat wat in uw KPN Certificaataanvraag assistent zit. Geef het een herkenbare naam zoals bijvoorbeeld ‘Tijdelijk PKI certificaat’ en voorzie het van een wachtwoord. Dit wachtwoord heeft u ook nodig bij het uploaden in uw aangifte-applicatie. Deze backup (eindigend op .pfx) is ook het bestand wat u kunt uploaden in uw aangiftesoftware.
- In de video 'Welk certificaat heb ik?' kunt u zien waar uw huidige certificaat staat in Nextens cloud en Elektronische Communicatie Module (Nextens Desktop), maar is ook de plek waar u de net gemaakte PFX kunt uploaden.
- Verzeker u ervan dat de net gemaakte PFX als actief gekenmerkt staat aangegeven om Nextens cloud of Elektronische Communicatie Module (Nextens Desktop)
LET WEL: deze PFX is een tijdelijk (vervangend) certificaat met een gelijke geldigheid als uw huidige certificaat. Het zal op een gegeven moment vervangen moeten worden. U kunt voor die vernieuwing gebruik maken van de diensten van PKIpartners.
In het geval de bovenstaande verkort handleiding niet het gewenste resultaat geeft, maak dan gebruik van de volledige handleiding die te vinden is op de website van KPN.
Veel gestelde vragen
Op dit moment hebben wij die kennis alleen voor KPN certificaten verkregen via PKIpartners. De vervangende certificaten zijn net zo lang geldig als uw huidige certificaat en moeten op termijn net als uw huidige certificaat vervangen worden door een nieuw certificaat aan het einde van de looptijd. Ze zijn dus tijdelijk
Dit vervangende certificaat is niet 'kant en klaar'. U zult dit moeten inlezen in een nieuwe versie van de KPN Aanvraag assistent en exporten naar .pfx voordat u het kunt uploaden in uw applicatie.
De nieuwe Aanvraag assistent is naar verwachting begin oktober beschikbaar. U zult door KPN worden geïnformeerd.
Ons advies is om het tijdelijk certificaat te laten voor wat het is en eerder te vernieuwen. Om eerst het tijdelijk certificaat in werking te stellen om vervolgens een maand later de vernieuwing te doen is mogelijk teveel van het goede en creëert mogelijk onrust.
Ons advies is daarom in oktober/november uw vervangende certificaat bij ons aan te vragen voor levering december. Dan plannen wij de werkzaamheden voor u in en bent u op tijd klaar. U kunt kiezen uit een 2 of 3 jaar geldig PKIoverheid Private Root certificaat. Door te kiezen dat de vernieuwing eerder is, zult u wel helaas een deel van de huidige looptijd kwijt zijn.
Nog geen PKIpartners relatie?
Ook als u nog geen relatie bent van ons, kunt u gebruik maken van die dienstverlening. U kunt uw contactverzoek plaatsen door middel van het formulier op https://www.pkipartners.nl/contact/, dan nemen wij contact met u op. Ons streven dit te doen binnen 24 uur. Op het moment kan het langer duren. Het maakt niet uit of u al klant bent bij Digidentity-TSP, KPN-TSP, QuoVadis-TSP of een intermediair van de TSP's.
Wij hebben in samenwerking KPN het mogelijk gemaakt dat u ook een 2 jaar geldig certificaat kunt aanvragen.
LET WEL: dit gaat alleen bij nieuwe aanvragen of vernieuwingen van uw huidige certificaat. Dit geldt niet voor voor de huidige vervanging van certificaten.
De ‘G’ staat voor Generatie. Dat is echter niet gelijk aan leeftijd of kwaliteit. Binnen het PKIoverheid stelsel worden verschillende typen van certificaten uitgegeven passend bij verschillende toepassingen in vertrouwensroots (stammen). De G1 staat voor Generatie 1 binnen de root PKIoverheid Private Services CA – G1.
Ja en nee. Er is voldoende tijd om het certificaat te vervangen. Maar mocht u toch ondersteuning nodig hebben van een helpdesk, dan bestaat de kans op veel langere doorlooptijden dan u gewend bent. Dit is uiteraard afhankelijk per TSP of intermediair. Ons advies is; wacht niet te lang, maar pak het meteen op.
De TSP’s (certificaat producenten) hebben de taak om u te informeren over de vervanging. Zij zullen u informeren over de te nemen stappen. De meeste van u kunnen dit prima zelf doen. U kunt altijd terecht bij uw certificaatdienstverlener of intermediair voor meer ondersteuning.
Als PKIpartners relatie kunt u rekenen op de service die u gewend bent. Indien gewenst , begeleiding bij elke stap.
Digidentity BV - https://www.digidentity.eu/ - 070 7007976
KPN BV - https://certificaat.kpn.com/ 088 6610621
PKIpartners BV - https://www.pkipartners.nl/ 085 9020820
QuoVadis Trustlink BV - https://www.quovadisglobal.nl/ - 030 2324320
Een Fully Qualified Domain Name (FQDN) is alleen nog een vereiste als u een certificaat nodig heeft voor bijvoorbeeld het waarmerken van een publieke website door middel van een PKIoverheid certificaat. Zogenaamde Public facing toepassingen.
Voor Digipoort en andere machine-machine verbindingen is een FQDN niet meer toegestaan. U hoeft zich hierover voor uw Digipoort/SBR certificaat geen zorgen te maken.
Logius is verantwoordelijk voor het beheer van onder andere het PKIoverheid stelsel. Zij publiceren in het algemeen over de vervanging en het laatste nieuws hieromtrent. https://www.logius.nl/actueel/blog-pkioverheid-certificaat-vervangingsplan
Speciaal voor beleidsmakers heeft het National Cyber Security Centrum een Factsheet gepubliceerd. Deze is te downloaden op https://www.ncsc.nl/documenten/factsheets/2020/september/4/factsheet-pkioverheid-verandert
Specifiek Notariaat
Een beroepsgebonden certificaat is wat het zegt. Het is een certificaat verbonden aan u als natuurlijk persoon met daarin uw beroep opgenomen. Daarmee ondertekent u in uw hoedanigheid als beroepsbeoefenaar de mutaties voor bijvoorbeeld Kadaster of Kamer van Koophandel. Dit is een rechtsgeldige elektronische handtekening - eIDAS hoog.
De aangifte erfbelasting en aangifte schenkbelasting is een bericht wat via een machine van uw kantoor (de software applicatie) wordt verstuurd en is gerelateerd aan uw kantoor wat het bericht instuurt. Voor dergelijke (niet beroepsgerelateerde-) berichten is een PKIoverheid Private Services CA-G1 certificaat nodig. Hierin is alleen de naam van uw kantoor opgenomen.
U kunt met dit PKIoverheid Private Services CA-G1 certificaat bijvoorbeeld ook uw eigen aangiftes omzetbelasting versturen naar de Belastingdienst vanuit uw boekhoudpakket.
Het aanvraagproces voor een PKIoverheid Private Services CA-G1 is anders dan voor een beroepscertificaat en PKIpartners kan u daarbij ondersteunen. Hiervoor kunt u bovenstaand formulier invullen.