Main content

Hieronder vindt u een technisch stappenplan. Voordat u start met deze stappen, kunt u contact met ons opnemen. Samen bekijken we uw situatie, u krijgt dan ook een goed inzicht in de randvoorwaarden, en in de verschillende mensen en rollen die nodig zijn. Vervolgens krijgt u van ons een offerte op maat. Zodra u akkoord gaat met deze offerte en onze voorwaarden, kunnen we het aansluittraject starten.

Technische kennis nodig

Als u gaat aansluiten op het Centraal Aansluitpunt, dan heeft u technische kennis nodig van:

  • Digikoppeling standaarden (WUS en¬†ebMS)
  • Aansluiten op Diginetwerk
  • PKIo¬†certificaten
  • API ontwikkeling

Heeft u deze kennis zelf niet in huis? Vraag dan een (ICT)-leverancier om onderstaande stappen voor u te regelen. De uitleg hieronder is dan ook bedoeld voor iemand met deze (technische) kennis.

Hoe lang duurt het?

Een technische aansluiting op het Centraal Aansluitpunt kan binnen 2 weken gerealiseerd worden. U moet dan wel op tijd zorgen voor:

  • het ondertekenen van onze offerte en akkoord gaan met onze voorwaarden, onze dienstenniveaus en het hieronder beschreven stappenplan
  • het maken van afspraken met de bronhouder(s) voor het gebruik van de gegevens
  • het maken en verstrekken van een verwerkersovereenkomst, als u via het Centraal Aansluitpunt persoonsgegevens gaat verwerken
  • het aanvragen van een Organisatie-Identificatienummer (OIN), een PKIo certificaat en een aansluiting op Diginetwerk, als u dit niet al eerder gedaan heeft
  • het realiseren en testen van het systeem waarmee u aan gaat sluiten op het Centraal Aansluitpunt

Stappenplan technische aansluiting

Het aansluiten op het Centraal Aansluitpunt gaat grofweg in zes stappen. U ontvangt van Logius de koppelvlakspecificaties van het CA met details over de connectiviteit met CA, het testen van de aansluiting en aanvullende toelichting op de randvoorwaarden en het stappenplan. Deze informatie heeft u nodig bij de uitvoering van dit stappenplan.

U stelt, samen met uw ICT-dienstverlener(s), een ketenoverzicht op met alle schakels in de netwerkverbinding tussen de afnemende applicatie en het Centraal Aansluitpunt. Dit ketenoverzicht moet ook inzicht geven in de niet-functionele eisen van de keten en van de aansluiting op het CA.

Belangrijke randvoorwaarden voor een succesvol vervolg van het aansluitproces zijn:

  • Het ketenoverzicht moet een keuze voor een aansluitnetwerk bevatten. We gaan ervan uit dat u als overheidsorganisatie aansluit via Diginetwerk. Bij hoge uitzondering kan met Logius afgesproken worden om aan te sluiten via Rijksweb of Internet.
  • Het ketenoverzicht moet inzicht geven in de doorlooptijden van de ketenverwerking. Een connectie mag maximaal 300 seconden openstaan, voordat het CA een time-out terug zal geven.
  • Het ketenoverzicht moet inzicht geven in de verwachte grootte van het aantal berichten dat u verwacht te verwerken via het CA. Voor zogenaamde pass-through koppelingen kan het CA tot en met 300 transacties per seconde zonder problemen verwerken. Voor zogenaamde ebMS koppelingen kan dit tot en met 3 transacties per seconde.
  • Het ketenoverzicht moet inzicht geven in de verwachte grootte van de berichten. Het CA hanteert een maximale "payload" van 20 Mb. Voor de door CA aangeboden koppelingen zou dit meestal voldoende moeten zijn. Verwacht u grote bijlages te versturen of grote hoeveelheden data op te vragen, dan kan het zijn dat dit voor u niet voldoende is. In dat het geval adviseren wij de verwerking op te knippen zodat de berichten kleiner worden, of een offerte aan te vragen voor een alternatieve oplossing via het CA.
  • Het ketenoverzicht moet inzicht geven in het doel van de ketenverwerking, zodat wij hierin kunnen adviseren. Het CA is bijvoorbeeld niet opgezet voor grootschalige synchrone verwerking van berichtenstromen.

Hieronder vindt u een voorbeeld van hoe een dergelijk ketenoverzicht van een koppeling via het CA eruit zou kunnen zien.

