Introduktion til certifikatudstedelse
At udstede et certifikat er en central proces inden for digital sikkerhed og identitetsstyring. Certifikater, ofte kaldet digitale certifikater eller SSL/TLS-certifikater, fungerer som elektroniske identitetskort, der bekræfter en enheds, persons eller servers identitet i netværkskommunikation. Uden certifikater ville krypteret kommunikation, sikre login-systemer og digital signatur være umulig. Processen med at udstede et certifikat varierer afhængigt af platformen og formålet, men der findes fælles trin, som går igen i alle systemer. Denne artikel gennemgår, hvordan man udsteder certifikater i forskellige miljøer, herunder cloud-baserede tjenester som AWS og Google Cloud, lokale Windows-servere samt uddannelsesplatforme. Formålet er at give et klart overblik over de vigtigste metoder og værktøjer.
Grundlæggende proces for udstedelse af certifikater
Udstedelse af et certifikat følger en generel arbejdsgang, der er uafhængig af den specifikke teknologi. Først skal der genereres et nøglepar bestående af en privat nøgle og en offentlig nøgle. Den private nøgle opbevares sikkert hos ejeren, mens den offentlige nøgle indgår i en certifikatanmodning, også kaldet en CSR (Certificate Signing Request). CSR'en indeholder oplysninger om ansøgerens identitet, såsom navn, organisation og e-mailadresse. Denne anmodning sendes til en certifikatmyndighed (CA), som kontrollerer oplysningerne og underskriver certifikatet med sin egen nøgle. Når CA’en har godkendt anmodningen, udstedes certifikatet i et standardformat, ofte PEM eller PFX. Herefter kan certifikatet installeres på den relevante server eller enhed. I mange virksomheder anvendes en intern CA, som giver større kontrol over udstedelsen.

Processen kan opdeles i følgende trin:
- Generering af et nøglepar (privat og offentlig nøgle).
- Oprettelse af en CSR med identitetsoplysninger.
- Indsendelse af CSR til en certifikatmyndighed.
- Godkendelse af anmodningen (manuel eller automatisk).
- Underskrivelse af certifikatet af CA'en.
- Download eller eksport af det færdige certifikat.
Hvert trin kan variere i detaljer afhængigt af den platform, der anvendes. Nogle systemer håndterer hele processen automatisk, mens andre kræver manuel godkendelse.

Forskellige platforme og metoder
Der findes mange løsninger til at udstede certifikater, lige fra cloud-tjenester til lokale servere og online undervisningssystemer. For at give et hurtigt overblik er nedenstående tabel sammenfattet med de mest almindelige platforme, deres typiske brug og centrale egenskaber.
| Platform | Anvendelsesområde | Nøglefunktioner |
|---|---|---|
| AWS Private CA | Private certifikater til EC2, IoT, VPN m.m. | CLI og konsol, integreret med ACM, fuld validering. |
| Microsoft Windows CA Server | Virksomheds-PKI i Windows-domæner | MMC snap-in, ventende anmodninger, manuel eller auto-godkendelse. |
| Google Cloud CA Service | Cloudbaseret certifikatudstedelse | Skabelonstyring, regionsvalg, CA-pool. |
| Uddannelsesplatforme (fx Classera, Certifier) | Kursusbeviser og kompetencecertifikater | CSV-upload, dynamiske felter, bulkudstedelse. |
Valget af platform afhænger af organisationens behov for sikkerhed, skalerbarhed og integration med eksisterende systemer.

Udstedelse via AWS Private CA
AWS Private Certificate Authority (PCA) er en tjeneste, der gør det muligt at oprette og administrere private certifikatmyndigheder i Amazon Web Services. For at udstede et certifikat via AWS PCA kan man enten bruge AWS Management Console eller kommandolinjeværktøjet AWS CLI. I console navigerer man til ACM PCA, vælger den ønskede CA (identificeret ved et ARN), og indsender en CSR sammen med en gyldighedsperiode. Via CLI anvendes kommandoen aws acm-pca issue-certificate, som kræver parametre som CA’ens ARN, CSR-filen samt start- og slutdato for certifikatets gyldighed. Når certifikatet er underskrevet, kan det hentes som en PEM-fil eller importeres direkte i AWS Certificate Manager (ACM) for automatisk fornyelse. Denne metode er særlig anvendelig til interne applikationer, IoT-enheder og VPN-løsninger, hvor offentlige certifikater ikke er nødvendige. AWS dokumentation giver detaljerede eksempler på både konsol- og CLI-brug.
For at komme i gang med AWS Private CA kan du læse mere i AWS dokumentation for udstedelse af private certifikater.

