OBS - udstedte OCES2 certifikat spærres den 30. juni 2023 og vil derefter ikke længere kunne anvendes.  

Vær opmærksom på, at de nye OCES3 certifikater udstedt fra MitID Erhverv har et nyt format, hvor bl.a. indholdsfelter og algoritmer er ændret.


Hvis I anvender VOCES, FOCES eller MOCES certifikater fra NemID medarbejdersignatur i dag (herunder i system-til-system integrationer), er det derfor meget vigtigt, at I tester de nye OCES3 certifikater i god tid inden NemID medarbejdersignatur nedlukkes den 30. juni 2023. Så I kan nå at tilpasse løsninger, infrastruktur og integrationer. Med nedlukningen vil OCES certifikaterne udstedt fra NemID medarbejdersignatur blive spærret.


Bemærk, at det for system-til-system integrationer baseret på certifikater er nødvendigt at teste begge ’ender’ af integrationen (klient og server).

Certifikater

Brugercertifikat

Når brugeren logger ind eller underskriver digitalt med deres private eller et særskilt MitID identifikationsmiddel, er der ikke længere brug for et certifikat.


Hvis jeres brugere har behov for at identificere sig med et certifikat for at kunne bruge specielle tjenester, kan I tillade brug af brugercertifikater.


Certifikater bruges også til sikker e-mail. I MitID Erhverv er sikker e-mail ikke aktivt understøttet. Der er dog mulighed for at hente certifikater, som I kan anvende til at sende sikre e-mails til fx samarbejdspartnere og kollegaer.

Læs mere om sikker e-mail


Certifikater bestilles af brugeradministratoren og udstedes direkte af brugeren selv.

Organisationscertifikat

Organisationscertifikater bruges til at identificere organisationen, når den skal have adgang til web- og andre tjenester hos tjenesteudbydere.


Organisationscertifikater bruges til at identificere organisationen, når den skal have adgang til web- og andre tjenester hos tjenesteudbydere.


De kan også bruges til at kryptere den data, der går til og fra tjenesterne.


Du skal tilknytte en kontaktperson, der bliver informeret, hvis certifikatet skal opdateres, bliver spærret eller lignende.


I kan have mere end ét organisationscertifikat. Derfor skal du altid navngive nye certifikater, så I kan skelne mellem dem.


Der er tre typer certifikater, du kan bruge i din organisation:

  • Et organisationscertifikat repræsenter din organisation. Der er ingen personnavne i certifikatet, der typisk kun indeholder organisationens navn, CVR-nummer og en e-mailadresse.
  • Et kvalificeret organisationscertifikat har samme funktion som et almindeligt organisationscertifikat, men udstedes med højere sikkerhedskrav til identifikation og opbevaring af certifikatet. Det kan kun udstedes på sikker hardware. Kun få tjenester kræver kvalificerede certifikater.
    • OBS - kvalificerede certifikater kan forventeligt først anvendes i MitID Erhverv primo 2023.
  • Et systemcertifikat er en specialisering af organisationscertifikatet, der repræsenterer et specifikt system i din organisation. Certifikatet udstedes til og bruges af systemet til at vise, hvad det er, når der er kontakt til andre interne eller eksterne systemer.


Organisationscertifikater kan også bruges til at danne segl for organisationen.


Udvalgte certifikatprofiler kan anvendes til at give brugere mulighed for at signere på organisationens vegne uden at brugerens navn fremstår - segldannelse.


I certifikatprofilen kan du tillade at certifikatet anvendes til signering. 

Det er muligt at teste de forskellige certifikat typer i pre-produktionsmiljøet, via følgende link (åbner i et nyt vindue):

Vejledning til pre-produktionsmiljø

Guide: Overgangen til de nye certifikater

Få overblik over, hvad I bruger certifikater til i dag. Undersøg også, om I bruger sikker e-mail.

Bruger I virksomhedssignaturer og/eller funktionssignaturer i integrationer i dag? Og har I fortsat behov for certifikaterne? I så fald skal I forberede et skift til de nye certifikater, hhv. organisationscertifikat og systemcertifikat.

Har I behov for at anvende sikker e-mail? I så fald skal I tage stilling til, hvem i organisationen der skal kunne sende og/eller modtage sikker e-mail. De pågældende brugere skal have et brugercertifikat. Hvis I har en fælles postkasseløsning, skal I bruge et organisationscertifikat til sikker e-mail.

Bemærk, at I altid kan vælge certifikater til efter behov på et senere tidspunkt.

OBS - hvis I ikke skal bruge certifikater fremadrettet, skal I ikke gøre mere.

Hvis I fremadrettet har behov for certifikater, anbefaler vi, at I tester de nye certifikater allerede nu:

  • Test, at jeres egne løsninger fungerer med de nye certifikattyper. Det kan fx være integrationer, lokalt login, lokale blanketløsninger og lokale signeringsløsninger.
  • Test af modtagere af nye certifikater kan modtage dem (fx i system-til-system løsninger hvor sikkerheden baseres på certifikater).
  • Test, at sikker e-mail fungerer i jeres mailklient med de nye certifikattyper.

