Opmerking van de redactie: Dit artikel is oorspronkelijk gepubliceerd in september 2017. Het is onlangs herzien en bijgewerkt in overeenstemming met de nieuwste normen/conventies voor SSL/TLS.
Voor wie SSL/TLS nog nieuw is én voor de ervaren rotten die hun kennis willen opfrissen, beginnen we met een reeks over de basisprincipes van SSL. Eerst gaan we het over Certificate Signing Requests (CSR's) hebben. Deze kleine bestanden spelen een cruciale rol bij het aanvragen van een SSL/TLS-certificaat, maar wat zijn ze precies en hoe kan je er eentje eenvoudig genereren?
Definitie van Certificate Signing Request
Een Certificate Signing Request (CSR) is een van de eerste stappen om je eigen SSL-certificaat te verkrijgen. De CSR wordt gegenereerd op de server waarop je het certificaat wil installeren. Een CSR bevat informatie (bv. common name, organisatie, land) die de certificeringsinstantie (CA) dan gaat gebruiken om jouw certificaat te creëren. De CSR bevat ook de public key die deel uitmaakt van jouw certificaat en wordt ondertekend met de overeenkomstige private key. Meer uitleg over de rollen van deze keys gaan we hieronder bespreken.
Wat zit er precies in een CSR?
Een CA gebruikt de gegevens van de CSR om het SSL-certificaat te genereren. Deze gegevens zullen, afhankelijk van het validatieniveau, later verschijnen in het certificaat. De belangrijkste gegevens zijn:
1. Informatie over het bedrijf en de website die je wil voorzien van SSL, waaronder:
| Common Name (CN)
(e.g. *.voorbeeld.nl www.voorbeeld.nl mail.voorbeeld.nl)
|
De fully qualified domain name (FQDN) van de server.
|
| Bedrijfsnaam (Organization - O)
|
De juridische naam van het bedrijf. Gebruik geen afkortingen en suffixen, zoals Inc., Corp. of LLC. Voor EV en OV SSL-certificaten wordt deze informatie geverifieerd door de CA en opgenomen in het certificaat. |
| Afdeling (Organizational Unit - OU)
|
De afdeling van het bedrijf dat verantwoordelijk is voor het certificaat.
|
| Stad (City/Locality - L)
|
De plaats waar het bedrijf gevestigd is. Deze mag niet worden afgekort. |
| Regio (State/County/Region - S)
|
De provincie/regio waar het bedrijf gevestigd is. Deze mag niet worden afgekort. |
| Land (Country - C) |
De code met twee letters voor het land waar het bedrijf gevestigd is. |
| E-mailadres |
Een e-mailadres dat gebruikt mag worden om contact op te nemen met het bedrijf. |
2. De public key die deel uitmaakt van het certificaat. SSL maakt gebruik van een public key of asymmetrische cryptografie om de gegevens die worden verzonden tijdens een SSL-sessie te versleutelen. De public key wordt gebruikt om gegevens te versleutelen en de private key die hierop past wordt gebruikt om de gegevens te ontsleutelen.
3. Informatie over het type en de lengte van de key. De meest voorkomende keygrootte is RSA 2048, maar sommige CA's, waaronder GlobalSign, ondersteunen ook grotere keys (bv. RSA 4096+) of een andere type zoals de ECC-keys.
Hoe ziet een CSR er uit?
De CSR zelf wordt doorgaans gecreëerd in een op Base-64 gebaseerde PEM-indeling. Je kan het CSR-bestand openen met een eenvoudige teksteditor. Dit ziet er dan uit als volgt. Je moet wel zelf nog even de header en footer invoegen (-----BEGIN NEW CERTIFICATE REQUEST-----) wanneer je de CSR bij een bestelling gebruikt.
