Installatie van de tool 'XCA'

Om een sleutelpaar, bestaande uit private en publieke sleutel, te genereren, maken we gebruik van XCA. Deze grafische tool maakt het aanmaken, beveiligen en beheren van een sleutelpaar eenvoudig.

Installeer deze tool op de computer waar later het certificaat zal gebruikt worden. Het is namelijk een goede praktijk dat de private sleutel nooit de machine verlaat waarop die aangemaakt werd.

1. Ga naar https://hohnstaedt.de/xca/ en kies ‘Download’
2. Kies de meest recente versie voor jouw platform (linux, windows, mac).

3. Download en installeer XCA
4. Open de toepassing
5. Optioneel: kies de gewenste taal. Deze handleiding bevat screenshots van de Nederlandstalige versie

a. Kies ‘Bestand’
b. Kies ‘Taal’
c. Kies ‘Nederlands (Dutch)

Een database aanmaken 

Voor we een sleutelpaar en een certificaat kunnen maken, moeten we een database aanmaken waar private sleutels, CSR’s, certificaten, etc. kunnen bewaard worden.
1. Kies ‘Bestand
2. Kies ‘Nieuwe database’

Image Removed

Image Added

3. Kies een locatie waar je de database wil opslaan
4. Geef je database een naam
5. Kies ‘Opslaan’

6. XCA zal je vragen een paswoord in te stellen om de private sleutel(s) te beschermen. Deze stap is optioneel maar ten zeerste aangeraden. Dit paswoord moet je goed bewaren, anders kan je deze database met private sleutels niet meer gebruiken.
7. Klik ‘OK

Je hebt nu een database aangemaakt waarbinnen we een private sleutel en later een CSR kunnen genereren en opslaan

Een private sleuten aanmaken 

De private sleutel is een reeks tekens, berekend met behulp van een wiskundig algoritme. De sleutel heeft een bepaalde lengte en hoe langer die is, hoe sterker de sleutel, dus hoe moeilijker te kraken. Vo-DCBaaS raadt aan sleutel met een lengte van 4096bit te gebruiken.

Een private sleutel is het startpunt om een CSR aan te maken. 
1. Kies de tab ‘Privé-sleutels’
2. Kies ‘Nieuwe sleutel’

3. Geef je sleutel een (zinvolle) naam
4. Kies als ‘Sleuteltype’: ‘RSA’
5. Kies als ‘Sleutelgrootte’: ‘4096 bit’
6. Klik op ‘Creëren’ XCA maakt nu je sleutel aan en geeft een bericht als dat proces klaar is

Image Removed

Image Added

7. Kies ‘OK’ 

Je private sleutel is nu zichtbaar in het overzicht van je sleutels

Een CSR aanmaken 

Een CSR bevat informatie over je toepassing, organisatie, contactgegevens, etc., en een publieke sleutel die door VO-PKI zal ondertekend worden. Hiermee bevestigen we die gegevens en heb je een certificaat dat je kan gebruiken in de dienstverlening tussen jouw organisatie en de Vlaamse overheid. 

De CSR heb je nodig om in Vo-DCBaaS een certificaat aan te maken
1. Kies de tab ‘Certificaat onderteken verzoeken’
2. Kies ‘Nieuw Verzoek’

3. Kies de tab ‘Bron’
4. Kies als handtekening algoritme: SHA 256, SHA 384 of SHA 512. Andere algoritmes worden niet ondersteund in Vo-DCBaaS

5. Kies de tab ‘Onderwerp’
6. Geef de CSR een (zinvolle) interne naam
7. Vul minstens de verplichte attributen in:

a. countryName: altijd ‘BE’
b. organizationName: je organisatie of organisatiecodering
c. commonName: de CN die je toepassing identificeert