I kan teste certifikater i pre-produktionsmiljøet, hvor I finder en tidlig udgave af den nye erhvervsløsning, MitID Erhverv. Her kan I oprette testdata og udstede testcertifikater via fælgende link (åbner i et nyt vindue):


Vejledning til pre-produktionsmiljøet 

Hvis I skal bruge certifikater i integrationer og egne løsninger, skal I skifte til de nye certifikater.

Hvis I skal bruge sikker e-mail, skal I udstede de brugercertifikater og organisationscertifikater, I har brug for.

I kan udstede de nye certifikater, når I er tilsluttet MitID Erhverv.

Jeres eksisterende certifikater vil være gyldige, til de udløber, men senest til udgangen af juni 2023, hvor NemID lukkes. Herefter spærres alle NemID certifikater.

I skal forny certifikaterne inden for denne frist - husk at starte i god tid, så I forinden kan teste, om modtagerne af de nye certifikater er klar til at modtage dem.

Du kan finde trin-for-trin vejledninger som organisations- eller brugeradministrator i forbindelse med bl.a. oprettelse af certifikater i MitID Erhverv her:

Vejledning til certifikater

Ændret brug af certifikater

Infrastrukturen omkring MitID og MitID Erhverv er ikke længere PKI-baseret, som fx NemID og NemID medarbejdersignatur. I vil dog fortsat kunne udstede certifikater til særlige behov.


OCES-certifikaterne og certifikatpolitikkerne, som anvendes i dag, revideres og tilpasses de fremtidige behov.


Det betyder bl.a. at:

  • Indholdet i navnene i certifikaterne ændres (SubjectDN og IssuerDN) – RID, UID og FID forsvinder.
  • Certifikatpolitik for OCES Person (POCES) videreføres ikke.
  • Certifikatpolitikker for OCES funktionscertifikater (FOCES) og OCES virksomhedscertifikater (VOCES) samles i én opdateret certifikatpolitik for OCES organisationscertifikater.
  • OCES certifikatpolitikkerne suppleres med nye offentlige certifikatpolitikker for kvalificerede certifikater for fysiske personer (borgere), fysiske personer associeret med en juridisk person (medarbejdere) og juridiske personer (virksomheder).
  • Der er udarbejdet en ny offentlig politik for kvalificeret tidsstempling. Samtlige politikker opbygges efter en struktur fastlagt i internetstandarden RFC 3647.
  • Kravene følger NSIS og eIDAS.
  • Politikkerne er bragt i overensstemmelse med europæiske standarder for politikker for tillidstjenester.
  • Certifikatpolitikken for MOCES strammes op, så sikkerhedskravene til opbevaring og håndtering af nøglefiler tydeliggøres, hvilket begrænser muligheden for lokalt installerede nøglefiler.

Herunder kan du tilgå et tekniskdokument (på engelsk) som sammenligner forskellene mellem OCES2 og OCES3 certifikater (åbner i et nyt vindue): 

OCES2 sammenholdt med OCES3


Via følgende links kan du læse mere om certifikatpolitikker og revisionsvejledning (åbner i et nyt vindue):

Læs mere om certifikatpolitikkerne

Se certifikatpolitikker og revisionsvejledninger

Kvalificerede certifikater


Kvalificerede brugercertifikater og organisationscertifikater, der er udstedt af Digitaliseringsstyrelsen, skal være beskyttet af såkaldte kvalificerede signaturgenereringssystemer (QSCD) jf. eIDAS.


Signeringsløsningen har en QSCD inkluderet. Certifikater til løsningen vil have kort levetid og vil ikke blive persisteret. Derfor kan de ikke bruges i andre sammenhænge.


Med MitID Erhverv bliver det også muligt at udstede kvalificerede certifikater med lang levetid til anden brug end signering. Det vil kræve en særlig aftale med Digitaliseringsstyrelsen om processer for håndtering af den aktuelle QSCD.


Signering


Man skal ikke hente et brugercertifikat for at kunne anvende signeringsløsningen. Der udstedes automatisk et kvalificeret brugercertifikat i signeringsøjeblikket. Det vil være korttidscertifikater, der kun bliver brugt, når en medarbejder skal underskrive et dokument eller en indberetning.


Avancerede medarbejdersignaturer (splitcertifikater) udgår


Nogle få organisationer anvender i dag løsningen ’Medarbejdersignatur avanceret’. Den bliver også kaldt ’splitcertifikater’. I løsningen er funktioner for signering og dekryptering splittet op. Signering sker lokalt med et medarbejdercertifikat på certifikatholderens udstyr. Dekryptering sker i en gateway, der er placeret centralt i organisationen ved brug af et særligt virksomhedscertifikat.


Denne løsning vil ikke blive videreført i MitID Erhverv.

Gå tilbage til oversigt over avanceret funktionalitet