06 apr. 2018

Wat is een PKCS#12-bestand?

En hoe installeer ik een PKCS#12 op mijn webserver?

We merken dat er veel vragen komen over wat een PKCS#12-bestand is. Daarom hebben we besloten hier wat meer uitleg over te geven in deze blog. Een PKCS#12- of .pfx-bestand is, kort samengevat, een bestand dat een private key en X.509-certificaat bevat, en dat door de klant kan worden geïnstalleerd op servers zoals IIS, Tomkat of Exchange. Het genereren van CSR's (Certificate Signing Request) blijft een van de grootste problemen van klanten die hun server willen beveiligen. Dankzij PKCS#12 hoeven klanten niet langer hun eigen CSR aan te maken. In plaats daarvan maakt een certificaatautoriteit de CSR aan voor de klant tijdens het aanvraagproces.

Hoe werkt een PKCS#12?

Het proces om een digitaal certificaat aan te vragen en te installeren is niet helemaal hetzelfde voor een PKCS#12- of .pfx-bestand. PKCS#12-bestanden kunnen immers enkel worden gegenereerd voor Domain Validated SSL-certificaten (DV) en Organization Validated SSL-certificaten (OV). Voor Extended Validation SSL-certificaten (EV) moeten handmatig Certificate Signing Requests worden aangemaakt omdat het validatieproces geen automatische CSR's ondersteunt. Bij de levering van digitale certificaten en private keys voor Document Signing-certificaten of Code Signing-certificaten (behalve Java) wordt standaard een .pfx-bestand geleverd.

Hieronder kan je alles terugvinden wat je moet weten over het volledige proces, van de aanvraag tot de installatie.

Aanvraag

Tijdens het aanvraagproces is niet nodig om een eigen CSR te genereren, maar zal je een wachtwoord voor jouw PKCS#12-bestand moeten opgeven. Dit wachtwoord wordt samengevoegd met een wachtwoord gegenereerd door het GlobalSign-systeem tot een lang en sterk wachtwoord. Dit heb je nodig voor het ontsleutelen en installeren van de PKCS#12. Om veiligheidsredenen verwijderen we de PKCS#12 na 30 dagen van ons systeem. Je moet ook de DN (Distinguished Name) opgeven zodat het certificaat kan worden uitgegeven. Voor de twee verkrijgbare soorten certificaten zijn de DN-vereisten als volgt:

Domain Validated SSL: de common name van het certificaat (het domein waarin het certificaat wordt gebruikt) en het land.

Organization Validated SSL: de common name van het certificaat (de domeinnaam waarin het certificaat wordt gebruikt), de bedrijfsnaam, de afdeling, de provincie en het land.

Validatie

De validatie verloopt identiek aan standaardaanvragen en is afhankelijk van het certificaattype.

Domain Validated SSL: GlobalSign stuurt een bevestigingsbericht naar de eigenaar van de domeinnaam vermeld in de aanvraag. De eigenaar/controller van het domein moet de aanvraag goedkeuren. We ondersteunen ook DNS-validatie en domeinvalidatie met metatags.

Organization Validated SSL: GlobalSign valideert het eigenaarschap van het bedrijf via externe databases en valideert ook of de aanvrager het recht heeft om het domein vermeld in de aanvraag te gebruiken.

Uitgifte van certificaten

Het uitgegeven certificaat wordt geleverd in de vorm van een PKCS#12-bestand dat een private key en certificaat bevat. Partners kunnen het PKCS#12-bestand terugvinden in het GlobalSign Certificate Center (GCC) of via onze API. Directe eindklanten kunnen dan hun PKCS#12-bestand installeren volgens de instructies van het GlobalSign Support Center.

Hoe een PKCS#12- of .pfx-bestand installeren

De instructies zijn afhankelijk van het systeem en browser. We hebben onze installatiehandleidingen in de onderstaande lijst gebundeld voor jullie.

Installatiehandleidingen van GlobalSign

Op onze supportwebsite kan je een aantal installatiehandleidingen die je helpen bij het downloaden en installeren van een PKCS#12-bestand. Als je problemen hebt, kan je steeds contact opnemen met ons supportteam.

Is een PKCS#12-bestand veilig?

We krijgen vaak vragen over het beveiligingsniveau wanneer we een CSR genereren voor onze klanten. Omdat we de private key zelf genereren, moeten we extra voorzichtig zijn om ervoor te zorgen dat deze veilig blijft. Daarvoor volgt GlobalSign strikte procedures en richtlijnen. Het key-paar wordt gegenereerd met behulp van willekeurige cijfers afhankelijk van een aantal factoren. We gebruiken FIPS 140 Level 3 cryptografische hardware voor het genereren van het key-paar en certificaataanvraag. Om het .pfx-bestand veilig te verzenden, gebruikt GlobalSign een heel sterk wachtwoord van maximaal 50 tekens waaraan ons systeem nog acht willekeurige tekens toevoegt.

Bovendien bewaart GlobalSign nooit de private keys van onze klanten op onze eigen servers. Zodra de private key is verzonden, heeft u als enige de volledige toegang.

Overzicht

Een PKCS#12- of .pfx-bestand is een eenvoudigere manier om een digitaal certificaat aan te maken. Zo kan je sneller en eenvoudiger een eigen CSR genereren als je niet zeker bent hoe dit moet. Hoewel het genereren van een .pfx-bestand niet mogelijk is voor alle digitale certificaten, is deze methode geschikt voor een uitgebreid aantal toepassingen. Als je nu al over PKCS#12-bestanden beschikt en ze graag wil inzetten in op Android-toestellen? Neem dan even onze gids door over hoe je PKCs#12-bestanden kan installeren op Android.

Als je een digitaal certificaat wilt kopen bij GlobalSign door een PKCS#12-bestand te genereren, neem vandaag contact met ons op of koop uw certificaat via onze website.

Share this Post

Schrijf je in voor onze blog

Bekijk de Privacy Policy van GlobalSign