Main content
Wilt u aansluiten op het Centraal Aansluitpunt? Dan kunt u een offerte aanvragen via het aanvraagformulier. Vervolgens krijgt u van ons een aanbod op maat. Zodra u akkoord gaat met deze offerte en onze voorwaarden, kunnen we het aansluittraject starten. Hieronder vindt u een technisch stappenplan waarin u ziet hoe dat verloopt.
Meer informatie
Wilt u eerst meer informatie over het Centraal Aansluitpunt? Dan kunt u contact met ons opnemen. Samen bekijken we uw situatie, u krijgt dan ook een goed inzicht in de mogelijkheden, randvoorwaarden, en in de verschillende mensen en rollen die nodig zijn.
Iets wijzigen bij het Centraal Aansluitpunt
Bent u al afnemer van het CA en wilt u iets wijzigen? Gebruik dan het wijzigingsformulier.
Technisch stappenplan aansluiten op het Centraal Aansluitpunt
Als u gaat aansluiten op het Centraal Aansluitpunt, dan heeft u technische kennis nodig van:
- Digikoppeling standaarden (WUS en ebMS)
- Aansluiten op Diginetwerk
- PKIo certificaten
- API ontwikkeling
Heeft u deze kennis zelf niet in huis? Vraag dan een (ICT)-leverancier om onderstaande stappen voor u te regelen. De uitleg hieronder is dan ook bedoeld voor iemand met deze (technische) kennis.
Hoe lang duurt het?
Een technische aansluiting op het Centraal Aansluitpunt kan binnen 2 weken gerealiseerd worden. U moet dan wel op tijd zorgen voor:
- het ondertekenen van onze offerte en akkoord gaan met onze voorwaarden, onze dienstenniveaus en het hieronder beschreven stappenplan
- het maken van afspraken met de bronhouder(s) voor het gebruik van de gegevens
- het maken en verstrekken van een verwerkersovereenkomst, als u via het Centraal Aansluitpunt persoonsgegevens gaat verwerken
- het aanvragen van een Organisatie-Identificatienummer (OIN), een PKIo certificaat (G1 inclusief OIN) en een aansluiting op Diginetwerk, als u dit niet al eerder gedaan heeft
- het realiseren en testen van het systeem waarmee u aan gaat sluiten op het Centraal Aansluitpunt
Stappenplan technische aansluiting
Het aansluiten op het Centraal Aansluitpunt gaat grofweg in zes stappen. U ontvangt van Logius de koppelvlakspecificaties van het CA met details over de connectiviteit met CA, het testen van de aansluiting en aanvullende toelichting op de randvoorwaarden en het stappenplan. Deze informatie heeft u nodig bij de uitvoering van dit stappenplan.
U stelt, samen met uw ICT-dienstverlener(s), een ketenoverzicht op met alle schakels in de netwerkverbinding tussen de afnemende applicatie en het Centraal Aansluitpunt. Dit ketenoverzicht moet ook inzicht geven in de niet-functionele eisen van de keten en van de aansluiting op het CA.
Belangrijke randvoorwaarden voor een succesvol vervolg van het aansluitproces zijn:
- Het ketenoverzicht moet een keuze voor een aansluitnetwerk bevatten. We gaan ervan uit dat u als overheidsorganisatie aansluit via Diginetwerk. Bij hoge uitzondering kan met Logius afgesproken worden om aan te sluiten via Rijksweb of Internet.
- Het ketenoverzicht moet inzicht geven in de doorlooptijden van de ketenverwerking. Een connectie mag maximaal 300 seconden openstaan, voordat het CA een time-out terug zal geven.
- Het ketenoverzicht moet inzicht geven in de verwachte grootte van het aantal berichten dat u verwacht te verwerken via het CA. Voor zogenaamde pass-through koppelingen kan het CA tot en met 300 transacties per seconde zonder problemen verwerken. Voor zogenaamde ebMS koppelingen kan dit tot en met 3 transacties per seconde.
- Het ketenoverzicht moet inzicht geven in de verwachte grootte van de berichten. Het CA ondersteunt standaard berichtenverkeer met een "payload" tot 20 Mb. Aanvullend ondersteunt het CA standaard berichten met een “payload” tussen 20Mb en 100Mb indien deze aangeboden worden met een loadprofiel van maximaal tien berichten per dag. Voor ebMS koppelingen, zoals Digipoort en MijnOverheid Berichtenbox koppelingen, geldt een maximum van 20Mb. Voor de door CA aangeboden koppelingen zou dit meestal voldoende moeten zijn. Verwacht u grote bijlages te versturen of grote hoeveelheden data op te vragen, dan kan het zijn dat dit voor u niet voldoende is. In dat het geval adviseren wij de verwerking op te knippen zodat de berichten kleiner worden, of een offerte aan te vragen voor een alternatieve oplossing via het CA.