Udstedelse via Microsoft Windows CA Server
Microsoft Windows Server indeholder en indbygget rolle som Certification Authority, der kan konfigureres som en virksomheds-PKI. Udstedelse af certifikater på en Windows CA-server foregår typisk via MMC-snap-in’en Certification Authority. Når en klient eller server sender en CSR, lander anmodningen i mappen Pending Requests. En administrator kan manuelt godkende anmodningen ved at højreklikke på den og vælge All Tasks -> Issue. Certifikatet udstedes derefter, og ansøgeren kan hente det via webregistrering eller Active Directory. Processen kan også automatiseres ved at konfigurere CA’en til automatisk at udstede bestemte certifikater. Dette kræver dog omhyggelig planlægning af sikkerhedspolitikker. Windows CA-server er særligt udbredt i organisationer, der allerede anvender Active Directory, da det giver nem integration med domænebrugere og computere.
For en trin-for-trin vejledning i manuel udstedelse kan du se Microsoft Learn artiklen om manuel oprettelse af klientcertifikater på en CA-server.

Udstedelse via Google Cloud Certificate Authority Service
Google Clouds Certificate Authority Service tilbyder en fuldt administreret løsning til udstedelse af certifikater. For at udstede et certifikat skal man først oprette en CA-pool og vælge en region. Derefter går man til Template Manager og vælger en skabelon, der definerer certifikatets egenskaber. I skabelonen specificeres blandt andet nøglelængde, udstederattributter og gyldighedsperiode. Fra skabelonen klikker man på Create certificate og vælger at generere et certifikat. Systemet opretter derefter et nøglepar og en CSR internt, underskriver certifikatet og gør det tilgængeligt til download. Google Cloud understøtter også import af eksisterende nøgler, hvis man foretrækker at beholde kontrollen. Tjenesten er særligt velegnet til containeriserede applikationer og Kubernetes-workloads, der kræver dynamisk certifikatudstedelse.
Udstedelse af digitale certifikater via uddannelses- og HR-platforme
Udover traditionelle IT-certifikater findes der også platforme, der specialiserer sig i at udstede kursusbeviser og kompetencecertifikater. Eksempler er Classera og Certifier. Her er processen ofte mere brugervenlig og kræver ikke teknisk viden om PKI. Man starter med at vælge en skabelon for certifikatets design. Derefter angiver man modtagere enten enkeltvis eller ved at uploade en CSV-fil med navne, e-mailadresser og eventuelle kursusoplysninger. Platformen sørger for at udfylde de dynamiske felter (navn, dato, kursustitel) og genererer et digitalt certifikat, der kan udstedes som PDF eller vises online. Mange platforme tilbyder også mulighed for at lade modtagere downloade eller dele certifikatet via et link. Denne type certifikatudstedelse er udbredt i e-læring, virksomhedsskoler og konferencer, hvor man ønsker at dokumentere deltagelse.
Referencer
Nedenfor er de anvendte kilder til artiklen, som giver yderligere detaljer om de beskrevne metoder:
AWS Documentation – Issue private end-entity certificates. Tilgængelig på: https://docs.aws.amazon.com/privateca/latest/userguide/PcaIssueCert.html
AWS CLI Reference – issue-certificate. Tilgængelig på: https://docs.aws.amazon.com/cli/latest/reference/acm-pca/issue-certificate.html
Microsoft Learn – How to manually create client certificate on CA server. Tilgængelig på: https://learn.microsoft.com/en-us/answers/questions/1469140/how-to-manually-create-client-certificate-on-ca-se
Google Cloud Docs – Request a certificate using a certificate template. Tilgængelig på: https://cloud.google.com/certificate-authority-service/docs/issue-certificate-using-template
ScienceDirect – Issuing Certificate - an overview. Tilgængelig på: https://www.sciencedirect.com/topics/computer-science/issuing-certificate
Medium – Introduction to Certificate Issuance in PKI. Tilgængelig på: https://medium.com/@happygoat/introduction-to-certificate-issuance-in-pki-c83aae570a62
Classera User Manual – Issue Certificates. Tilgængelig på: https://manual.classera.com/docs/issue-certificates/
Certifier Blog – How to Create a Digital Certificate. Tilgængelig på: https://certifier.io/blog/how-to-create-certificates-online-in-3-easy-steps





