Bestille sertifikat – utenlandsk virksomhet

Denne siden gjelder virksomheter uten norsk organisasjonsnummer, eller NUF uten norsk representant, som kan administrere integrasjonen via Samarbeidsportalen (må logge inn med MinID).

For disse virksomhetene kreves et eSeal-sertifikat som er utstedt av en CA som ligger på EUs tillitslister (EUTL).

Møter du ukjente begreper som eSeal, TSP, QSCD eller soft token, se Begreper lenger ned.

Hvilket sertifikat du trenger

Du trenger et virksomhetssertifikat som kan lage et advanced elektronisk segl (eSeal, Advanced Electronic Seal/AdESeal) slik eIDAS definerer det. Tre krav må være oppfylt:

Sertifikatet kan brukes til å lage minimum et advanced eSeal.
CA-sertifikatet til utstederen er oppført som en aktiv tillitstjeneste (trust service) i en av de nasjonale tillitslistene i EU (EUTL).
NB: En utsteder kan ha flere CA-sertifikater, og det er ikke garantert at alle er oppført på EUTL. Dette må derfor verifiseres for det spesifikke produktet.
Privatnøkkelen kan holdes som soft token. Du leverer den offentlige nøkkelen via en CSR, eller du mottar en .p12/.pfx-fil. Det er ikke et krav at nøkkelen må ligge i en dedikert maskinvare.

Sertifikatet må inneholde en organisasjonsidentifikator (organizationIdentifier i sertifikatets Subject). Det er denne verdien Maskinporten (og Toll) bruker til å identifisere virksomheten din. Selve verdien kommer typisk fra opplysningene du oppgir i bestillingen, og bekreftes når virksomheten identifiseres.

Et advanced eSeal er tilstrekkelig for Maskinporten. Et qualified eSeal er også greit hvis nøkkelen leveres som soft token. Se også hva du ikke skal bestille.

Digdir har en egen beskrivelse av hvordan europeiske eSeal fungerer med Maskinporten: European eSeals.

Hva du ikke skal bestille

Det er lett å velge feil produkt. Disse skal du unngå:

eSignature eller annet personsertifikat. Disse identifiserer en person. Du trenger et eSeal, som identifiserer virksomheten (en juridisk person).
Et qualified eSeal som krever QSCD. Et qualified eSeal tvinger ofte privatnøkkelen inn i en sertifisert maskinvareenhet (HSM eller smartkort), og det utelukker soft token-flyten. Det du må unngå er kravet om QSCD, ikke qualified i seg selv: et qualified-sertifikat er greit så lenge nøkkelen leveres som soft token.
TLS/SSL- eller kodesigneringssertifikat. Feil type sertifikat for dette formålet.

Utstedere

eSeal-sertifikater kan fås hos mange tilbydere av tillitstjenester i EU. Tabellen under er en kort liste over utstedere som er kjent for å tilby et advanced eSeal med soft token. Listen er ikke uttømmende og er ingen anbefaling fra Tolletaten. Trenger du andre alternativer, kan du søke opp tilbydere per land og tjenestetype i EUs Trusted List Browser (eIDAS-dashbordet). Tilbud og produktnavn endrer seg, så bekreft alltid med utstederen.

Utsteder	Produkt	Dekker	Nøkkel genereres av	Merknad
Buypass	QC eSeal	Norden og Baltikum	Bestiller (CSR) eller utsteder (.p12)	–
Commfides	Standard eSegl Virksomhetssertifikat	Europa	Utsteder (.p12)	–
DigiCert	EU Qualified eSeal	Europa	Bestiller (CSR)	Kun via European CertCentral.
GlobalTrust	GlobalTrust Advanced Seal	Europa	Bestiller (CSR) eller utsteder (.p12)	–
D-Trust	Seal ID	Europa	Bestiller (CSR) eller utsteder (.p12)	Bestilles via Certificate Service Manager (CSM) eller forhandler.
Sectigo	eIDAS sealing certificate	Europa	Bestiller (CSR)	–
ADACOM	Advanced (Soft) eSeal for Legal Person	Europa	Bestiller (CSR)	Krever bekreftet signatur hos notarius publicus

Hvis nøkkel skal genereres av Bestiller (via CSR) er dette et ekstra teknisk steg man kan lese om under Lage en CSR.

Produktsider er ofte tvetydige, og et produkt markedsføres gjerne som «Qualified eSeal» selv om en advanced-variant finnes. Det tryggeste er å be utstederen bekrefte skriftlig at du får et sertifikat for advanced eSeal (uten QSCD) for en juridisk person, der privatnøkkelen kan holdes som soft token.

