Certificate Signing Request (CSR) genereren
Om een Servercertificaat voor uw server aan te kunnen vragen, heeft u een CSR (Certificate Signing Request) nodig. Dit moet u genereren op uw systeem. Dit dient tijdens de aanvraag geupload te worden in het webformulier. Wilt u een CSR maken voor een wildcard certificaat kijk dan ook hier.
Algemene technische eisen aan een CSR
De CSR moet voldoen aan de volgende technische eisen:
- een RSA 2048 bits of een RSA 4096 bits key pair;
- het signing algorithm voor de handtekening onder de CSR dient minimaal SHA-256 te zijn;
- In de CSR (Certificate Signing Request) dient naast de publieke sleutel de Distinguished Name (DN) opgenomen te zijn met de alleen volgende onderdelen: Common Name (CN), Organization Name (O), Locality (L), State (ST) en Country (C). Eventuele (optionele) additionele Subject Alternative Name(s) dienen ook opgenomen te zijn in de CSR. De DN attributen dienen exact overeen te komen met de KvK gegevens.
Andere belangrijke aspecten bij het genereren van de CSR:
- gebruik een uniek key pair per certificaat;
- genereer een nieuw key pair bij vernieuwing van het certificaat;
- beveilig de private key adequaat.
CSR genereren voor SBR, Digipoort of CIOT
Voor het genereren van een CSR voor SBR, Digipoort of CIOT kunt u gebruik maken van de KPN Certificaat Aanvraagassistent. Hiermee genereert u eenvoudig een CSR.
CSR genereren voor een andere toepassing
Wilt u uw certificaat voor een andere toepassing aanvragen, dan kunt u de KPN Certificaat Aanvraagassistent niet gebruiken voor het genereren van een CSR. Gebruik in dat geval de instructies behorend bij uw serversysteem of neem contact op met uw server leverancier.
Voor enkele gangbare systemen is in de subpagina’s een gedetailleerde instructies (in het Engels) opgenomen voor het produceren van een CSR.
Extra domein(en) opnemen in een PKI servercertificaat (SAN / Subject Alternative Name)
U kunt tegen meerprijs extra domeinnamen laten opnemen in het Servercertificaat door deze namen toe te voegen in het CSR bestand. Met deze (optionele) extra namen maakt u een Servercertificaat geschikt voor beveiliging van meerdere domeinnamen en/of meerdere hostnamen binnen een domein. Hieronder is dit nader toegelicht:
-
- Naast de primaire naam van de service (FQDN) kunt u maximaal 10 aanvullende namen in de vorm van Subject Alternative Names (SAN’s) per Servercertificaat toevoegen;
- Extra namen zijn zichtbaar in de technische details van de CSR op het aanvraagformulier;
- Extra namen ziet u ook in het controle scherm en op het PDF formulier van de aanvraag. Indien in de CSR een SAN is opgenomen die gelijk is aan de opgegeven naam van de service (FQDN), dan is deze SAN wel zichtbaar in het controlescherm. Daarbij is expliciet aangegeven dat deze SAN niet als ˋadditioneelˊ geldt en daarom niet tot extra kosten leidt;
- Het opnemen van SAN’s in de CSR is NIET mogelijk met de KPN Certificaataanvraag Assistant maar met bijvoorbeeld OpenSSL. Voor het toevoegen van SAN’s in een CSR wordt verder verwezen naar de documentatie van uw software leverancier;
- Zie voor de meerprijs per extra domeinnaam (SAN) de tarieven.