- Created by Alessia Krioutchkova, last modified on 14 Nov, 2023
You are viewing an old version of this page. View the current version.
Compare with Current View Page History
« Previous Version 20 Next »
Certificaten aanmaken
Tool voor aanmaak private key en certificaat - XCA: https://hohnstaedt.de/xca/
Certificatenbeheer applicatie VO-DCBaaS: https://dcb.vlaanderen.be : Handleiding VO-DCBaaS: https://overheid.vlaanderen.be/publicaties-toegangs-en-gebruikersbeheer -> “Ik heb vragen over Vo-DCB of VoDCBaaS”
Op deze pagina:
Wat heb je nodig
Om een certificaat aan te vragen, maak je een Certificate Signing Request, of CSR, die je kan opladen in Vo-DCBaaS. Een CSR bevat je publieke sleutel en informatie over je organisatie, toepassing, contactgegevens,…
Om een CSR aan te maken, beschik je over:
Een private sleutel: deze maken we aan in het stappenplan
Minstens volgende informatie:
o De Common Name of CN – doorgaans de domeinnaam of de naam van de toepassing of server waarvoor je een bepaald certificaat gebruikt
o Je organisatienaam of organisatiecode
o De landcode - deze is altijd ‘BE’Optioneel:
o Een e-mail adres dat Vo-DCBaaS kan gebruiken als contactgegeven
o Subject Alternative Name of SAN
De gegevens die je invult, krijg je vaak vanuit de dienst die je aansluiting regelt. Raadpleeg deze informatie bij het aanmaken van een CSR, want ze zijn cruciaal voor de goede werking van het certificaat.
Relevante pagina's |
---|
Lijst van veelgebruikte afkortingen
|
Vragen of suggesties, contacteer ons via: vodcb@vlaanderen.be.
Stappenplan
Installatie van de tool 'XCA'
Om een sleutelpaar, bestaande uit private en publieke sleutel, te genereren, maken we gebruik van XCA. Deze grafische tool maakt het aanmaken, beveiligen en beheren van een sleutelpaar eenvoudig.
Installeer deze tool op de computer waar later het certificaat zal gebruikt worden. Het is namelijk een goede praktijk dat de private sleutel nooit de machine verlaat waarop die aangemaakt werd.
1. Ga naar https://hohnstaedt.de/xca/ en kies ‘Download’
2. Kies de meest recente versie voor jouw platform (linux, windows, mac).
TIP
Tip: Vaak kan of mag je geen software installeren op de Windows computer waar je de sleutels aanmaakt, Kies in dat geval voor de XCA-portable versie die je kan downloaden en uitpakken zonder installeren.
3. Download en installeer XCA
4. Open de toepassing
5. Optioneel: kies de gewenste taal. Deze handleiding bevat screenshots van de Nederlandstalige versie
a. Kies ‘Bestand’
b. Kies ‘Taal’
c. Kies ‘Nederlands (Dutch)
Een database aanmaken
Voor we een sleutelpaar en een certificaat kunnen maken, moeten we een database aanmaken waar private sleutels, CSR’s, certificaten, etc. kunnen bewaard worden.
1. Kies ‘Bestand
2. Kies ‘Nieuwe database’
3. Kies een locatie waar je de database wil opslaan
4. Geef je database een naam
5. Kies ‘Opslaan’
6. XCA zal je vragen een paswoord in te stellen om de private sleutel(s) te beschermen. Deze stap is optioneel maar ten zeerste aangeraden. Dit paswoord moet je goed bewaren, anders kan je deze database met private sleutels niet meer gebruiken.
7. Klik ‘OK
Je hebt nu een database aangemaakt waarbinnen we een private sleutel en later een CSR kunnen genereren en opslaan
Een private sleuten aanmaken
De private sleutel is een reeks tekens, berekend met behulp van een wiskundig algoritme. De sleutel heeft een bepaalde lengte en hoe langer die is, hoe sterker de sleutel, dus hoe moeilijker te kraken. Vo-DCBaaS raadt aan sleutel met een lengte van 4096bit te gebruiken.
Een private sleutel is het startpunt om een CSR aan te maken.
1. Kies de tab ‘Privé-sleutels’
2. Kies ‘Nieuwe sleutel’
3. Geef je sleutel een (zinvolle) naam
4. Kies als ‘Sleuteltype’: ‘RSA’
5. Kies als ‘Sleutelgrootte’: ‘4096 bit’
6. Klik op ‘Creëren’ XCA maakt nu je sleutel aan en geeft een bericht als dat proces klaar is
7. Kies ‘OK’
Je private sleutel is nu zichtbaar in het overzicht van je sleutels
Een CSR aanmaken
Een CSR bevat informatie over je toepassing, organisatie, contactgegevens, etc., en een publieke sleutel die door VO-PKI zal ondertekend worden. Hiermee bevestigen we die gegevens en heb je een certificaat dat je kan gebruiken in de dienstverlening tussen jouw organisatie en de Vlaamse overheid.
