Het systeem waarvoor u een servercertificaat aanvraagt, moet u bij het UZI-register bekend maken. U doet dit door als eerste technische stap een PKSC#10 bestand (Certificate Signing Request) te genereren. Voor het generen van een PKSC#10 bestand moet u een sleutelpaar aanmaken.

Sleutelpaar aanmaken
Een sleutelpaar bestaat uit twee wiskundig verbonden sleutels: een private en een publieke sleutel. De publieke sleutel wordt onderdeel van uw servercertificaat, de private sleutel houdt u te allen tijde geheim. Met het sleutelpaar kan het systeem bewijzen dat het bij u hoort. Het aanmaken van het sleutelpaar is een technische activiteit die meestal uitgevoerd wordt door de beheerder van het systeem waarvoor het servercertificaat wordt aangevraagd. Het sleutelpaar moet een 2048 bits RSA sleutel bevatten.

Het is van groot belang om dit sleutelpaar aan te maken in een veilige omgeving. Dat is het veiligst in een gecertificeerde Secure User Device (SUD), in de praktijk beter bekend onder de naam HSM (Hardware Security Module). Het is toegestaan om de private sleutel softwarematig te beschermen. Voorwaarde is dat u dan aanvullende beveiligingsmaatregelen treft van dusdanige kwaliteit dat het onmogelijk is deze sleutel ongemerkt te stelen of te kopiëren.

Let op! Het is heel moeilijk om een gewone werkplek aan deze beveiligingsmaatregelen te laten voldoen.

PKCS#10 bestand genereren
Nadat het sleutelpaar is gemaakt, kunt u een zogenaamd certificate signing request genereren in de vorm van een PKCS#10 bestand. PKCS#10 is het gangbare technische bestandsformaat voor een certificaataanvraag en wordt ook wel ‘certificate signing request (csr)’ genoemd.

Het heeft de voorkeur om het PKCS#10 bestand te ondertekenen met het 'SHA-256 With RSA Encryption' algoritme. Ook is het mogelijk om dit met het SHA-1 With RSA Encryption algoritme te doen, echter is dit minder veilig.

Het PKCS#10 bestand kan naast de publieke sleutel allerlei gegevens bevatten die het systeem identificeren. Het UZI-register neemt enkel de publieke sleutel over in het UZI-servercertificaat.

Ondersteuning voor PKCS#10 bestanden genereren
Veel systemen ondersteunen het genereren van een PKCS#10 bestand. Het UZI-register verwijst daarom naar de documentatie die de leverancier van de server meelevert. Enkele voorbeelden zijn:

Op de pagina Installeren UZI-servercertificaat vindt u specifiekere informatie hoe u een PKCS#10 bestand genereert en installeert.