Van private sleutel naar certificaat via XCA
- Mark L.
- Michael H.
Certificaten aanmakenÂ
Tool voor aanmaak private key en certificaat - XCA: https://hohnstaedt.de/xca/
Certificatenbeheer applicatie DCBaaS: https://dcb.vlaanderen.be
Handleiding DCBaaS: https://overheid.vlaanderen.be/publicaties-toegangs-en-gebruikersbeheer -> âIk heb vragen over Vo-DCB of VoDCBaaSâÂ
Â
Wat heb je nodigÂ
Om een certificaat aan te vragen, maak je een Certificate Signing Request, of CSR, die je kan opladen in DCBaaS. Een CSR bevat je publieke sleutel en informatie over je organisatie, toepassing, contactgegevens,âŠ
Om een CSR aan te maken, beschik je over:
Een private sleutel: deze maken we aan in het stappenplan
Minstens volgende informatie:
o De Common Name of CN â doorgaans de domeinnaam of de naam van de toepassing of server waarvoor je een bepaald certificaat gebruikt
o Je organisatienaam of organisatiecode
o De landcode - deze is altijd âBEâOptioneel:
o Een e-mail adres dat DCBaaS kan gebruiken als contactgegeven
o Subject Alternative Name of SAN
De gegevens die je invult, krijg je vaak vanuit de dienst die je aansluiting regelt. Raadpleeg deze informatie bij het aanmaken van een CSR, want ze zijn cruciaal voor de goede werking van het certificaat.
Relevante pagina's |
|---|
Lijst van veelgebruikte afkortingen |
Vragen of suggesties, contacteer ons via:Â vodcb@vlaanderen.be.
StappenplanÂ
Installatie van de tool 'XCA'
Om een sleutelpaar, bestaande uit private en publieke sleutel, te genereren, maken we gebruik van XCA. Deze grafische tool maakt het aanmaken, beveiligen en beheren van een sleutelpaar eenvoudig.
Installeer deze tool op de computer waar later het certificaat zal gebruikt worden. Het is namelijk een goede praktijk dat de private sleutel nooit de machine verlaat waarop die aangemaakt werd.
Stap 1:
Ga naar https://hohnstaedt.de/xca/ en kies âDownloadâ
Stap 2:
Kies de meest recente versie voor jouw platform (linux, windows, mac).
TIP
Tip: Vaak kan of mag je geen software installeren op de Windows computer waar je de sleutels aanmaakt, Kies in dat geval voor de XCA-portable versie die je kan downloaden en uitpakken zonder installeren.
Stap 3:
Download en installeer XCA
Stap 4:
Open de toepassing
Stap 5:
Optioneel: kies de gewenste taal. Deze handleiding bevat screenshots van de Nederlandstalige versie
1.Kies âBestandâ
2.Kies âTaalâ
3.Kies âNederlands (Dutch)
Â
Een database aanmakenÂ
Voor we een sleutelpaar en een certificaat kunnen maken, moeten we een database aanmaken waar private sleutels, CSRâs, certificaten, etc. kunnen bewaard worden.
Stap 1:
Kies âBestand
Stap 2:
Kies âNieuwe databaseâ
Stap 3:
Kies een locatie waar je de database wil opslaan
Stap 4:
Geef je database een naam
Stap 5:
Kies âOpslaanâ
Stap 6:
XCA zal je vragen een paswoord in te stellen om de private sleutel(s) te beschermen. Deze stap is optioneel maar ten zeerste aangeraden. Dit paswoord moet je goed bewaren, anders kan je deze database met private sleutels niet meer gebruiken.
Stap 7:
Klik âOK
Je hebt nu een database aangemaakt waarbinnen we een private sleutel en later een CSR kunnen genereren en opslaan
Een private sleutel aanmakenÂ
De private sleutel is een reeks tekens, berekend met behulp van een wiskundig algoritme. De sleutel heeft een bepaalde lengte en hoe langer die is, hoe sterker de sleutel, dus hoe moeilijker te kraken. DCBaaS raadt aan sleutel met een lengte van 4096bit te gebruiken.