De CSR heb je nodig om in Vo-DCBaaS een certificaat aan te maken
1. Kies de tab ‘Certificaat onderteken verzoeken’
2. Kies ‘Nieuw Verzoek’
3. Kies de tab ‘Bron’
4. Kies als handtekening algoritme: SHA 256, SHA 384 of SHA 512. Andere algoritmes worden niet ondersteund in Vo-DCBaaS
5. Kies de tab ‘Onderwerp’
6. Geef de CSR een (zinvolle) interne naam
7. Vul minstens de verplichte attributen in:
a. countryName: altijd ‘BE’
b. organizationName: je organisatie of organisatiecodering
c. commonName: de CN die je toepassing identificeert
Deze wordt meestal meegedeeld door de dienst waar je aansluit, bijvb door Magda of door je ICT-dienstverlener
8. [optioneel] Als je een e-mail adres opgeeft, kan Vo-DCBaaS dat gebruiken als contactgegeven
voor je certificaat
9. Kies de privé sleutel op basis waarvan de CSR gemaakt moet worden. Dat is de sleutel die we in de eerdere stappen hebben aangemaakt.
10. Als je geen SAN meer moet toevoegen, kan je nu op ‘OK’ klikken om je CSR aan te maken. De volgende stappen zijn optioneel
11. [optioneel] Kies de tab ‘Uitbreidingen’
12. [optioneel] Kies ‘Bewerken’ naast X509v3 Subject Alternative Name
13. [optioneel] Kies ‘Toevoegen’ voor elke SAN die je wil toevoegen aan de CSR
14. [optioneel] Kies het gewenste type en vul de gewenste waardes in
15. [optioneel] Klik ‘Toepassen’ om te bewaren’
Je hoeft geen verdere gegevens in te vullen om een CSR aan te maken. Klik onderaan op ‘OK’ om de aanmaak van de CSR te bevestigen (zie stap 10).
Je krijgt een bevestiging als de CSR succesvol aangemaakt is. Sluit deze boodschap met ‘OK’
In XCA zie je de aangemaakte CSR in je overzicht van ‘Certificaat onderteken verzoeken’
Een certificaat aanmaken
Met de CSR kan je in Vo-DCBaaS een certificaat aanvragen. Hiervoor exporteer je de aangemaakte CSR zodat je hem kan opladen in Vo-DCBaaS
1. Klik je CSR aan die je wil exporteren
2. Klik ‘Exporteren
3. Kies een locatie waar je de CSR wil opslaan. Via de knop "..." kan je gemakkelijk met de verkenner een locatie selecteren. Geef het bestand een zinvolle naam en zorg dat het eindigt op de extensie .csr
4. Selecteer ‘PEM’ als formaat voor export
5. Klik ‘OK’
De CSR is nu opgeslagen op de gekozen locatie. Je kan deze nu opladen in het Certificatenbeheer om een certificaat aan te maken. Hoe je dat precies doet, staat beschreven in de Vo-DCBaaS handleiding: Een certificaat beheren
Een private sleutel en certificaat exporteren
Om een private sleutel en bijhorend certificaat te gebruiken in een toepassing, worden ze vaak geëxporteerd als beveiligde ‘sleutelkast’. Met de XCA tool kan je een PKCS #12 bestand maken (extensie .p12) en exporteren. Dit bestand wordt vervolgens geïmporteerd in je toepassing of bezorgt aan je ITdienst of ICT-Dienstenleverancier.
1. Download en importeer het certificaat dat je in Vo-DCBaaS aangemaakt hebt via de tab ‘Certificaten’
2. Klik op ‘Importeren’
3. Kies het certificaat dat je gedownload hebt.
4. Klik op ‘Openen’
5. Je krijgt een melding dat het certificaat succesvol is ingeladen. Sluit deze boodschap met ‘OK’
6. Klik het certificaat aan.
7. Kies ‘Exporteren’
8. Kies een locatie waar je de sleutelkast wil opslaan. Via de knop "..." kan je gemakkelijk met de verkenner een locatie selecteren. Geef het bestand een naam.
9. Kies PKCS #12 als export formaat
10. Klik op ‘OK’
11. Geef een wachtwoord op waarmee de sleutelkast kan beveiligd worden. Zonder dit
wachtwoord kan je de sleutelkast niet gebruiken
12. Klik op ‘OK’
Je sleutelkast is nu beschikbaar op de gekozen locatie.
- No labels