Hvordan fornyes et funktionscertifikat?
Et funktionscertifikat skal fornyes hvert andet år. Ca. en måned før
certifikatet udløber vil du modtage en mail fra DanId om, at
certifikatet skal fornyes (med titlen ”Din digitale signatur skal
fornyes”). E-mailen indeholder et link, der gør det muligt straks at
forny certifikatet. Det eneste krav er, at det gamle certifikat ligger
på computeren og at det endnu ikke er udløbet.
Selve processen for fornyelse er ganske simpel. Når man følger linket
er første skridt at vælge certifikatet, der skal fornyes. Efter at
have accepteret vilkårene er der kun et valg tilbage, om man vil bruge
standard eller avancerede indstillinger. Avancerede indstillinger
giver mulighed for at gøre den private nøgle eksporterbar og undgå at
certifikatet installeres, så det er tilgængeligt via Microsoft
Cryptography API (CAPI).
Der er dog et par punkter, du skal være opmærksom på i forbindelse
med fornyelsen.
Efter fornyelsen vil både det gamle og det nye certifikat ligge på
computeren. Hvis man anvender digital signatur som anbefalet af DanId,
vil der være et program til sletning under ”Digital Signatur/Slet
Digital signatur”. Hvis man vælger dette program kommer der en dialog
frem, hvor man kan vælge hvilket certifikat man vil slette.
Selvom det fornyede certifikatet i princippet er det samme (bare
fornyet) og med samme certifikat subject, får certifikatet alligevel
et nyt nøglepar. Den nye offentlige nøgle publicerer DanId umiddelbart
efter udstedelsen på dir.certifikat.dk. Da det er fra
dir.certifikat.dk, at afsenderen henter den offentlige nøgle på
modtageren, giver det problemer, hvis modtageren ikke umiddelbart
efter udstedelsen tager det nye certifikat i anvendelse.
Hvis dette ikke sker, vil man i modtageservicen ikke kunne afkryptere
meddelelsen og der vil opstå en sikkerhedsfejl. Bemærk dog, at selvom
modtageservicen opdateres med det samme, kan det stadig give problemer
i en overgangsfase, da afsendere ofte cacher resultatet af opslag i
dir.certifikat.dk. Default for denne caching er 14 dage, så det kan i
visse tilfælde være relevant at få afsendere til at fremtvinge en
opdatering af cachen, f.eks. ved at genstarte servicen.
Til afsendelse er opdateringen mindre kritisk. Afsenderservicen
signerer meddelelser med certifikatets private nøgle, men vedlægger
den offentlige nøgle i selve meddelelsen. Dette betyder, at
afhængigheden til dir.certifikat.dk ikke eksisterer i forbindelse med
afsenderservicens signering af meddelelser og modtagerservicens
validering af denne signering.
Andre FAQ om NemHandel og Certifikater:
-
Hvordan udstedes et funktionscertifikat?
-
Hvordan
repræsenteres certifikatet i NemHandelsregistret?
-
Hvad skyldes en
fejl vedrørende 'OAEP Padding'?
FAQ som pdf:
http://digitaliser.dk/resource/526405/artefact/NemHandel+Certifikater+FAQ.pdf