Certificate Signing Request (CSR) genereren

Om een Servercertificaat voor uw server aan te kunnen vragen, heeft u een CSR (Certificate Signing Request) nodig. Dit moet u genereren op uw systeem. Dit dient tijdens de aanvraag geupload te worden in het webformulier.

Algemene technische eisen aan een CSR

De CSR moet voldoen aan de volgende technische eisen:

  • een RSA 2048 bits key pair;
  • het signing algorithm voor de handtekening onder de CSR dient SHA- 1 of SHA-256 te zijn;
  • Vul de CommonName (CN) in tijdens de CSR generatie. Hoewel dit technisch niet strikt noodzakelijk is, is het wel sterk aan te bevelen als referentie. Dan is altijd vast te stellen voor welk systeem een CSR is aangemaakt.

Andere belangrijke aspecten bij de CSR generatie:

  • gebruik een uniek key pair per certificaat;
  • genereer een nieuw key pair bij vernieuwing van het certificaat;
  • beveilig de private key adequaat.

 

CSR genereren voor SBR, Digipoort of CIOT

Voor het genereren van een CSR voor SBR, Digipoort of CIOT kunt u gebruik maken van de KPN Certificaat Aanvraagassistent. Hiermee genereert u eenvoudig een CSR.

 

CSR genereren voor een andere toepassing

Wilt u uw certificaat voor een andere toepassing aanvragen, dan kunt u de KPN Certificaat Aanvraagassistent niet gebruiken voor het genereren van een CSR. Gebruik in dat geval de instructies behorend bij uw serversysteem of neem contact op met uw server leverancier.

Voor enkele gangbare systemen is in de subpagina’s een gedetailleerde instructies (in het Engels) opgenomen voor het produceren van een CSR.

 

Extra domein(en) opnemen in een PKIoverheid Servercertificaat (SAN / Subject Alternative Name)

U kunt tegen meerprijs additionele domeinnamen laten opnemen in het Servercertificaat door deze namen toe te voegen in het CSR bestand. Met deze (optionele) additionele domeinnamen kunt u een Servercertificaat geschikt maken voor beveiliging van meerdere domeinnamen en meerdere hostnamen binnen een domein. Hieronder is dit nader toegelicht:

  • Naast de primaire naam van de service (FQDN) kunt u maximaal 10 aanvullende domeinnamen in de vorm van zogenaamde Subject Alternative Names (SAN’s) in één Servercertificaat toevoegen.
  • Eventuele additionele namen zijn zichtbaar als u de technische details van de CSR bekijkt in het aanvraagformulier.
  • Eventuele additionele namen ziet u ook in het controle scherm en op het PDF formulier van de aanvraag. Op de PDF staan de additionele SAN’s die tegen meerprijs in het servercertificaat worden opgenomen. Indien in de CSR een SAN is opgenomen die gelijk is aan de ingevulde Naam van de service, dan is deze SAN wel zichtbaar in het controlescherm. Daarbij is expliciet aangegeven dat deze SAN niet als ‘additioneel’ geldt en dus niet tot extra kosten leidt.
  • Het opnemen van SAN’s in de CSR is NIET mogelijk met de KPN Certificaataanvraag Assistant maar met bijvoorbeeld OpenSSL. Voor het toevoegen van SAN’s in een CSR wordt verder verwezen naar de documentatie van uw software leverancier.
  • Bij een EV SSL servercertificaat dienen de SAN’s en de primaire naam van de service uit hetzelfde domein te komen.
  • Zie voor de meerprijs per extra domeinnaam (SAN) de tarieven.