Voorbeeld ketenoverzicht

In deze stap wordt de netwerkconnectiviteit van de applicatie of het systeem, met het netwerk waarmee aan het CA gekoppeld ingericht. Bijvoorbeeld van de betreffende applicatie naar Diginetwerk.

Uw organisatie regelt dit met uw ICT-dienstverlener(s) en eventueel de beheerder van het netwerk. In uw infrastructuur moeten waarschijnlijk firewall instellingen voor de verbinding aangepast worden zodat verkeer van en naar het CA doorgelaten wordt. Het CA kent een statische firewall configuratie voor HTTPS op port 443 op al zijn aansluitingen (Diginetwerk, Rijksweb en Internet). Dit betekent dat het CA geen firewall-wijzigingen hoeft uit te voeren.

Als de verbinding van de applicatie met het aansluitnetwerk gemaakt is, dan kan de netwerkverbinding met de preproductie omgeving van het CA ook worden gemaakt.

In de door Logius verstrekte koppelvlakspecificaties vindt u details over hoe u de verbinding met onze omgevingen moet inrichten. Uw organisatie regelt dit met uw ICT-dienstverlener(s) en de beheerder van het netwerk. Neem hierbij de beveiligingsrichtlijnen van het NCSC betreffende Transport Layer Security (TLS) in acht. Indien nodig kan Logius u hierbij ondersteunen.

Zowel op transportniveau als op berichtniveau willen we kunnen vaststellen welke afnemer een koppeling op het CA probeert de gebruiken om misbruik en oneigenlijk gebruik te voorkomen.

Op transportniveau wordt de netwerkverbinding beveiligd met HTTPS en TLS (tweezijdig SSL-verbinding). Hiervoor moet u het publieke deel van het PKIo certificaat van het CA inlezen in uw trust store. Bij iedere beveiligde netwerkverbinding controleert het CA of uw PKIo certificaat geldig is.

Het inregelen van de authenticatie op berichtniveau wordt toegelicht in de koppelvlakspecificaties die u krijgt bij de start van het aansluitproces.

Als u moet worden aangesloten op een ebMS koppeling, of het betrouwbaar koppelvlak, dan moet u het CA mandateren om namens u een CPA (Collaboration Protocol Agreement) aan te maken. Bekijk een handleiding die beschrijft hoe u dit kunt doen. De gegenereerde CPA wordt ingelezen in de ebMS-adapter van het Centraal Aansluitpunt en uitgewisseld met de ebMS-aanbieder/partner. Hierna voert het CA een ebMS ping-pong test uit om de ebMS connectiviteit te testen.

Uw technisch beheerder kan de verbinding op netwerkniveau testen met behulp van een telnet-test, waarbij het resultaat geen time out mag zijn. Alle andere resultaten kunnen betekenen dat de verbinding in orde is. Belangrijk is dat de telnet-test op de server wordt uitgevoerd waarvandaan ook de uiteindelijke bevraging zal worden gedaan. Dat kan de applicatieserver zelf zijn, of bijvoorbeeld een service bus. Hierdoor wordt voorkomen dat verkeerde conclusies uit de test worden getrokken. Als deze test succesvol is uitgevoerd dan kan de SSL Handshake test voor controle van de te gebruiken PKIO-certificaat en bijbehorend keypair uitgevoerd worden.

Tenslotte kunt u testen of berichten met het CA kunnen worden uitgewisseld met de verbindings-test koppeling die het CA hiervoor aanbiedt. De service kan getest worden door een lege SOAP envelope naar de service te sturen. Het CA beschikt ook over voorbeeld SoapUI testprojecten die gebruikt kunnen worden bij het testen van de verbindings-test.

In de door Logius verstrekte koppelvlakspecificaties vindt u details over hoe u deze testen moet uitvoeren.

Het is zonder toestemming van Logius niet toegestaan om performance testen of security testen uit te voeren op het CA.

Als de aansluiting met succes op preproductie is getest, dan kan de netwerkverbinding met de productie omgeving van het CA worden gemaakt.

U voert deze stap uit met uw ICT-dienstverlener en de beheerder van het netwerk. Indien nodig kan Logius u hierbij ondersteunen. Voer na de realisatie van de aansluiting op de productie-omgeving alle testen beschreven in stap 5 nogmaals uit voor deze omgeving.

Contact en ondersteuning

Zoekt u zakelijk contact met Logius? We zijn op werkdagen van 08.00 tot 17.00 uur bereikbaar.