Een private sleutel is het startpunt om een CSR aan te maken.Â
Â
Stap 1:
Kies de tab âPrivĂ©-sleutelsâ
Stap 2:
Kies âNieuwe sleutelâ
Stap 3:
Geef je sleutel een (zinvolle) naam
Stap 4:
Kies als âSleuteltypeâ: âRSAâ
Stap 5:
Kies als âSleutelgrootteâ: â4096 bitâ
Stap 6:
Klik op âCreĂ«renâ XCA maakt nu je sleutel aan en geeft een bericht als dat proces klaar is
Stap 7:
Kies âOKâÂ
Je private sleutel is nu zichtbaar in het overzicht van je sleutels
Een CSR aanmakenÂ
Een CSR bevat informatie over je toepassing, organisatie, contactgegevens, etc., en een publieke sleutel die door VO-PKI zal ondertekend worden. Hiermee bevestigen we die gegevens en heb je een certificaat dat je kan gebruiken in de dienstverlening tussen jouw organisatie en de Vlaamse overheid.Â
De CSR heb je nodig om in DCBaaS een certificaat aan te maken
Â
Stap 1:
Kies de tab âCertificaat onderteken verzoekenâ
Stap 2:
Kies âNieuw Verzoekâ
Stap 3:
Kies de tab âBronâ
Stap 4:
Kies als handtekening algoritme: SHA 256, SHA 384 of SHA 512. Andere algoritmes worden niet ondersteund in DCBaaS
Stap 5:
Kies de tab âOnderwerpâ
Stap 6:
Geef de CSR een (zinvolle) interne naam
Stap 7:
Vul minstens de verplichte attributen in:
1. countryName: altijd âBEâ
2. organizationName: je organisatie of organisatiecodering
3. commonName: de CN die je toepassing identificeert
Deze wordt meestal meegedeeld door de dienst waar je aansluit, bijvb door Magda of door je ICT-dienstverlener
Â
Stap 8:
[optioneel] Als je een e-mail adres opgeeft, kan DCBaaS dat gebruiken als contactgegevenÂ
voor je certificaat
Stap 9:
Kies de privé sleutel op basis waarvan de CSR gemaakt moet worden. Dat is de sleutel die we in de eerdere stappen hebben aangemaakt.
Stap 10:
Als je geen SAN meer moet toevoegen, kan je nu op âOKâ klikken om je CSR aan te maken. De volgende stappen zijn optioneel
Stap 11:
[optioneel] Kies de tab âUitbreidingenâ
Stap 12:
[optioneel] Kies âBewerkenâ naast X509v3 Subject Alternative Name
Stap 13
[optione:el] Kies âToevoegenâ voor elke SAN die je wil toevoegen aan de CSR
Stap 14:
[optioneel] Kies het gewenste type en vul de gewenste waardes in
Stap 15:
[optioneel] Klik âToepassenâ om te bewarenâÂ
Je hoeft geen verdere gegevens in te vullen om een CSR aan te maken. Klik onderaan op âOKâ om de aanmaak van de CSR te bevestigen (zie stap 10).
Je krijgt een bevestiging als de CSR succesvol aangemaakt is. Sluit deze boodschap met âOKâ
In XCA zie je de aangemaakte CSR in je overzicht van âCertificaat onderteken verzoekenâ
Â
Benodigdheden van een CSR bestand
Een geldig CSR bestand begint ALTIJD met de volgende regel:
-----BEGIN CERTIFICATE REQUEST-----
En eindigt ALTIJD met de volgende regel:
-----END CERTIFICATE REQUEST-----
Een certificaat aanmakenÂ
Met de CSR kan je in DCBaaS een certificaat aanvragen. Hiervoor exporteer je de aangemaakte CSR zodat je hem kan opladen in DCBaaS
Â
Stap 1:
Klik je CSR aan die je wil exporteren
Stap 2:
Klik âExporteren
Stap 3:
Kies een locatie waar je de CSR wil opslaan. Via de knop "..." kan je gemakkelijk met de verkenner een locatie selecteren. Geef het bestand een zinvolle naam en zorg dat het eindigt op de extensie .csr
Stap 4:
Selecteer âPEMâ als formaat voor export
Stap 5:
Klik âOKâ
De CSR is nu opgeslagen op de gekozen locatie. Je kan deze nu opladen in het Certificatenbeheer om een certificaat aan te maken. Hoe je dat precies doet, staat beschreven in de DCBaaS handleiding: Een certificaat beheren
Een private sleutel en certificaat exporteren
Om een private sleutel en bijhorend certificaat te gebruiken in een toepassing, worden ze vaak geĂ«xporteerd als beveiligde âsleutelkastâ. Met de XCA tool kan je een PKCS #12 bestand maken (extensie .p12) en exporteren. Dit bestand wordt vervolgens geĂŻmporteerd in je toepassing of bezorgt aan je ITdienst of ICT-Dienstenleverancier.
Stap 1:
Download en importeer het certificaat dat je in DCBaaS aangemaakt hebt via de tab âCertificatenâ
Stap 2:
Klik op âImporterenâ
Stap 3:
Kies het certificaat dat je gedownload hebt.
Â
Stap 4:
Klik op âOpenenâ
Stap 5.
Je krijgt een melding dat het certificaat succesvol is ingeladen. Sluit deze boodschap met âOKâ
Stap 6.
Klik het certificaat aan.
Stap 7.
Kies âExporterenâ
Stap 8:
Kies een locatie waar je de sleutelkast wil opslaan. Via de knop "..." kan je gemakkelijk met de verkenner een locatie selecteren. Geef het bestand een naam.
Stap 9:
Kies PKCS #12 als export formaat
Stap 10:
Klik op âOKâ
Stap 11:
Geef een wachtwoord op waarmee de sleutelkast kan beveiligd worden. Zonder ditÂ
wachtwoord kan je de sleutelkast niet gebruikenÂ
Stap 12:
Klik op âOKâ
Je sleutelkast is nu beschikbaar op de gekozen locatie.
Related content
