CSR aanmaken
CSR in 1, 2, 3
Voor het aanvragen van een servercertificaat heb je een Certificate Signing Request (CSR) nodig. Een CSR is een versleuteld bestand dat je aanmaakt op je systeem. Het bevat informatie over de organisatie die het certificaat aanvraagt, zoals de naam en de domeinnaam. Lees hier waar je CSR aan moet voldoen en hoe je deze stap voor stap aanmaakt.
CSR voor servercertificaten
De technische voorwaarden
Key pair
Kies voor je CSR een key pair van RSA 2048 bits of RSA 4096 bits. Gebruik een uniek key pair voor ieder servercertificaat. En maak een nieuw key pair aan wanneer je je certificaat vernieuwt.
Signing algorithm
Het signing algorithm voor de handtekening onder je CSR moet minimaal SHA-256 zijn.
Distinguished Name
Neem in de CSR de Distinguished Name (DN) op met alleen deze onderdelen: Common Name (CN), Organization Name (O), Locality (L), State (ST) en Country (C). Voeg extra SAN's ook toe aan je CSR.
CSR aanmaken
Dat doe je zo
Je kan een CSR op 2 manieren aanmaken:
Wil je je certificaat op een Windows systeem gebruiken? Maak dan je CSR aan met de
KPN Certificaataanvraag Assistent Gebruik je macOS? Of staat je computer het downloaden van extra programma's niet toe? Dan kan je de KPN Certificaataanvraag Assistent niet gebruiken. Maak in dat geval je CSR aan via je eigen systeem. We leggen je hieronder uit hoe je dat doet.
ApacheSSL
Stap: 1
OpenSSL installeren
Stap: 2
Key pair genereren
Start OpenSSL op en ga naar de map waarin je het key pair wil aanmaken:cd /usr/local/apache/ssl.certs/
Voer daarna deze opdracht uit:openssl genrsa -aes256 2048 > server.key
Deze opdracht maakt een 2048-bit RSA-sleutelpaar aan. In hetzelfde scherm voer je een wachtwoordzin in. Deze zin versleutelt de privésleutel met AES256-codering.
Onthoud de wachtwoordzin goed. Zonder deze zin kan je de privésleutel of het certificaat op basis van dit sleutelpaar niet gebruiken.
Stap: 3
CSR aanmaken
Voer de volgende opdracht uit:openssl req -new -key server.key -out server.csr -sha256
Je hebt nu een CSR aangemaakt met je eerder aangemaakte key pair.
Stap: 4
Informatie over organisatie delen
OpenSSL vraagt je om je wachtwoordzin. Hierna stelt OpenSSL een aantal vragen over je organisatie. Beantwoord deze in het venster. Deze gegevens zijn nodig voor het aanvragen van je servercertificaat.
Stap: 5
Bestand beveiligen
Beveilig het bestand door het alleen leesbaar te maken voor het beheerdersaccount. Gebruik hiervoor de volgende opdracht:#chmod 400 server.sleutel
Je hebt nu het sleutelpaar aangemaakt dat je voor je server gaat gebruiken.
Open het CSR-bestand in een tekstbewerker zonder extra tekens (bijv. Kladblok). Plak deze tekst in het aanvraagformulier van je Digipoort PRIVATE of PRIVATE SSL servercertificaat.
OpenSSL voor macOS
Stap: 1
Map aanmaken
Open 'Terminal' in macOS.
Maak een nieuwe map aan voor het opslaan van het key pair en CSR-bestand.
Voer deze opdracht uit om de nieuwe map aan te maken en ernaartoe te navigeren: mkdir certificatencd certificaten
Stap: 2
Key pair genereren
Voer deze opdracht uit:openssl genrsa -aes256 2048 > server.key
Deze opdracht maakt een 2048-bit RSA-sleutelpaar aan.
Je vult hier ook een wachtwoordzin in. Onthoud de wachtwoordzin goed. Zonder deze zin kan je de privésleutel of het certificaat op basis van dit sleutelpaar niet gebruiken.
Stap: 3
CSR aanmaken
Voer de volgende opdracht uit:openssl req -new -key server.key -out server.csr -sha256
Je hebt nu een CSR aangemaakt met je eerder aangemaakte key pair.
Vervang hierna de tekst 'mijndomeinnaam' door de domeinnaam van je organisatie.
Stap: 4
Informatie over organisatie delen
OpenSSL vraagt je om je wachtwoordzin. Hierna stelt OpenSSL een aantal vragen over je organisatie. Beantwoord deze in het venster. Deze gegevens zijn nodig voor het aanvragen van je servercertificaat.
Stap: 5
CSR openen
Microsoft IIS 8.5
Stap: 1
Aanvraag starten
Open de Internet Information Services (IIS) Manager. Klik op de servernaam in het linkermenu.
Klik hierna in het middelste menu op het icoon 'Servercertificaten'. Je ziet nu het overzicht van servercertificaten en acties in het middelste en rechtermenu.
Klik in het menu 'Acties' op 'Certificaataanvraag maken...'. Het scherm 'Certificaat aanvragen' opent. Je ziet nu het scherm 'Distinguished Name Properties'.
Stap: 2
Informatie over organisatie delen
Voer de gevraagde informatie in het venster ‘Distinguished Name Properties’ in:
Algemene naam – Een volledige gekwalificeerde domeinnaam, bijvoorbeeld www.uwdomein.com.
Organisatie – De wettelijk geregistreerde naam van je organisatie bij de Kamer van Koophandel.
Organisatie-eenheid – De naam van de afdeling binnen je organisatie.
Stad/plaats – De stad waarin je organisatie zich bevind.
Staat/provincie – De provincie waarin je organisatie zich bevind.
Land/regio – De 2-cijferige landcode kan uit een lijst worden geselecteerd.
Klik na het invullen op 'Volgende'.
Stap: 3
Gegevens cryptografische serviceprovider invullen
Het scherm 'Cryptografische serviceprovider' verschijnt.
Kies in het veld 'Cryptografische serviceprovider' voor 'Microsoft RSA Channel…', tenzij je een specifieke cryptografische provider hebt. Dit is meestal het geval als je een Hardware Security Module implementeert om je serversleutels te beschermen.
Kies in het veld 'Bitlengte' voor '2048'.
Klik op 'Volgende'.
Stap: 4
Bestandsnaam en locatie kiezen
Kies een bestandsnaam voor je CSR.
Klik op het |…| vakje om je CSR op te slaan op een plek naar keuze. Als je alleen een bestandsnaam invoert, komt je CSR terecht in C:\Windows\System32.
Klik op 'Voltooien'.
Extra domeinen per CSR
Beveilig meer met 1 certificaat
Let op: extra SAN's toevoegen aan je CSR kan niet met de KPN Certificaataanvraag Assistent.