-----BEGIN NEW CERTIFICATE REQUEST-----MIIDVDCCAr0CAQAweTEeMBwGA1UEAxMVd3d3Lmpvc2VwaGNoYXBtYW4uY29tMQ8w DQYDVQQLEwZEZXNpZ24xFjAUBgNVBAoTDUpvc2VwaENoYXBtYW4xEjAQBgNVBAcT CU1haWRzdG9uZTENMAsGA1UECBMES2VudDELMAkGA1UEBhMCR0IwgZ8wDQYJKoZI hvcNAQEBBQADgY0AMIGJAoGBAOEFDpnOKRabQhDa5asDxYPnG0c/neW18e8apjOk 1yuGRk+3GD7YQvuhBVS1x6wkw1D2RnmnZgN1nNUK0cRK7sIvOyCh1+jgD7u46mLk 81j+b4YSEmYZGPLIuclyocPDm0hXayjCUqWt7z6LMIKpLym8gayEZzz9Gn97PsbP kVFBAgMBAAGgggGZMBoGCisGAQQBgjcNAgMxDBYKNS4xLjI2MDAuMjB7BgorBgEE AYI3AgEOMW0wazAOBgNVHQ8BAf8EBAMCBPAwRAYJKoZIhvcNAQkPBDcwNTAOBggq hkiG9w0DAgICAIAwDgYIKoZIhvcNAwQCAgCAMAcGBSsOAwIHMAoGCCqGSIb3DQMH MBMGA1UdJQQMMAoGCCsGAQUFBwMBMIH9BgorBgEEAYI3DQICMYHuMIHrAgEBHloA TQBpAGMAcgBvAHMAbwBmAHQAIABSAFMAQQAgAFMAQwBoAGEAbgBuAGUAbAAgAEMA cgB5AHAAdABvAGcAcgBhAHAAaABpAGMAIABQAHIAbwB2AGkAZABlAHIDgYkAk0kf HSkr4jsEVya3mgUoyaYMO456ECNZr4Cb+WhPgexfjOO5qwOG1oDOTaKycrkc5pG+ IPBQnq+4cotT8hWJQwpc+qGb8xUETpxCokhrhN5079vFXq/5dsHkmtOTwkSqSnz9 yruVoxYeDQ8jI3KG3HTgxwFto8oZnm+E+Y4oshUAAAAAAAAAADANBgkqhkiG9w0B AQUFAAOBgQAuAxetLzgfjBdWpjpixeVYZXuPZ+6jvZNL/9hOw7Fk5pVVXWdr8csJ 6JUW8QdH9KB6ZlM4yg8Df+vat1/DG6GuD2hiIR7fQ0NtPFBQmbrSm+TTBo95lwP+ ZSZTusPFTLKaqValdnS9Uw+6Vq7/I4ouDA8QBIuaTFtPOp+8wEGBHQ==
-----END NEW CERTIFICATE REQUEST-----
Hoe genereer ik een Certificate Signing Request?
Hoe je een eigen CSR genereert, is eigenlijk steeds afhankelijk van het platform dat je gebruikt. We hebben een aantal supportartikelen met stap-voor-stap instructies over hoe je dit precies doet in de meest populaire platformen, waaronder cPanel, Exchange, IIS, Java Keytool en OpenSSL. Ben je op zoek naar instructies voor het genereren van een eigen CSR? Hier kan je instructies vinden voor het genereren van een CSR.
Hier zijn een paar video's voor de belangrijkste supportvragen die we krijgen over het genereren van een Certificate Signing Request of CSR:
Hoe maak je een CSR aan in Microsoft Management Console of MMC (in het Engels)
Hoe creëer je een CSR in Java Key Store (in het Engels)
Hoe creëer je een CSR in Apache OpenSSL
Hoe creëer ik een CSR in IIS 10 (in het Engels)
Heb je nog verdere vragen over CSR's of over SSL/TLS in het algemeen? Ideeën voor andere onderwerpen die we kunnen behandelen? Neem contact met ons op.