- Het ketenoverzicht moet inzicht geven in het doel van de ketenverwerking, zodat wij hierin kunnen adviseren. Het CA is bijvoorbeeld niet opgezet voor grootschalige synchrone verwerking van berichtenstromen.
Hieronder vindt u een voorbeeld van hoe een dergelijk ketenoverzicht van een koppeling via het CA eruit zou kunnen zien.
In deze stap wordt de netwerkconnectiviteit van de applicatie of het systeem, met het netwerk waarmee aan het CA gekoppeld ingericht. Bijvoorbeeld van de betreffende applicatie naar Diginetwerk.
Uw organisatie regelt dit met uw ICT-dienstverlener(s) en eventueel de beheerder van het netwerk. In uw infrastructuur moeten waarschijnlijk firewall instellingen voor de verbinding aangepast worden zodat verkeer van en naar het CA doorgelaten wordt. Het CA kent een statische firewall configuratie voor HTTPS op port 443 op al zijn aansluitingen (Diginetwerk, Rijksweb en Internet). Dit betekent dat het CA geen firewall-wijzigingen hoeft uit te voeren.
Als de verbinding van de applicatie met het aansluitnetwerk gemaakt is, dan kan de netwerkverbinding met de preproductie omgeving van het CA ook worden gemaakt.
In de door Logius verstrekte koppelvlakspecificaties vindt u details over hoe u de verbinding met onze omgevingen moet inrichten. Uw organisatie regelt dit met uw ICT-dienstverlener(s) en de beheerder van het netwerk. Neem hierbij de beveiligingsrichtlijnen van het NCSC betreffende Transport Layer Security (TLS) in acht. Indien nodig kan Logius u hierbij ondersteunen.
Zowel op transportniveau als op berichtniveau willen we kunnen vaststellen welke afnemer een koppeling op het CA probeert de gebruiken om misbruik en oneigenlijk gebruik te voorkomen.
Op transportniveau wordt de netwerkverbinding beveiligd met HTTPS en TLS (tweezijdig SSL-verbinding). Hiervoor moet u het publieke deel van het PKIo certificaat van het CA inlezen in uw trust store. Bij iedere beveiligde netwerkverbinding controleert het CA of uw PKIo certificaat geldig is.
Het inregelen van de authenticatie op berichtniveau wordt toegelicht in de koppelvlakspecificaties die u krijgt bij de start van het aansluitproces.
Als u moet worden aangesloten op een ebMS koppeling, of het betrouwbaar koppelvlak, dan moet u het CA mandateren om namens u een CPA (Collaboration Protocol Agreement) aan te maken. Bekijk een handleiding die beschrijft hoe u dit kunt doen. De gegenereerde CPA wordt ingelezen in de ebMS-adapter van het Centraal Aansluitpunt en uitgewisseld met de ebMS-aanbieder/partner. Hierna voert het CA een ebMS ping-pong test uit om de ebMS connectiviteit te testen.
Uw technisch beheerder kan de verbinding op netwerkniveau testen met behulp van een telnet-test, waarbij het resultaat geen time out mag zijn. Alle andere resultaten kunnen betekenen dat de verbinding in orde is. Belangrijk is dat de telnet-test op de server wordt uitgevoerd waarvandaan ook de uiteindelijke bevraging zal worden gedaan. Dat kan de applicatieserver zelf zijn, of bijvoorbeeld een service bus. Hierdoor wordt voorkomen dat verkeerde conclusies uit de test worden getrokken. Als deze test succesvol is uitgevoerd dan kan de SSL Handshake test voor controle van de te gebruiken PKIO-certificaat en bijbehorend keypair uitgevoerd worden.
Tenslotte kunt u testen of berichten met het CA kunnen worden uitgewisseld met de verbindings-test koppeling die het CA hiervoor aanbiedt. De service kan getest worden door een lege SOAP envelope naar de service te sturen. Het CA beschikt ook over voorbeeld SoapUI testprojecten die gebruikt kunnen worden bij het testen van de verbindings-test.
In de door Logius verstrekte koppelvlakspecificaties vindt u details over hoe u deze testen moet uitvoeren.
Niet toegestaan
Het is zonder toestemming van Logius niet toegestaan om op het CA de volgende activiteiten uit te voeren:
- performance testen
- security testen
- health checks en andere testen of checks die een impact kunnen hebben op de dienstverlening van het CA en die van de bronnen en ketenpartners van het CA.
Neem bij twijfel over een mogelijke impact contact op met het CA team voordat u start.
Als de aansluiting met succes op preproductie is getest, dan kan de netwerkverbinding met de productie omgeving van het CA worden gemaakt.
U voert deze stap uit met uw ICT-dienstverlener en de beheerder van het netwerk. Indien nodig kan Logius u hierbij ondersteunen. Voer na de realisatie van de aansluiting op de productie-omgeving alle testen beschreven in stap 5 nogmaals uit voor deze omgeving.