Typisk bestillingsprosess

Detaljene varierer mellom utstederne, men prosessen er i hovedsak slik:

Velg utsteder og produkt. Se Utstedere, og bekreft med utstederen at produktet oppfyller kravene (Hvilket sertifikat du trenger). Se også hva du ikke skal bestille.
Identifisering og kontroll av virksomheten. Utstederen må verifisere den juridiske enheten. Vanligvis kreves et registerutdrag fra virksomhetsregisteret i hjemlandet og en person som kan representere virksomheten (med signaturrett eller fullmakt). I tillegg gjennomføres ofte en identitetskontroll på telefon eller video. Dette steget tar vanligvis lengst tid, fra noen dager til flere uker.
Generer nøkkel og CSR. Hvis utstederen bruker CSR-basert utstedelse, genererer du nøkkelparet og en CSR selv (se Lage en CSR). CSR inkluderes i bestillingen i neste steg. Noen utstedere genererer nøkkelparet for deg. Da trenger du ikke en CSR, men får nøkkelen levert av utstederen når bestillingen er ferdig behandlet.
Send inn bestillingen og betal. Lever bestillingen eller CSR-en via utstederens portal, og fullfør betaling.
Motta eller hent sertifikatet og nøkkelen. Du får sertifikatet enten ved å laste det ned (inkludert privatnøkkel hvis du ikke brukte CSR), eller tilsendt til en adresse du oppgir i bestillingen.
Fortsett med onboarding. Når du har sertifikatet, går du videre til Onboarding for å registrere deg og ta sertifikatet i bruk mot Maskinporten.

Lage en CSR

En CSR (Certificate Signing Request) lar utstederen lage et sertifikat uten å se privatnøkkelen din. Du genererer et nøkkelpar lokalt (en privatnøkkel og en offentlig nøkkel) og sender CSR-en til utstederen. Hovedpoenget med CSR-en er å formidle den offentlige nøkkelen. Den inneholder også et subject med opplysninger om virksomheten, men disse setter utstederen normalt selv ut fra bestillingen og kontrollen av virksomheten. Verdiene du selv legger i CSR-en er derfor stort sett bare et utgangspunkt.

Privatnøkkelen blir hos deg. Det er denne nøkkelen som beviser at det er din virksomhet som autentiserer seg mot Maskinporten. Den som har tilgang til privatnøkkelen, kan i praksis opptre på vegne av virksomheten, så filen må holdes hemmelig og tas godt vare på.

Eksempelet under viser hvordan du kan opprette en CSR med OpenSSL, men det finnes mange verktøy som kan brukes til dette. Bruk nøkkeltype, nøkkellengde og andre instrukser som utstederen din oppgir.

# Generer en privatnøkkel (hold denne filen hemmelig).
# RSA 3072 vist her; noen utstedere godtar eller krever RSA 2048 eller ECDSA P-256.
openssl genrsa -out eseal.key 3072

# Lag CSR-en fra nøkkelen. Bruk subject-feltene utstederen ber om.
openssl req -new -key eseal.key -out eseal.csr \
  -subj "/C=SE/O=Example Legal Entity AB/CN=Example Legal Entity AB"

# Kontroller CSR-en før du sender den inn.
openssl req -in eseal.csr -noout -text

Last opp eseal.csr til utstederen. Etter utstedelse får du selve sertifikatet (.cer/.pem), som hører sammen med eseal.key.

Begreper

Et raskt oppslag for begrepene som dukker opp hos utstederne.

Advanced vs. qualified: Et advanced eSeal er minstekravet. Et qualified eSeal gir en enda høyere sikkerhetsnivå, men krever som regel en QSCD, og bør derfor unngås her, med mindre nøkkelen kan leveres som soft token.
CA / CA-sertifikat: Certificate Authority (sertifiseringsinstans): tjenesten hos en TSP som utsteder og signerer sertifikater. På en tillitsliste identifiseres hver tjeneste med sitt CA-sertifikat (tjenestens «service digital identity»), så tilliten avgjøres av om det spesifikke CA-sertifikatet står på listen, ikke bare av om selskapet er en kjent tilbyder.
CSR: Certificate Signing Request. Måten du sender utstederen den offentlige nøkkelen og opplysningene om virksomheten på, uten å avsløre privatnøkkelen (se Lage en CSR).
eIDAS: EU-forordningen om elektronisk identifikasjon og tillitstjenester. Den definerer elektroniske segl (eSeal) og signaturer, sikkerhetsnivåene (advanced/qualified) og rammeverket for EUs tillitslister.
eSeal: Et elektronisk segl som lages av en virksomhet (juridisk person), slik eIDAS definerer det. I motsetning til en eSignature, som tilhører en enkeltperson. Et eSeal er selve seglet, ikke et sertifikat.
eSeal-sertifikat: Sertifikatet du bestiller, og som brukes til å lage et eSeal. Det er dette du faktisk trenger for å autentisere virksomheten mot Maskinporten.
EUTL / LOTL: EU Trusted Lists: samlingen av medlemslandenes nasjonale tillitslister, der tillitstjenester og deres utstedende CA-sertifikater publiseres. Det sentrale registeret over disse nasjonale listene er LOTL (List of Trusted Lists), som vedlikeholdes av EU-kommisjonen. Utstederens CA-sertifikat må stå her.
QSCD: En sertifisert maskinvareenhet for privatnøkkelen (HSM eller smartkort). Krever et produkt QSCD, kan du ikke holde nøkkelen som soft token, og produktet passer ikke her.
Soft token: Privatnøkkelen ligger i programvare (for eksempel en .p12-fil), i motsetning til en hard token, der nøkkelen er bundet til dedikert maskinvare (QSCD/HSM). For praktisk autentisering mot Maskinporten trenger du et soft token, siden det tilbyr rask og ubegrenset signering.
TSP / QTSP: En tilbyder av tillitstjenester (Trust Service Provider, TSP) er organisasjonen som utsteder sertifikatet ditt; en QTSP er en kvalifisert TSP. TSP-en drifter sertifiseringsinstansen (CA) som signerer eSeal-et ditt.

Neste: Onboarding