Main content
Er zijn verschillende soorten PKIoverheidcertificaten voor verschillende doeleinden beschikbaar. Er zijn certificaten die worden gebruikt voor het beveiligen van email of om documenten te tekenen. Ook is er verschil of een certificaat namens een persoon of een organisatie wordt gebruikt.
PKIoverheidcertificaten worden uitgegeven door TSP's. Iedere TSP heeft een andere doelgroep en een ander aanbod van certificaten. Meer informatie staat op de pagina PKIoverheidcertificaat aanvragen.
PKIoverheid Persoonsgebonden certificaat
Dit certificaat wordt gebruikt door een persoon. Bijvoorbeeld een burger, een werknemer van een organisatie of als iemand een geregistreerd beroep uitoefent zoals notaris, of accountant. Met een persoonsgebonden certificaat kan email beveiligt worden, kan een persoon inloggen op systemen indien deze daarvoor geschikt zijn en kan een persoon documenten (Europees) rechtsgeldig ondertekenen. De persoonsnaam wordt opgenomen in het certificaat. Bij overhandiging moet men zichzelf identificeren. Bijvoorbeeld met paspoort of rijbewijs.
PKIoverheid Services certificaat
Dit certificaat wordt uitgegeven aan apparaten, (computer)servers of groepen personen. Het wordt gebruikt om de communicatie tussen elektronische (overheids)applicaties en -diensten te beveiligen. Bijvoorbeeld voor TLS-beveiligde websites, beveiligde algemene (niet-persoonlijke) e-mailadressen en het ondertekenen van elektronische documenten namens een organisatie. Dit certificaat is nodig als men de eigen organisatie wil aansluiten op Digilevering of DigiD.
Certificaat-hiƫrarchie
De echtheid van een digitaal certificaat wordt afgeleid van het certificaat van de instantie dat het certificaat heeft uitgegeven. Dat certificaat wordt een stamcertificaat of 'root certificate' genoemd. Bij een PKIoverheidcertificaat is het stamcertificaat 'Staat der Nederlanden Root CA'. Voor dit certificaat is de Nederlandse overheid verantwoordelijk.
PKIoverheid is gebaseerd op Nederlandse wet- en regelgeving. Dat maakt het een hoogwaardig en betrouwbaar certificaat. Het is bovendien gebaseerd op Europese standaarden en voldoet aan internationaal geaccepteerde richtlijnen. Dat betekent dat iedereen uw met PKIoverheid beveiligde diensten kan gebruiken.
Logius heeft meegewerkt aan de ontwikkeling van het normenkader dat aan PKIoverheidcertificaten ten grondslag ligt, en is betrokken bij het beheer ervan.
PKIoverheidcertificaten volgen de internationale standaarden voor PKI (Public Key Infrastructure). De informatie is versleuteld aan de hand van unieke cijfercombinaties: de sleutels.
Wees voorbereid; G3+ en G4 komen eraan!
Het belang van certificaten neemt toe. Daarnaast verandert de regelgeving en worden de beveiligingskaders continu aangescherpt. Om die reden zijn de nieuwe generatie certificaten G3+ en G4 ontwikkeld. Voor 2028 moeten alle gebruikers zijn overgestapt op deze nieuwe PKIoverheidcertificaten.
Welk type certificaat heb ik nodig?
In onderstaande tabel staat vermeld welk certificaat u in de toekomst nodig heeft. Of welke u mogelijk kunt ontvangen van tegenpartijen. Achter elk certificaattype staat ook de zogenaamde Certificate Policy Object Identifier (OID) vermeld die het type uniek aanduidt.
| Dienstverlening (doel) | G3/G1 Private certificaat type | G3+/G4 certificaat type |
|---|---|---|
| Client authenticatie voor organisaties (bijvoorbeeld voor SAML of mTLS te gebruiken bij SBR, Digipoort, DigiD, etc.) |
G1 Private Services Server certificaat (OID: 2.16.528.1.1003.1.2.8.6), of G3 Organisatie Services Authenticiteit certificaat (OID: 2.16.528.1.1003.1.2.5.4) |
G4 Private Other Generic Legal Persons Organization Validated Authentication (OID: 2.16.528.1.1003.1.2.44.16.25.8) |
| Server authenticatie voor organisaties (bijvoorbeeld Webservers). | G1 Private Services Server certificaat (OID: 2.16.528.1.1003.1.2.8.6) | G4 Private TLS Generic Devices Organization Validated Server (OID: 2.16.528.1.1003.1.2.44.15.35.11) |
| Zetten van een EU-gekwalificeerde digitale handtekening door individuen (eIDAS eSignature) | G3 Burger Onweerlegbaarheid certificaat (OID: 2.16.528.1.1003.1.2.3.2) |
G4 EUTL Individual Validated eSignature (OID: 2.16.528.1.1003.1.2.44.14.11.5), of Inclusief gereguleerd beroep: G4 EUTL Regulated Profession Validated eSignature (OID: 2.16.528.1.1003.1.2.44.14.12.5) |
| Zetten van een EU-gekwalificeerde digitale handtekening voor organisaties (eIDAS eSeal) | G3 Organisatie Services Onweerlegbaarheid certificaat (OID 2.16.528.1.1003.1.2.5.7) | G4 EUTL Organization Validated eSeal (OID: 2.16.528.1.1003.1.2.44.14.25.5) |
| Ondertekenen of versleutelen van emails door individuen |
G3 Burger Onweerlegbaarheid certificaat (OID: 2.16.528.1.1003.1.2.3.2), of G3 Burger Vertrouwelijkheid certificaat (OID: 2.16.528.1.1003.1.2.3.3) |
G3+ S/MIME Dual-Use Individual-validated certificaat (OID: 2.16.528.1.1003.1.2.12.9), en Op termijn: G4 S/MIME certificaten (wanneer de verschillende aanmeldingsprocedures bij de browserpartijen zijn afgerond) |
| Ondertekenen of versleutelen van emails door medewerkers van organisaties |
G3 Organisatie Persoon Onweerlegbaarheid (OID: 2.16.528.1.1003.1.2.5.2), en G3 Organisatie Persoon Vertrouwelijkheid (OID: 2.16.528.1.1003.1.2.5.3) |
G3+ S/MIME Dual-Use Sponsor-validated certificaat (OID: 2.16.528.1.1003.1.2.11.9), en Op termijn: G4 S/MIME certificaten (wanneer de verschillende aanmeldingsprocedures bij de browserpartijen zijn afgerond) |
| Ondertekenen of versleutelen van emails door organisaties |
G3 Organisatie Services Onweerlegbaarheid certificaat (OID: 2.16.528.1.1003.1.2.5.7), of G3 Organisatie Services Vertrouwelijkheid certificaat (OID: 2.16.528.1.1003.1.2.5.6) |
G3+ S/MIME Dual-Use Organization-validated certificaat (OID: 2.16.528.1.1003.1.2.10.9), en Op termijn: G4 S/MIME certificaten (wanneer de verschillende aanmeldingsprocedures bij de browserpartijen zijn afgerond) |