Deze wordt meestal meegedeeld door de dienst waar je aansluit, bijvb door Magda of door je ICT-dienstverlener
8. [optioneel] Als je een e-mail adres opgeeft, kan Vo-DCBaaS dat gebruiken als contactgegeven 
voor je certificaat
9. Kies de privé sleutel op basis waarvan de CSR gemaakt moet worden. Dat is de sleutel die we in de eerdere stappen hebben aangemaakt.
10. Als je geen SAN meer moet toevoegen, kan je nu op ‘OK’ klikken om je CSR aan te maken. De volgende stappen zijn optioneel

11. [optioneel] Kies de tab ‘Uitbreidingen’
12. [optioneel] Kies ‘Bewerken’ naast X509v3 Subject Alternative Name

13. [optioneel] Kies ‘Toevoegen’ voor elke SAN die je wil toevoegen aan de CSR
14. [optioneel] Kies het gewenste type en vul de gewenste waardes in
15. [optioneel] Klik ‘Toepassen’ om te bewaren’ 

Je hoeft geen verdere gegevens in te vullen om een CSR aan te maken. Klik onderaan op ‘OK’ om de aanmaak van de CSR te bevestigen (zie stap 10).
Je krijgt een bevestiging als de CSR succesvol aangemaakt is. Sluit deze boodschap met ‘OK’

In XCA zie je de aangemaakte CSR in je overzicht van ‘Certificaat onderteken verzoeken’

Een geldig CSR bestand begint ALTIJD met de volgende regel:

-----BEGIN CERTIFICATE REQUEST-----

En eindigt ALTIJD met de volgende regel:

-----END CERTIFICATE REQUEST-----

Een certificaat aanmaken 

Met de CSR kan je in Vo-DCBaaS een certificaat aanvragen. Hiervoor exporteer je de aangemaakte CSR zodat je hem kan opladen in Vo-DCBaaS
1. Klik je CSR aan die je wil exporteren
2. Klik ‘Exporteren

3. Kies een locatie waar je de CSR wil opslaan. Via de knop "..." kan je gemakkelijk met de verkenner een locatie selecteren. Geef het bestand een zinvolle naam en zorg dat het eindigt op de extensie .csr
4. Selecteer ‘PEM’ als formaat voor export
5. Klik ‘OK’

Image Removed

Image Added

De CSR is nu opgeslagen op de gekozen locatie. Je kan deze nu opladen in het Certificatenbeheer om een certificaat aan te maken. Hoe je dat precies doet, staat beschreven in de Vo-DCBaaS handleiding: Een certificaat beheren

Een private sleutel en certificaat exporteren

Om een private sleutel en bijhorend certificaat te gebruiken in een toepassing, worden ze vaak geëxporteerd als beveiligde ‘sleutelkast’. Met de XCA tool kan je een PKCS #12 bestand maken (extensie .p12) en exporteren. Dit bestand wordt vervolgens geïmporteerd in je toepassing of bezorgt aan je ITdienst of ICT-Dienstenleverancier.

1. Download en importeer het certificaat dat je in Vo-DCBaaS aangemaakt hebt via de tab ‘Certificaten’
2. Klik op ‘Importeren’

3. Kies het certificaat dat je gedownload hebt.
4. Klik op ‘Openen’

5. Je krijgt een melding dat het certificaat succesvol is ingeladen. Sluit deze boodschap met ‘OK’
6. Klik het certificaat aan.
7. Kies ‘Exporteren’

8. Kies een locatie waar je de sleutelkast wil opslaan. Via de knop "..." kan je gemakkelijk met de verkenner een locatie selecteren. Geef het bestand een naam.
9. Kies PKCS #12 als export formaat
10. Klik op ‘OK’

Image Removed

Image Added

11. Geef een wachtwoord op waarmee de sleutelkast kan beveiligd worden. Zonder dit 
wachtwoord kan je de sleutelkast niet gebruiken 
12. Klik op ‘OK’

Image Removed

Image Added

Je sleutelkast is nu beschikbaar op de gekozen locatie.