Child pages
  • Aanmaken Certificate Signing Request voor persoonlijk certificaat via SSO
Skip to end of metadata
Go to start of metadata

DigiCert heeft één gecombineerde portal om via SURFconext Single Signon zowel normale als eScience Grid persoonlijke certificaten te bestellen: https://www.digicert.com/sso

Op dit moment (q4 2019) is er een probleem met het aanvragen van persoonscertificaten met moderne browsers. Dat komt omdat de klassieke manier om een sleutelpaar te genereren (het KEYGEN element) niet langer wordt ondersteund door moderne browsers. Ook andere manieren zoals bepaalde browser extensies werken niet langer om een zogeheten certificate signing request in je browser te genereren.

Een oplossing hiervoor is om zo'n certificaat signing request zelf te genereren. Dat kan bij voorbeeld op basis van openssl (standaard geïnstalleerd op macOS en linux systemen), of met een tool. Hieronder een aantal opties.


macOS

  1. Voor macOS kan gebruik gemaakt worden van Safari als browser. Ga naar https://digicert.com/sso en log in via SURFconext.
  2. Selecteer "Premium Certificate" en een geldigheidsduur van 3 jaar en klik "Request Certificate". Het certificaat wordt daarna automatisch geïnstalleerd in de macOS Keychain en is direct bruikbaar in Safari en Chrome.
  3. Voor gebruik in Firefox en Thunderbird moet je het certificaat eerst exporteren uit Keychain en daarna importeren (Preferences | Privacy & Security | View Certificates | Import ...).

Linux (en macOS)

  1. Open een terminal en gebruik openssl om een sleutelpaar en een CSR te genereren met: 
genereer CSR
openssl req -new -newkey rsa:2048 -subj '/O=SURF' -keyout key.pem -out csr.pem

Er wordt gevraagd om een "PEM pass phrase". Dat is een wachtwoord om de private sleutel te beschermen voordat die wordt weggeschreven in de file key.pem. Het CSR wordt opgeslagen in de file csr.pem. de CSR kan bekeken worden met het commando "cat csr.pem".

2. Kopieer de inhoud van de file csr.pem naar je clipboard.

3. Ga naar https://digicert.com/sso en log in via SURFconext. Selecteer "Premium Certificate" en een geldigheidsduur van 3 jaar. Plak de inhoud van je clipboard (met daarin jouw CSR) en klik "Request Certificate". Zie onderstaande figuur:

4. Check je mail. Je certificaat wordt als attachment meegestuurd in een mail van digicert.com. Zie hieronder:

Sla deze attachments op in dezelfde directory waar je sleutels hebt gegenereerd in stap 1 en unzip het .zip bestand (het .p7b bestand
heb je niet nodig).

5. Genereer een PKCS#12 bestand met daarin de sleutel, jouw certificaat, en het Digicert CA certificaat. Het certificaat staat in de file met jouw naam en de extensie .crt:

Genereer een PKCS#12 bestand
openssl pkcs12 -export -in joost_van_dijk.crt -inkey key.pem -out pfx.p12 -certfile DigiCertCA.crt

Bij het uitvoeren van dit commando moet je eerst de pass phrase invoeren waarmee je de file key.pem eerder had versleuteld, en vervolgens een Export Password waarmee je de sleutel in het PKCS#12 bestand beveiligd (de pass phrase en het export password mogen hetzelfde zijn, maar hoeft niet).

6. Gooi voor de zekerheid de file key.pem weg (rm key.pem).

7. Importeer de file pfx.p12 daar waar je hem nodig hebt, bij voorbeeld in Firefox (Preferences | Privacy & Security | View Certificates | Import ...), Thunderbird (idem), of macOS KeyChain (open de file pfx.p12 om te importeren).

8. Na de import heb je de pfx.p12 file niet meer nodig. Het is veiliger om die ook te verwijderen (rm pfx.p12).

Windows

To do

  • No labels