Stap 2: Maak een PKCS#10 bestand aan
Het systeem waarvoor u een servercertificaat aanvraagt moet u bij het UZI-register bekend maken. U doet dit door een sleutelpaar en een PKCS#10 bestand (Certificate Signing Request) op de server te genereren. PKCS#10 is de gangbare standaard voor een certificaataanvraag en bevat de publieke sleutel die in het UZI-servercertificaat wordt opgenomen.Dit is een vrij technische activiteit die meestal uitgevoerd wordt door de beheerder van het systeem waarvoor het servercertificaat wordt aangevraagd.
LET OP: Per 1 december 2021 zijn de technische eisen waaraan het bestand moet voldoen gewijzigd. Aanvragen die vanaf 1 december 2021 worden ontvangen, zullen alleen nog in behandeling worden genomen met een PKCS#10 bestand met sleutellengte van 4096 bits en ondertekend met SHA-256 with RSA Encryption.
Maak eerst sleutelpaar aan
Een sleutelpaar bestaat uit twee wiskundig verbonden sleutels: een private en een publieke sleutel. De publieke sleutel wordt onderdeel van uw servercertificaat. De private sleutel houdt u altijd geheim. Met het sleutelpaar kan het systeem bewijzen dat het bij u hoort. Aanvragen die vanaf 1 december 2021 worden ontvangen, zullen alleen nog in behandeling worden genomen met een PKCS#10 bestand met sleutellengte van 4096 bits en ondertekend met SHA-256 With RSA Encryption.
Testservercertificaten
Ook testservercertificaten vraagt u aan met een sleutelpaar van 4096 bits en ondertekend met SHA-256 With RSA Encryption.
Veilige omgeving noodzakelijk
Het aanmaken van dit sleutelpaar moet absoluut in een veilige omgeving gebeuren. De meest veilige is een gecertificeerde Secure User Device (SUD); in de praktijk beter bekend onder de naam HSM (Hardware Security Module). Het is toegestaan om de private sleutel softwarematig te beschermen. Voorwaarde is dat u dan aanvullende beveiligingsmaatregelen treft van dusdanige kwaliteit dat het onmogelijk is deze sleutel ongemerkt te stelen of te kopiëren.
Maak daarna het PKCS#10 bestand aan
Nadat het sleutelpaar is gemaakt, kunt u een zogenoemde certificate signing request genereren in de vorm van een PKCS#10 bestand. Onderteken het PKCS#10 bestand met het 'SHA-256 With RSA Encryption' algoritme. U stuurt het bestand aan ons door het te uploaden in het aanvraagformulier (onder 3).
Het PKCS#10 bestand kan naast de publieke sleutel allerlei gegevens bevatten die het systeem identificeren. Het UZI-register neemt alleen de publieke sleutel over in het UZI-servercertificaat.
Ondersteuning voor PKCS#10 bestand
Veel systemen ondersteunen het aanmaken van een PKCS#10 bestand. Het UZI-register verwijst daarom naar de documentatie die de leverancier van de server meelevert. Enkele voorbeelden zijn:
- Microsoft Internet Information Server (www.microsoft.com),
- apache webserver en openSSL (www.openssl.org),
- IBM Websphere server (www.ibm.com) en
- Oracle (www.oracle.com).