Child pages
  • Request SSL Certificates

Versions Compared

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.
  • De ervaring uit de afgelopen jaren leert dat servercertificaten het meest worden aangevraagd. Een TLS connectie heeft meer nodig dan een certificaat. Het NCSC heeft een keurige richtlijn voor de keuzes rond de cryptografische inrichting  https://www.ncsc.nl/actueel/whitepapers/ict-beveiligingsrichtlijnen-voor-transport-layer-security-tls.htmlinrichting. Hier de PDF  en  hier het nieuwsbericht.
     
  • Weet u niet welk type server certificaat u nodig heeft? Kies dan voor Multi-Domain SSL. Tot eind 2015 hadden die certificaten de minder duidelijke naam Unified Communications maar behalve de naam is er begin 2016 niets aan veranderd.

  • DigiCert levert vijf type servercertificaten. De eerste (EV Multi-Domain), derde (Multi-Domain SSL, voorheen Unified Communication) en vijfde (Wildcard Plus) variant zijn in orde. Als u ooit in de verleiding komt SSL Plus aan te vragen kies dan in plaats daarvan toch maar liever Multi-Domain SSL en in plaats van EV SSL PLus liever EV Multi Domain.



  • Mijd de tweede (EVSSL Plus) en vierde (SSL Plus) varianten. De 'SSL Plus' varianten ondersteunen geen Subject Alternative Names.

  • Multi-Domain SSL meldt dat er 25 SubjectAlternativeNames mogelijk zijn. Het zijn er veel meer: honderdvijftig is met succes getest. Een Multi-Domain SSL certificaat kan bij DigiCet helaas geen wildcards bevatten.

  • De WildCard Plus variant heeft helaas ook geen vrij te kiezen SubjectAlternative Names. Ze zijn beperkt tot 1 Common Name (*.an.example.nl) maar het bijbehorende niet-wild domain (an.example.nl) wordt wel opgenomen in het certificaat.

  • Er bestaat een methode om toch meerdere wildcards in een certificaat te combineren. Genereer eerst de losse wildcard certificaten; niet alleen de requests, maar ook het certificaat. Gebruik voor die verschillende certificaten in principe dezelfde public en private keys. Als het geheel gereed is vraag je aan support@digicert.com om de certificaten met de bedoelde ordernummers te mergen naar een nieuw certificaat. Support zet dat ding als een request in je queue, dus je moet het daar nog als admin een approve geven. Ook Multi-Domain SSL certificaten zouden hiermee gecombineerd moeten kunnen worden.

    Voorbeeld:
    Certificaat 1: CN=*.eefje.surfnet.nl  SAN=eefje.surfnet.nl
    Certificaat 2: CN=*.joost.surfnet.nl  SAN=joost.surfnet.nl
    samengevoegd: CN=*.eefje.surfnet.nl  SAN=*.eefje.surfnet.nl , SAN=eefje.surfnet.nl , SAN=*.joost.surfnet.nl , SAN=joost.surfnet.nl

  • Maak met mate gebruik van Extended Validation certificates. Wel voor uw belangrijke publiekswebsites, niet voor server-server verbindingen die een mens nooit ziet en evenmin voor testen. Kies een eigen beleid dat recht doet aan de gebruiksvoorwaarden.

...